ѕолитика конфиденциальности

ѕолитика обработки персональных данных

1. ќбщие положени€

1.1. Ќасто€ща€ политика в отношении обработки персональных данных (далее Ц ѕолитика) разработана (наименование медицинской организации) (далее Ц ќператор) в цел€х исполнени€ требований ‘едерального закона от 27.06.2006 є 152-‘« Ђќ персональных данныхї. ѕолитика определ€ет общий пор€док, принципы и услови€ обработки персональных данных ќператором и обеспечивает защиту прав субъектов персональных данных при обработке их персональных данных.

1.2. ќсновные пон€ти€, используемые в ѕолитике:

Ц персональные данные. Ћюба€ информаци€, относ€ща€с€ к пр€мо или косвенно определенному или определ€емому физическому лицу (субъекту персональных данных);

Ц оператор персональных данных (оператор). ”чреждение, самосто€тельно или совместно с другими лицами организующее и (или) осуществл€ющее обработку персональных данных, а также определ€ющее цели обработки, состав персональных данных, подлежащих обработке, действи€ (операции), совершаемые с персональными данными;

Ц обработка персональных данных. Ћюбое действие (операци€) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использовани€. ќбработка персональных данных включает в себ€ сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;

Ц автоматизированна€ обработка персональных данных. ќбработка персональных данных с помощью средств вычислительной техники;

Ц распространение персональных данных. ƒействи€, направленные на раскрытие персональных данных неопределенному кругу лиц;

Ц предоставление персональных данных. ƒействи€, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Ц блокирование персональных данных. ¬ременное прекращение обработки персональных данных (за исключением случаев, если обработка необходима дл€ уточнени€ персональных данных); Ц уничтожение персональных данных. ƒействи€, в результате которых становитс€ невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаютс€ материальные носители персональных данных;

Ц обезличивание персональных данных. ƒействи€, в результате которых становитс€ невозможным без использовани€ дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

Ц информационна€ система персональных данных. —овокупность содержащихс€ в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

Ц трансгранична€ передача персональных данных. ѕередача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

Ц субъект персональных данных. ‘изическое лицо, данные которого обрабатываютс€;

Ц конфиденциальность персональных данных. ќб€зательное дл€ оператора и иных лиц, получивших доступ к персональным данным, требование не раскрывать третьим лицам и не распростран€ть персональные данные без согласи€ субъекта персональных данных, если иное не предусмотрено федеральным законом.

 

2. ќсновные права и об€занности ќператора персональных данных

2.1. ќператор при сборе персональных данных об€зан предоставить субъекту персональных данных по его просьбе информацию, касающуюс€ обработки его персональных данных.

2.2. ≈сли предоставление персональных данных €вл€етс€ об€зательным в соответствии с федеральным законом, ќператор об€зан разъ€снить субъекту персональных данных юридические последстви€ отказа предоставить его персональные данные.

2.3. ѕри сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети интернет, ќператор об€зан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан –оссийской ‘едерации с использованием баз данных, наход€щихс€ на территории –оссийской ‘едерации, за исключением случаев, указанных ‘едеральном законе Ђќ персональных данныхї.

2.4. ќператор об€зан принимать меры, необходимые и достаточные дл€ обеспечени€ выполнени€ об€занностей, предусмотренных ‘едеральным законом Ђќ персональных данныхї и прин€тыми в соответствии с ним нормативными правовыми актами.

2.5. ќператор об€зан опубликовать или иным образом обеспечить неограниченный доступ к насто€щей ѕолитике, к сведени€м о реализуемых требовани€х к защите персональных данных. ќператор в случае осуществлени€ сбора персональных данных с использованием информациионно-телекоммуникационных сетей об€зан опубликовать в соответствующей информационно-телекоммуникационной сети ѕолитику и сведени€ о реализуемых требовани€х к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием соответствующей информационно-телекоммуникационной сети.

