Политика в отношении обработки и защиты персональных данных в обществе с ограниченной ответственностью «НЕО ПЛЮС»
I. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. В основе деятельности общества с ограниченной ответственностью «НЕО ПЛЮС» (далее — Общество) в сфере работы с персональными данными лежит принцип неукоснительного следования нормам законодательства РФ. Приоритетом для Общества является поддержание деловой репутации через обеспечение законности, справедливости и конфиденциальности всех операций с персональной информацией, а также создание надежной системы их защиты.
1.2. Настоящий регламент (далее — Политика) преследует следующие цели:
1.2.1. Регулировать порядок работы с персональными данными, включая определение обрабатываемых категорий, целевого назначения, применяемых методов и базовых принципов. Документ также закрепляет правовой статус Общества как оператора и гарантирует права субъектов данных.
1.2.2. Служить общедоступным документом, который декларирует основы деятельности Общества в области обращения с персональной информацией.
1.3. Для единообразного толкования настоящей Политики используются нижеприведенные термины и определения:
1.3.1. Биометрические персональные данные — уникальные физиологические и биологические маркеры человека, применяемые оператором для установления его личности.
1.3.2. Блокировка персональных данных — установление временного запрета на осуществление любых операций с персональными данными, кроме тех, что направлены на их уточнение.
1.3.3. Доступ к информации — предоставление возможности ознакомления с информацией и выполнения с ней последующих действий, таких как копирование, редактирование или уничтожение.
1.3.4. Информационная система персональных данных (ИСПДн) — технологический комплекс, состоящий из баз данных, содержащих персональную информацию, и аппаратно-программных средств для ее обработки.
1.3.5. Несанкционированный доступ (НСД) — получение доступа к информации в обход установленных правил авторизации, затрагивающее любые типы носителей и хранилищ.
1.3.6. Носитель информации — физический объект или цифровая среда, предназначенные для записи, хранения либо трансляции информационных данных.
1.3.7. Персональные данные (ПДн) — любые сведения, позволяющие прямо или косвенно идентифицировать конкретное физическое лицо (субъекта персональных данных).
1.3.8. Оператор — субъект (государственная структура, юридическое или физическое лицо), который самостоятельно или с другими лицами определяет цели, состав и порядок операций с персональными данными. В рамках настоящей Политики функции оператора выполняет ООО «НЕО ПЛЮС».
1.3.9. Обработка персональных данных — любая операция или их последовательность, совершаемая с персональной информацией (сбор, систематизация, хранение, изменение, передача, уничтожение и т. д.) как автоматизированным, так и неавтоматизированным способом.
1.3.10. Предоставление персональных данных — целенаправленные действия по раскрытию персональной информации конкретному лицу или определенной группе лиц.
1.3.11. Распространение персональных данных — действия, делающие персональную информацию доступной для неограниченного круга лиц.
1.3.12. Специальные категории персональных данных — информация, затрагивающая расу, национальность, политические и религиозные убеждения, а также сведения о здоровье и интимной жизни.
1.3.13. Субъект персональных данных (субъект) — физическое лицо, к которому относятся обрабатываемые персональные данные.
1.3.14. Трансграничная передача персональных данных — передача сведений персонального характера на территорию другого государства его органам власти, юридическим или физическим лицам.
1.3.15. Уничтожение персональных данных — необратимые действия, после которых восстановление содержания персональных данных в информационной системе или на материальных носителях становится невозможным.
1.4. Основные права, которыми наделяются субъекты персональных данных:
1.4.1. Право на информирование. Субъект имеет право запрашивать и получать от Общества исчерпывающие сведения, касающиеся обработки его персональных данных.
1.4.2. Право на исправление, блокировку или уничтожение. Субъект может инициировать уточнение, временную блокировку или полное уничтожение своих данных, если они устарели, неточны, избыточны или были получены с нарушением закона.
1.4.3. Ограничение доступа. Доступ субъекта к его данным может быть ограничен в строгом соответствии с федеральным законодательством.
1.4.4. Право на обращение. Для реализации своих прав субъект может направить в адрес Общества обращение, которое подлежит обязательному рассмотрению, проверке и принятию мер в досудебном порядке.
1.4.5. Право на обжалование. Действия или бездействие Общества могут быть обжалованы субъектом в территориальном управлении Роскомнадзора.
1.4.6. Право на судебную защиту. Защита прав и законных интересов субъекта может осуществляться в судебном порядке, включая требования о возмещении убытков и компенсации морального вреда.
1.5. Основные обязательства ООО «НЕО ПЛЮС» при работе с персональными данными:
1.5.1. Соблюдение закона. Общество обязуется вести всю деятельность по обработке персональных данных в строгом соответствии с нормами российского законодательства.
1.5.2. Предоставление сведений. По запросу субъекта Общество обязано предоставить ему всю информацию, касающуюся обработки его данных.
1.5.3. Разъяснение последствий. В случаях, когда предоставление ПДн является законодательно установленной обязанностью, на сотрудников Общества возлагается обязанность разъяснить субъекту юридические последствия отказа.
1.5.4. Обеспечение локализации. При сборе ПДн Общество должно обеспечить их обработку и хранение с использованием баз данных, физически расположенных на территории Российской Федерации.
1.5.5. Публичность политики. Общество обеспечивает свободный и неограниченный доступ к тексту настоящей Политики и сведениям о мерах по защите данных.
1.5.6. Реализация мер безопасности. Общество принимает комплекс правовых, организационных и технических мер, достаточных для защиты персональных данных от всех видов противоправных действий.
1.5.7. Ответ на запрос об ознакомлении. При поступлении обращения от субъекта Общество обязано подтвердить наличие относящихся к нему данных и предоставить возможность ознакомиться с ними.
1.5.8. Актуализация и удаление. Общество обязано уточнять, блокировать или уничтожать неточные, неполные, устаревшие, незаконно полученные или избыточные персональные данные.
1.5.9. Реакция на отзыв согласия. При отзыве субъектом своего согласия обработка его персональных данных прекращается, за исключением случаев, когда ее продолжение допускается на иных законных основаниях, предусмотренных п. 2–11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Федерального закона № 152-ФЗ.
II. ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. В рамках своей деятельности ООО «НЕО ПЛЮС» осуществляет обработку персональной информации, относящейся к следующим категориям субъектов (далее — Субъекты):
2.1.1. Действующие сотрудники.
2.1.2. Родственники сотрудников.
2.1.3. Бывшие сотрудники.
2.1.4. Учредители Общества.
2.1.5. Кандидаты на замещение вакантных должностей.
2.1.6. Пациенты, а также их законные представители.
2.1.7. Контрагенты со статусом физического лица.
2.1.8. Представители и сотрудники контрагентов-юридических лиц.
2.1.9. Граждане, направившие в Общество обращения.
2.1.10. Посетители корпоративного веб-сайта.
2.2. Общество работает с персональными данными сотрудников для решения следующих задач:
2.2.1. Исполнение требований законодательства. Обеспечение соблюдения норм трудового, налогового и иного применимого законодательства РФ.
2.2.2. Администрирование трудовых отношений. Установление, сопровождение и прекращение трудовых отношений.
2.2.3. Сопровождение трудового договора. Заключение, исполнение и расторжение трудовых договоров.
2.2.4. Ведение учета. Ведение кадрового, бухгалтерского и налогового учета.
2.2.5. Развитие персонала. Организация обучения, аттестации и повышения квалификации.
2.2.6. Информационное сопровождение. Размещение данных на официальных ресурсах Общества в информационных целях.
2.2.7. Изготовление визиток. Производство корпоративных визитных карточек для сотрудников.
2.2.8. Организация медосмотров. Проведение обязательных предварительных и периодических медицинских осмотров.
2.2.9. Обеспечение коммуникаций. Предоставление доступа к корпоративным системам связи.