2.6. ќператор при обработке персональных данных об€зан принимать необходимые правовые, организационные и технические меры или обеспечивать их прин€тие дл€ защиты персональных данных от неправомерного или случайного доступа к ним, уничтожени€, изменени€, блокировани€, копировани€, предоставлени€, распространени€ персональных данных, а также от иных неправомерных действий в отношении персональных данных.

2.7. ќператор вправе поручить обработку персональных данных другому лицу с согласи€ субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Ћицо, осуществл€ющее обработку персональных данных по поручению ќператора, об€зано соблюдать принципы и правила

обработки персональных данных, предусмотренные ‘едеральным законом Ђќ персональных данныхї. ¬ поручении ќператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершатьс€ лицом, осуществл€ющим обработку персональных данных, и цели обработки, должна быть установлена об€занность такого лица соблюдать конфиденциальность и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требовани€ к защите обрабатываемых персональных данных в соответствии со статьей 19 ‘едерального закона Ђќ персональных данныхї.

 

3. ќсновные права и об€занности субъекта персональных данных

3.1. —убъект персональных данных вправе требовать от ќператора уточнени€ его персональных данных, их блокировани€ или уничтожени€ в случае, если персональные данные €вл€ютс€ неполными, устаревшими, неточными, незаконно полученными или не €вл€ютс€ необходимыми дл€ за€вленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

3.2. ќбработка персональных данных в цел€х продвижени€ товаров, работ, услуг на рынке путем осуществлени€ пр€мых контактов с потенциальным потребителем с помощью средств св€зи допускаетс€ только при условии предварительного согласи€ субъекта персональных данных.

3.3. ѕрин€тие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последстви€.в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы разрешаетс€ только при наличии согласи€ в письменной форме субъекта персональных данных или в случа€х, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдени€ прав и законных интересов субъекта персональных данных.

3.4. ≈сли субъект персональных данных считает, что ќператор осуществл€ет обработку его персональных данных с нарушением требований ‘едерального закона Ђќ персональных данныхї или иным образом нарушает его.права и свободы, субъект персональных данных вправе обжаловать действи€ или бездействие ќператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном пор€дке.

3.5. —убъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном пор€дке.

 

4. ÷ели сбора персональных данных

4.1. ќператор обрабатывает персональные данные в цел€х:

- оформлени€ трудовых отношений, ведени€ кадрового делопроизводства, содействи€ в трудоустройстве, обучении, повышении по службе, пользовании различными льготами и гаранти€ми, обеспечени€ личной безопасности работников, контрол€ количества и качества выполн€емой работы и сохранности имущества;

- заключени€, исполнени€ и прекращени€ гражданско-правовых договоров;

- оказани€ медицинских услуг, в том числе идентификации пациентов (заказчиков), отражени€ информации в медицинской документации, предоставлени€ сведений страховым компани€м (в случае актов, регулирующих отношени€, св€занные с оказанием медицинских

услуг;

- иных федеральных законов и прочих нормативных правовых актов;

- устава ќператора;

-договоров, заключаемых между ќператором и субъектами персональных

данных;

- согласий на обработку персональных данных.

 

6. ќбъем и категории обрабатываемых персональных данных,

категории субъектов персональных данных

 

6.1.  атегории субъектов персональных данных, чьи данные обрабатываютс€.

6.1.1. –аботники ќператора, бывшие работники, кандидаты на трудоустройство, а также члены семьи работников.

6.1.2. ѕациенты, законные представители пациентов.

6.1.3. ѕрочие клиенты и контрагенты ќператора (физические лица).

6.1.4. ѕредставители/работники клиентов и контрагентов ќператора (юридических лиц).