2.2.10. Информирование на объектах. Размещение рабочих данных сотрудников на информационных стендах.
2.3. Обработка данных родственников сотрудников осуществляется исключительно в целях ведения кадрового делопроизводства и бухгалтерского учета.
2.4. Обработка данных бывших сотрудников осуществляется исключительно в целях ведения кадрового делопроизводства и бухгалтерского учета.
2.5. В отношении учредителей обработка данных осуществляется в следующих целях:
2.5.1. Выполнение требований законодательства РФ.
2.5.2. Ведение бухгалтерского и налогового учета.
2.6. Данные кандидатов на вакансии обрабатываются только для оценки их соответствия должности и принятия решения о приеме на работу.
2.7. Информация о пациентах и их представителях обрабатывается в следующих целях: 2.7.1. Выполнение требований законодательства РФ.
2.7.2. Оказание медицинских и медико-социальных услуг, постановка диагноза и профилактика.
2.7.3. Организация записи на прием, информирование об услугах.
2.7.4. Предоставление услуг по транспортировке пациентов.
2.7.5. Проведение лабораторной диагностики и исследований.
2.7.6. Непосредственное оказание медицинских услуг.
2.8. Персональные данные контрагентов-физических лиц обрабатываются для заключения и исполнения договорных обязательств.
2.9. Персональные данные представителей контрагентов-юридических лиц обрабатываются для заключения и исполнения договорных обязательств.
2.10. Данные граждан, направивших обращение, используются для информационно-справочного обслуживания и рассмотрения этих обращений.
2.11. Обработка информации пользователей сайта направлена на решение следующих задач:
- обработка запросов и заявок, а также поддержание связи;
- организация записи на прием, информирование об услугах;
- анализ использования сайта для улучшения его работы и функциональности.
III. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Правовая основа обработки персональных данных — совокупность правовых актов, во исполнение которых и в соответствии с которыми ООО «НЕО ПЛЮС» осуществляет обработку персональных данных.
3.2. Обработка личной информации в ООО «НЕО ПЛЮС» проводится в соответствии со следующими правовыми основаниями:
3.2.1. Конституция РФ от 25.12.1993.
3.2.2. Уголовный кодекс РФ от 13.06.1996 № 63-ФЗ.
3.2.3. Налоговый Кодекс РФ часть первая от 31.07.1998 № 146-ФЗ и часть вторая от 05.08.2000 № 117-ФЗ (с изменениями и дополнениями).
3.2.4. Гражданский кодекс РФ от 30.11.1994 № 51-ФЗ.
3.2.5. Кодекс РФ об административных правонарушениях от 30.12.2001 № 195-ФЗ.
3.2.6. Трудовой кодекс РФ от 30.12.2001 № 197-ФЗ.
3.2.7. ФЗ № 442 от 28.12.2013 — Об основах социального обслуживания граждан в Российской Федерации.
3.2.8. ФЗ № 125 от 22.10.2004 — Об архивном деле в РФ.
3.2.9. ФЗ № 402 от 06.12.2011 — О бухгалтерском учете.
3.2.10. ФЗ № 165 от 16.07.1999 — Об основах обязательного социального страхования.
3.2.11. ФЗ № 27 от 01.04.1996 — Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования.
3.2.12. ФЗ № 326 от 29.11.2010 — Об обязательном медицинском страховании в Российской Федерации.
3.2.13. ФЗ № 99 от 04.05.2011 — О лицензировании отдельных видов деятельности.
3.2.14. ФЗ № 125 от 24.07.1998 — Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний.
3.2.15. ФЗ № 323 от 21.11.2011 — Об основах охраны здоровья граждан в Российской Федерации.
3.2.16. ФЗ № 255 от 29.12.2006 — Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством.
3.2.17. ФЗ № 167 от 15.12.2001 — Об обязательном пенсионном страховании в Российской Федерации.
3.2.18. ФЗ № 59 от 02.05.2006 — О порядке рассмотрения обращений граждан Российской Федерации.
3.2.19. Письмо Минздрава России от 07.12.2015 № 13-2/1538 «О сроках хранения медицинской документации».
3.2.20. Постановление правления пенсионного фонда РФ от 31.07.2006 г. № 192п «О формах документов индивидуального (персонифицированного) учета в системе обязательного пенсионного страхования и инструкции по их заполнению».
3.2.21. Постановление Правительства РФ от 16.04.2012 г. № 291 «О лицензировании медицинской деятельности».
3.2.22. Постановление Правительства Российской Федерации от 04.10.2012 № 1006 «Об утверждении Правил предоставления медицинскими организациями платных медицинских услуг».
3.2.23. Приказы Министерства здравоохранения и других ведомств, регулирующие медицинскую деятельность и документооборот.
3.2.24. Лицензии на осуществление медицинской деятельности № Л041-01021-66/01009753 от 28.12.2023 г.
3.2.25. Устав ООО «НЕО ПЛЮС».
3.2.26. Трудовые договоры с работниками.
3.2.27. Договоры, заключаемые между ООО «НЕО ПЛЮС» и субъектом персональных данных.
3.2.28. Согласия субъектов на обработку персональных данных.
IV. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Принцип соответствия целям. Состав и объем обрабатываемых персональных данных строго ограничены заявленными целями и не могут быть избыточными по отношению к ним.
4.2. Сотрудники. Объем обрабатываемых данных о сотрудниках ограничен сведениями, необходимыми для соблюдения законодательства и выполнения обязательств в рамках трудовых отношений.
4.3. Родственники работников. Обрабатывается минимальный объем сведений, требуемый законодательством для целей кадрового и бухгалтерского учета.
4.4. Бывшие сотрудники. В отношении этой категории обрабатываются только те данные, хранение которых является прямой обязанностью Общества в соответствии с законом.
4.5. Учредители. Объем данных ограничен информацией, необходимой для ведения корпоративного, бухгалтерского и налогового учета.
4.6. Кандидаты на вакантные должности. Обработка данных соискателей ограничивается сведениями, необходимыми для оценки их профессиональной пригодности.
4.7. Пациенты и их законные представители. Состав обрабатываемых данных определяется требованиями законодательства и необходимостью оказания качественных медицинских услуг.
4.8. Контрагенты — физические лица. Объем ПДн ограничен информацией, необходимой для заключения и надлежащего исполнения гражданско-правовых договоров.
4.9. Контрагенты — представители юридических лиц. Обрабатываются только те данные представителей, которые необходимы для эффективного взаимодействия в рамках договорных отношений.
4.10. Обратившиеся граждане. Состав данных ограничен информацией, предоставленной самим гражданином и необходимой для рассмотрения его обращения по существу.
4.11. Пользователи сайта. Обработка данных посетителей сайта ограничивается технической информацией и сведениями, добровольно предоставленными для обратной связи или получения услуг.
4.12. Пользователи мобильного приложения. Работа с данными пользователей направлена исключительно на обеспечение функциональности приложения и улучшение пользовательского опыта.
4.13. Биометрические данные. Общество не осуществляет целенаправленный сбор и обработку биометрических ПДн.
4.14. Специальные категории данных. Обработка сведений о состоянии здоровья осуществляется в строгом соответствии с законом и исключительно в целях оказания медицинских услуг.
V. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Целевое назначение. Любые операции с персональными данными в Обществе осуществляются в соответствии с целями, сформулированными в разделе II настоящей Политики.
5.2. Ограничение по категориям. Обработке подлежат только те категории ПДн, которые перечислены в разделе IV настоящего документа.
5.3. Основания для обработки. Обработка ПДн осуществляется при наличии одного из законных оснований, как правило, письменного согласия субъекта, если иное не установлено ФЗ № 152-ФЗ.