6.2. ¬ отношении категории, указанной в пункте 6.1.1 (за исключением членов семьи работников), обрабатываютс€:

ЦЦ фамили€, им€, отчество;

ЦЦ дата и место рождени€;

ЦЦ адреса места жительства и регистрации;

ЦЦ контактный телефон;

ЦЦ гражданство;

ЦЦ образование;

ЦЦ професси€, должность;

ЦЦ стаж работы;

ЦЦ семейное положение, наличие детей;

ЦЦ сери€ и номер основного документа, удостовер€ющего личность, сведени€ о выдаче указанного документа и выдавшем его органе;

ЦЦ данные страхового свидетельства государственного пенсионного страховани€;

ЦЦ идентификационный номер налогоплательщика;

ЦЦ табельный номер;

ЦЦ сведени€ о доходах;

ЦЦ сведени€ о воинском учете;

ЦЦ сведени€ о судимост€х;

ЦЦ сведени€ о повышении квалификации, о профессиональной переподготовке;

ЦЦ сведени€ о наградах (поощрени€х), почетных звани€х;

ЦЦ сведени€ о социальных гаранти€х;

ЦЦ сведени€ о состо€нии здоровь€, вли€ющие на выполнение трудовой функции.

6.3. ѕерсональные данные родственников работников обрабатываютс€ в объеме, переданном работником и необходимом дл€ предоставлени€ гарантий и компенсаций работнику, предусмотренных трудовым законодательством:

ЦЦ фамили€, им€, отчество;

ЦЦ дата и место рождени€;

ЦЦ сери€ и номер документа, удостовер€ющего личность, сведени€ о выдаче указанного документа и выдавшем его органе;

ЦЦ сери€ и номер свидетельства о рождении ребенка, сведени€ о выдаче указанного документа и выдавшем его органе;

ЦЦ сери€ и номер свидетельства о заключении брака, сведени€ о выдаче указанного документа и выдавшем его органе.

6.4. ¬ отношении пациентов обрабатываютс€:

ЦЦ фамили€, им€, отчество;

ЦЦ пол;

ЦЦ возраст;

ЦЦ дата и место рождени€;

ЦЦ адреса места жительства и регистрации;

ЦЦ сери€ и номер основного документа, удостовер€ющего личность, сведени€ о выдаче указанного документа и выдавшем его органе;

ЦЦ данные страхового свидетельства государственного пенсионного страховани€;

ЦЦ гражданство;

ЦЦ данные о состо€нии здоровь€, в том числе биометрические персональные данные;

ЦЦ семейное и социальное положение;

ЦЦ контактный телефон;

ЦЦ адрес электронной почты;

ЦЦ реквизиты полиса об€зательного медицинского страховани€;

ЦЦ реквизиты полиса (договора) добровольного медицинского страховани€;

ЦЦ тип зан€тости;

ЦЦ место работы;

ЦЦ должность.

6.5. ¬ отношении категорий, указанных в пунктах 6.1.3 и 6.1.4, обрабатываютс€:

ЦЦ фамили€, им€, отчество;

ЦЦ пол;

ЦЦ возраст;

ЦЦ дата и место рождени€;

ЦЦ адреса места жительства и регистрации;

ЦЦ контактный телефон;

ЦЦ адрес электронной почты;

ЦЦ сери€ и номер основного документа, удостовер€ющего личность, сведени€ о выдаче указанного документа и выдавшем его органе.

6.6. ¬ отношении законных представителей или представителей по доверенности указанных лиц обрабатываютс€:

ЦЦ фамили€, им€, отчество;

ЦЦ пол;

ЦЦ возраст;

ЦЦ дата и место рождени€;

ЦЦ адреса места жительства и регистрации;

ЦЦ контрактный телефон;

ЦЦ адрес электронной почты;

ЦЦ сери€ и номер основного документа, удостовер€ющего личность, сведени€ о выдаче указанного документа и выдавшем его органе;

ЦЦ сведени€ о документе, который подтверждает полномочи€ представител€.

 

7. ѕор€док и услови€ обработки персональных данных

7.1. ќбработка персональных данных осуществл€етс€ после прин€ти€ необходимых мер по защите персональных данных.

7.2. ќператор не вправе обрабатывать персональные данные субъекта персональных данных без его письменного согласи€, за исключением случаев, предусмотренных ст. 6 ‘едерального закона Ђќ персональных данныхї.