5.4. Совокупность операций. Процедуры обработки данных могут включать их сбор, фиксацию, накопление, систематизацию, хранение, уточнение, использование, передачу, блокирование и уничтожение.
5.5. Работа со специальными категориями данных. Работа с данными о состоянии здоровья и другими конфиденциальными сведениями осуществляется ограниченным кругом лиц в строгом соответствии с утвержденными целями.
5.6. Информация в общедоступных источниках. Размещение персональных данных на сайте или информационных стендах (например, ФИО и должность сотрудника) производится исключительно на основании отдельного письменного согласия субъекта.
5.7. Получение данных. Сбор и актуализация персональных данных осуществляются, как правило, непосредственно самими субъектами или их законными представителями.
5.8. Режим конфиденциальности. На всех сотрудников Общества, имеющих доступ к ПДн, возлагается обязательство не раскрывать и не распространять их без согласия субъекта, за исключением случаев, предусмотренных законом.
5.9. Передача данных государственным органам. Общество вправе осуществлять передачу ПДн в адрес уполномоченных государственных органов на основании и в порядке, предусмотренных законодательством РФ.
5.10. Информирование о последствиях отказа. В ситуациях, когда предоставление данных является обязательным, сотрудник Общества информирует субъекта о правовых последствиях отказа.
5.11. Соблюдение принципов обработки. Общество в полной мере руководствуется принципами обработки персональных данных, установленными статьей 5 Федерального закона № 152-ФЗ.
5.12. Выполнение организационных мер. Общество обеспечивает реализацию комплекса организационно-правовых мероприятий, предусмотренных ч. 2 ст. 18.1 и ч. 1 ст. 19 ФЗ № 152-ФЗ.
5.13. Требование о локализации. Все операции с персональными данными граждан РФ производятся с использованием информационных баз, расположенных на территории России.
5.14. Обработка персональных данных прекращается при наступлении одного из следующих условий:
- достигнуты цели, ради которых осуществлялась обработка;
- прекращены трудовые или гражданско-правовые отношения;
- утрачены законные основания для обработки;
- отозвано согласие субъекта на обработку;
- установлен факт неправомерной обработки;
- прекращена деятельность Общества.
5.15. Контроль сохранности носителей. Назначенные ответственные лица осуществляют контроль за оборотом материальных носителей ПДн в целях исключения несанкционированного доступа.
5.16. Сроки хранения. Персональные данные хранятся в идентифицирующей форме не дольше, чем этого требуют заявленные цели обработки, если иной срок не установлен законом или договором.
5.17. Для обеспечения безопасности персональных данных в Обществе реализован комплекс мер:
5.17.1. Анализ угроз. Проведена идентификация и оценка актуальных угроз безопасности персональных данных в информационных системах.
5.17.2. Внедрение мер защиты. Применяются организационные и технические меры, соответствующие установленным уровням защищенности.
5.17.3. Применение сертифицированных средств защиты информации. Используются средства защиты информации, прошедшие установленную процедуру оценки соответствия.
5.17.4. Оценка эффективности. До начала эксплуатации ИСПДн проводится оценка эффективности внедряемых мер защиты.
5.17.5. Учет носителей. Ведется строгий учет машинных и бумажных носителей персональных данных.
5.17.6. Обнаружение инцидентов. Обеспечивается своевременное выявление фактов несанкционированного доступа и принятие неотложных мер.
5.17.7. Восстановление данных. Предусмотрены механизмы восстановления ПДн, измененных или уничтоженных в результате инцидентов.
5.17.8. Разграничение доступа. Действуют правила доступа к ПДн, а все операции с ними регистрируются и учитываются в ИСПДн.
5.17.9. Мониторинг и контроль. Осуществляется постоянный контроль за эффективностью принимаемых мер и уровнем защищенности систем.
5.18. В процессе своей деятельности Общество может передавать персональные данные следующим категориям получателей:
5.18.1. Федеральная налоговая служба.
5.18.2. Пенсионный фонд России.
5.18.3. Страховые компании.