7.3. –авнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признаетс€ согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

7.4. ѕисьменное согласие субъекта персональных данных должно включать:

ЦЦ фамилию, им€, отчество;

ЦЦ адрес субъекта персональных данных;

ЦЦ номер основного документа, удостовер€ющего его личность, сведени€

о дате выдачи указанного документа и выдавшем его органе;

ЦЦ наименование и адрес ќператора;

ЦЦ цель обработки персональных данных;

ЦЦ перечень персональных данных, на обработку которых даетс€ согласие

субъекта персональных данных;

ЦЦ перечень действий с персональными данными, на совершение которых даетс€ согласие, общее описание используемых ќператором способов обработки персональных данных;

ЦЦ срок, в течение которого действует согласие;

ЦЦ способ его отзыва;

ЦЦ подпись субъекта персональных данных.

7.5. ќбработка персональных данных осуществл€етс€ ќператором следующими способами:

ЦЦ неавтоматизированна€ обработка персональных данных;

ЦЦ автоматизированна€ обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сет€м или без таковой;

ЦЦ смешанна€ обработка персональных данных.

7.6. ќператор организует обработку персональных данных в следующем пор€дке:

1) назначает ответственного за организацию обработки персональных данных, устанавливает перечень лиц, имеющих доступ к персональным данным;

2) издает насто€щую ѕолитику, локальные акты по вопросам обработки персональных данных;

3) примен€ет правовые, организационные и технические мер по обеспечению безопасности персональных данных;

4) осуществл€ет внутренний контроль и (или) аудит соответстви€ обработки персональных данных ‘едеральному закону Ђќ персональных данныхї и прин€тым в соответствии с ним нормативным правовым актам, требовани€м к защите персональных данных, насто€щей ѕолитике, локальным актам ќператора;

5) осуществл€ет оценку вреда, который может быть причинен субъектам персональных данных в случае нарушени€ ‘едерального закона Ђќ персональных данныхї, определ€ет соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнени€ об€занностей, предусмотренных данным ‘едеральным законом;

6) знакомит работников ќператора, непосредственно осуществл€ющих обработку персональных данных, с положени€ми законодательства –оссийской ‘едерации о персональных данных, в том числе с требовани€ми к защите персональных данных, насто€щей ѕолитики, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

7.7. ќператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры, в том числе:

1) определ€ет угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;

2) примен€ет организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимые дл€ выполнени€ требований

к защите персональных данных, исполнение которых обеспечивает установленные ѕравительством –оссийской ‘едерации уровни защищенности персональных данных;

3) примен€ет прошедшие в установленном пор€дке процедуру оценки соответстви€ средства защиты информации;

4) оценивает эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учитывает машинные носители персональных данных;

6) обнаруживает факты несанкционированного доступа к персональным данным и принимает меры;

7) восстанавливает персональные данные, модифицированные или уничтоженные вследствие несанкционированного доступа к ним;

8) устанавливает правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивает регистрацию и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных.

7.8. ѕри обработке персональных данных ќператор выполн€ет, в частности, сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

7.9. ¬ цел€х обеспечени€ сохранности и конфиденциальности персональных данных все операции с персональными данными должны выполн€тьс€ только работниками ќператора, осуществл€ющими данную работу в соответствии с трудовыми об€занност€ми.

7.10. ќператор получает персональные данные непосредственно от субъектов персональных данных или их представителей, наделенных соответствующими полномочи€ми. —огласи€ субъекта на получение его персональных данных от третьих лиц не требуетс€ в случа€х, когда согласие субъекта на передачу его персональных данных третьим лицам получено от него в письменном виде при заключении договора с ќператором, а также в случа€х, установленных федеральным законом.

7.11. «апрещаетс€ хранение документов с персональными данными и их копий на рабочих местах и (или) в открытом доступе, оставл€ть шкафы (сейфы) открытыми в случае выхода работника из рабочего помещени€.

7.12. ¬ электронном виде документы, содержащие персональные данные разрешаетс€ хранить в специализированных базах данных или в специально отведенных дл€ этого директори€х с ограничением и разграничением доступа.  опирование таких данных запрещено.

7.13. ѕри увольнении работника, имеющего доступ к персональным данным, прекращении доступа к персональным данным, документы и иные носители, содержащие персональные данные, сдаютс€ работником своему непосредственному руководителю.

 

8. ѕор€док обработки персональных данных в информационных

системах

8.1. ќбработка персональных данных в информационных системах осуществл€етс€ после реализации организационных и технических мер по обеспечению безопасности персональных данных, определенных с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.

8.2. ќбеспечение безопасности при обработке персональных данных, содержащихс€ в информационных системах органов и подведомственных организаций, осуществл€етс€ в соответствии с постановлением ѕравительства –‘ от 01.11.2012 є 1119 Ђќб утверждении требований к защите персональных данных при их обработке в информационных системах персональных данныхї, составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ‘—“Ё  –оссии от 18.02.2013 є 21.

8.3. ”полномоченному работнику, имеющему право осуществл€ть обработку персональных данных в информационных системах, предоставл€етс€ уникальный логин и пароль дл€ доступа к соответствующей информационной системе. ƒоступ предоставл€етс€ в соответствии с функци€ми, предусмотренными должностными об€занност€ми работника.

8.4. »нформаци€ может вноситьс€ как в автоматическом режиме при получении персональных данных с официального сайта в сети интернет, так и в ручном режиме при получении информации на бумажном носителе или в ином виде, не позвол€ющем осуществл€ть ее автоматическую регистрацию.

8.5. ќбеспечение безопасности персональных данных, обрабатываемых в информационных системах органов, достигаетс€ путем исключени€ несанкционированного, в том числе случайного, доступа к персональным данным.

8.6. ¬ случае вы€влени€ нарушений пор€дка обработки персональных данных уполномоченными работниками незамедлительно принимаютс€ меры по установлению причин нарушений и их устранению.

8.7. ¬ состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и примен€емых информационных технологий, вход€т:

ЦЦ идентификаци€ и аутентификаци€ субъектов доступа и объектов доступа;

ЦЦ управление доступом субъектов доступа к объектам доступа;

ЦЦ ограничение программной среды;

ЦЦ защита машинных носителей информации, на которых хран€тс€ и (или) обрабатываютс€ персональные данные;

ЦЦ регистраци€ событий безопасности;

ЦЦ антивирусна€ защита;

ЦЦ обнаружение (предотвращение) вторжений;

ЦЦ контроль (анализ) защищенности персональных данных;

ЦЦ обеспечение целостности информационной системы и персональных данных;

ЦЦ обеспечение доступности персональных данных;

ЦЦ защита среды виртуализации и технических средств;

ЦЦ защита информационной системы, ее средств, систем св€зи и передачи данных;

ЦЦ вы€вление инцидентов (одного событи€ или группы событий), которые могут привести к сбо€м или нарушению функционировани€ информационной системы и (или) к возникновению угроз безопасности персональных данных, и реагирование на них;

ЦЦ управление конфигурацией информационной системы и системы защиты персональных данных.

8.8. ѕод актуальными угрозами безопасности персональных данных понимаетс€ совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действи€.

”грозы первого типа актуальны дл€ информационной системы, если дл€ нее в том числе актуальны угрозы, св€занные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.

”грозы второго типа актуальны дл€ информационной системы, если дл€ нее в том числе актуальны угрозы, св€занные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.

”грозы третьего типа актуальны дл€ информационной системы, если дл€ нее актуальны угрозы, не св€занные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

ќпределение типа угроз безопасности персональных данных, актуальных дл€ информационной системы, производитс€ с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 ‘едерального закона Ђќ персональных данныхї.

8.9. ¬ соответствии с пунктом 11 статьи 19 ‘едерального закона Ђќ персональных данныхї под уровнем защищенности персональных данных понимаетс€ комплексный показатель, характеризующий требовани€, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

ѕри обработке персональных данных в информационных системах устанавливаютс€ четыре уровн€ защищенности персональных данных.