5.18.4. Управление Роспотребнадзора по Свердловской области.
5.18.5. Фонд социального страхования.
5.18.6. Территориальный фонд медицинского страхования Свердловской области.
5.18.7. Министерство здравоохранения Свердловской области.
5.18.8. Органы, осуществляющие оперативно-розыскную деятельность.
5.18.9. Лицензирующие и надзорные органы.
5.18.10. Иные третьи лица на основании договоров или мотивированных запросов.
VI. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов
6.1. Реагирование на неправомерную обработку данных. При выявлении фактов неправомерной обработки данных Общество обеспечивает немедленную блокировку соответствующих персональных данных.
6.2. Реагирование на неточности. В случае обнаружения неточностей в ПДн они блокируются на время проверки. После подтверждения неточности данные корректируются, а блокировка снимается.
6.3. Обязанность информирования. Общество обязано по запросу уведомлять субъекта (или его представителя) о факте и деталях обработки его персональных данных.
6.4. Формат ответа на запрос. Сведения предоставляются в доступной форме после получения запроса, который может быть подан в том числе в виде электронного документа.
6.5. Субъект имеет право на получение информации, касающейся обработки его данных, в частности:
- подтверждения самого факта обработки;
- сведений о правовых основаниях и целях;
- информации о применяемых способах обработки;
- перечня обрабатываемых данных и источника их поступления;
- сведений о сроках обработки и хранения;
- разъяснений порядка реализации своих прав;
- иных сведений, предусмотренных законом.
6.6. Ответ на запрос субъекта или уполномоченного органа предоставляется в сроки, установленные статьей 20 ФЗ № 152-ФЗ.
6.7. Права субъектов. Субъекты имеют право требовать от Общества уточнения, блокирования или уничтожения своих персональных данных, а также применять иные предусмотренные законом меры для защиты своих интересов.
6.8. Ограничение права на доступ. Реализация права субъекта на доступ к своим данным может быть ограничена, если это затрагивает права и законные интересы других лиц.
6.9. Порядок запроса информации. Чтобы запросить информацию об обработке своих данных, субъект должен оформить запрос по установленной форме (Приложения 1 или 5) и подать его лично или отправить по почте.
6.10. Порядок уточнения данных. Для внесения изменений в свои персональные данные субъект оформляет запрос на их корректировку (Приложения 2 или 6) и подает его аналогичным образом.
6.11. Порядок прекращения обработки данных. Для прекращения неправомерной обработки данных субъект подает соответствующее требование (Приложения 3 или 7).
6.12. Порядок отзыва согласия. Для отзыва ранее предоставленного согласия субъект оформляет заявление по форме (Приложения 4 или 8). Общество может продолжить обработку данных при наличии иных законных оснований, предусмотренных ст. 6, 10 и 11 ФЗ № 152-ФЗ.
6.13. Условия уничтожения данных. ПДн подлежат уничтожению по достижении целей их обработки или в случае отзыва согласия, если иное не вытекает из условий договора или отдельного соглашения.
6.14. Рассмотрение обращений. Общество обеспечивает своевременное и полное рассмотрение всех обращений и запросов. О результатах и принятых мерах заявитель информируется в сроки, установленные статьей 21 ФЗ № 152-ФЗ.
VII. Заключительные положения
7.1. Статус документа. Настоящая Политика имеет статус локального нормативного акта, является общедоступной и подлежит размещению на официальном сайте Общества.
7.2. Порядок обновления. Документ подлежит актуализации по мере изменения законодательства или внутренних процессов, но не реже одного раза в три года.
7.3. Контроль. Контроль за соблюдением требований настоящей Политики возлагается на должностное лицо, ответственное за организацию обработки персональных данных в Обществе.
7.4. Ответственность. Должностные лица Общества, допущенные к работе с персональными данными, несут установленную законодательством РФ и внутренними актами Общества ответственность за несоблюдение норм, регулирующих их обработку и защиту.