8.9.1. Ќеобходимость обеспечени€ первого уровн€ защищенности персональных данных при их обработке в информационной системе устанавливаетс€ при наличии хот€ бы одного из следующих условий:

а) дл€ информационной системы актуальны угрозы первого типа и информационна€ система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных;

б) дл€ информационной системы актуальны угрозы второго типа и информационна€ система обрабатывает специальные категории персональных данных более чем 100 000 субъектов персональных данных, не €вл€ющихс€ сотрудниками ќператора.

8.9.2. Ќеобходимость обеспечени€ второго уровн€ защищенности персональных данных при их обработке в информационной системе устанавливаетс€ при наличии хот€ бы одного из следующих условий:

а) дл€ информационной системы актуальны угрозы первого типа и информационна€ система обрабатывает общедоступные персональные данные;

б) дл€ информационной системы актуальны угрозы второго типа и информационна€ система обрабатывает специальные категории персональных данных сотрудников ќператора или специальные категории персональных данных менее чем 100 000 субъектов персональных данных, не €вл€ющихс€ сотрудниками ќператора;

в) дл€ информационной системы актуальны угрозы второго типа и информационна€ система обрабатывает биометрические персональные данные;

г) дл€ информационной системы актуальны угрозы второго типа и информационна€ система обрабатывает общедоступные персональные данные более чем 100 000 субъектов персональных данных, не €вл€ющихс€ сотрудниками ќператора;

д) дл€ информационной системы актуальны угрозы второго типа и информационна€ система обрабатывает иные категории персональных данных более чем 100 000 субъектов персональных данных, не €вл€ющихс€ сотрудниками ќператора;

е) дл€ информационной системы актуальны угрозы третьего типа и информационна€ система обрабатывает специальные категории персональных данных более чем 100 000 субъектов персональных данных, не €вл€ющихс€ сотрудниками ќператора.

8.9.3. Ќеобходимость обеспечени€ третьего уровн€ защищенности персональных данных при их обработке в информационной системе устанавливаетс€ при наличии хот€ бы одного из следующих условий:

а) дл€ информационной системы актуальны угрозы второго типа и информационна€ система обрабатывает общедоступные персональные данные сотрудников ќператора или общедоступные персональные данные менее чем 100 000 субъектов персональных данных, не €вл€ющихс€ сотрудниками ќператора;

б) дл€ информационной системы актуальны угрозы второго типа и информационна€ система обрабатывает иные категории персональных данных сотрудников ќператора или иные категории персональных данных менее чем 100 000 субъектов персональных данных, не €вл€ющихс€ сотрудниками ќператора;

в) дл€ информационной системы актуальны угрозы третьего типа и информационна€ система обрабатывает специальные категории персональных данных сотрудников ќператора или специальные категории персональных данных менее чем 100 000 субъектов персональных данных, не €вл€ющихс€ сотрудниками ќператора;

г) дл€ информационной системы актуальны угрозы третьего типа и информационна€ система обрабатывает биометрические персональные данные;

д) дл€ информационной системы актуальны угрозы третьего типа и информационна€ система обрабатывает иные категории персональных данных более чем 100 000 субъектов персональных данных, не €вл€ющихс€ сотрудниками ќператора.

8.9.4. Ќеобходимость обеспечени€ четвертого уровн€ защищенности персональных данных при их обработке в информационной системе устанавливаетс€ при наличии хот€ бы одного из следующих условий:

а) дл€ информационной системы актуальны угрозы третьего типа и информационна€ система обрабатывает общедоступные персональные данные;

б) дл€ информационной системы актуальны угрозы третьего типа и информационна€ система обрабатывает иные категории персональных данных сотрудников ќператора или иные категории персональных данных менее чем 100 000 субъектов персональных данных, не €вл€ющихс€ сотрудниками ќператора.

8.10. —остав и содержание мер по обеспечению безопасности персональных данных, необходимых дл€ обеспечени€ каждого из уровней защищенности персональных данных, приведены в приложении к —оставу и содержанию организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ‘—“Ё  –оссии от 18.02.2013

є 21.

8.11. «аполнив форму обратной св€зи, либо воспользовавшись иным сервисом сайта ѕользователь дает свое согласие на получение информационных и рекламных рассылок. ƒл€ отзыва своего согласи€ пользователь может обратитьс€ с письменным за€влением к ќѕ≈–ј“ќ–”, или на адрес эл.почты: pan74.ru@mail.ru

 

9. јктуализаци€, исправление, удаление и уничтожение

персональных данных, ответы на запросы субъектов на доступ

к персональным данным

9.1. —убъект персональных данных имеет право на получение информации, касающейс€ обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основани€ и цели обработки персональных данных;

3) цели и примен€емые оператором способы обработки персональных данных;

4) наименование и место нахождени€ ќператора, сведени€ о лицах (за исключением работников ќператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с ќператором или на основании федерального закона;

5) обрабатываемые персональные данные, относ€щиес€ к соответствующему субъекту персональных данных, источник их получени€, если иной пор€док представлени€ таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранени€;

7) пор€док осуществлени€ субъектом персональных данных прав, предусмотренных ‘едеральным законом Ђќ персональных данныхї;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, им€, отчество и адрес лица, осуществл€ющего обработку персональных данных по поручению ќператора, если обработка поручена или будет поручена такому лицу;

10) иные сведени€, предусмотренные ‘едеральным законом Ђќ персональных данныхї или другими федеральными законами.

9.2. ”казанные выше сведени€ должны быть предоставлены субъекту персональных данных ќператором в доступной форме и в них не должны содержатьс€ персональные данные, относ€щиес€ к другим субъектам персональных данных, за исключением случаев, если имеютс€ законные основани€ дл€ раскрыти€ таких персональных данных.

9.3. —ведени€, указанные в пункте 9.1, предоставл€ютс€ субъекту персональных данных или его представителю ќператором при обращении либо при получении запроса субъекта персональных данных или его представител€. «апрос должен содержать номер основного документа, удостовер€ющего личность субъекта персональных данных или его представител€, сведени€ о дате выдачи указанного документа и выдавшем его органе,

сведени€, подтверждающие участие субъекта персональных данных в от ношени€х с ќператором (номер договора, дата заключени€ договора, условное словесное обозначение и (или) иные сведени€), либо сведени€, иным образом подтверждающие факт обработки персональных данных ќператором, подпись субъекта персональных данных или его представител€. «апрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством –оссийской ‘едерации.

9.4. ¬ случае если сведени€, указанные в пункте 9.1, а также обрабатываемые персональные данные были предоставлены дл€ ознакомлени€ субъекту персональных данных по его запросу, субъект персональных данных вправе обратитьс€ повторно к ќператору или направить ему повторный запрос в цел€х получени€ сведений, указанных в пункте 9.1, и ознакомлени€ с такими персональными данными не ранее чем через 30 дней после первоначального обращени€ или направлени€ первоначального запроса, если более короткий срок не установлен федеральным законом, прин€тым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому €вл€етс€ субъект персональных данных.

9.5. —убъект персональных данных вправе обратитьс€ повторно к ќператору или направить ему повторный запрос в цел€х получени€ сведений, указанных в пункте 9.1, а также в цел€х ознакомлени€ с обрабатываемыми персональными данными до истечени€ срока, указанного в пункте 9.4, в случае, если такие сведени€ и (или) обрабатываемые персональные данные не были предоставлены ему дл€ ознакомлени€ в полном объеме по результатам рассмотрени€ первоначального обращени€. ѕовторный запрос нар€ду со сведени€ми, указанными в пункте 9.1, должен содержать обоснование направлени€ повторного запроса.

9.6. ќператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего услови€м, предусмотренным пунктами 9.4 и 9.5. “акой отказ должен быть мотивированным. ќб€занность представлени€ доказательств обоснованности отказа в выполнении повторного запроса лежит на ќператоре.

9.7. ќператор об€зан сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относ€щихс€ к соответствующему субъекту персональных данных, а также предоставить возможность ознакомлени€ с этими персональными данными при обращении субъекта персональных данных или его представител€ либо в течение 30 дней с даты получени€ запроса субъекта персональных данных или его представител€.

9.8. ќператор об€зан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомлени€ с персональными данными, относ€щимис€ к этому субъекту персональных данных.

9.9. ¬ срок, не превышающий 7 (семи) рабочих дней со дн€ предоставлени€ субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные €вл€ютс€ неполными, неточными или неактуальными, ќператор об€зан внести в них необходимые изменени€.

9.10. ¬ срок, не превышающий 7 (семи) рабочих дней со дн€ представлени€ субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные €вл€ютс€ незаконно полученными или не €вл€ютс€ необходимыми дл€ за€вленной цели обработки, ќператор об€зан уничтожить такие персональные данные.

9.11. ќператор об€зан уведомить субъекта персональных данных или его представител€ о внесенных изменени€х и предприн€тых мерах и прин€ть разумные меры дл€ уведомлени€ третьих лиц, которым персональные данные этого субъекта были переданы.

9.12. ¬ случае вы€влени€ неправомерной обработки персональных данных при обращении субъекта персональных данных или его представител€, либо по запросу субъекта персональных данных или его представител€, либо уполномоченного органа по защите прав субъектов персональных данных ќператор об€зан осуществить блокирование неправомерно обрабатываемых персональных данных, относ€щихс€ к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персо-

нальных данных осуществл€етс€ другим лицом, действующим

по поручению ќператора) с момента такого обращени€ или получени€

указанного запроса на период проверки.

9.13. ¬ случае вы€влени€ неточных персональных данных при обращении

субъекта персональных данных или его представител€ либо по их запро-

су или по запросу уполномоченного органа по защите прав субъектов

персональных данных ќператор об€зан осуществить блокирование пер-

сональных данных, относ€щихс€ к этому субъекту персональных данных,

или обеспечить их блокирование (если обработка персональных данных

осуществл€етс€ другим лицом, действующим по поручению ќператора)

с момента такого обращени€ или получени€ указанного запроса на пери-

од проверки, если блокирование персональных данных не нарушает

права и законные интересы субъекта персональных данных или третьих

лиц.

9.14. ¬ случае подтверждени€ факта неточности персональных данных ќператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов об€зан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществл€етс€ другим лицом, действующим по поручению ќператора) в течение семи рабочих дней со дн€ представлени€ таких сведений и сн€ть блокирование персональных данных.

9.15. ¬ случае вы€влени€ неправомерной обработки персональных данных, осуществл€емой ќператором или лицом, действующим по поручению ќператора, ќператор в срок, не превышающий трех рабочих дней с даты этого вы€влени€, об€зан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению ќператора. ¬ случае если обеспечить правомерность обработки персональных данных невозможно, ќператор в срок, не превышающий 10 рабочих дней с даты вы€влени€ неправомерной обработки персональных данных, об€зан уничтожить такие персональные данные или обеспечить их уничтожение.

ќб устранении допущенных нарушений или об уничтожении персональных данных ќператор об€зан уведомить субъекта персональных данных или его представител€, а в случае, если обращение субъекта персональных данных или его представител€ либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

9.16. ¬ случае достижени€ цели обработки персональных данных ќператор об€зан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществл€етс€ другим лицом, действующим по поручению ќператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществл€етс€ другим лицом, действующим по поручению ќператора) в срок, не превышающий тридцати дней с даты

достижени€ цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому €вл€етс€ субъект персональных данных, иным соглашением между ќператором и субъектом персональных данных либо если ќператор не вправе осуществл€ть обработку персональных данных без согласи€ субъекта персональных данных на основани€х, предусмотренных ‘едеральным законом Ђќ персональных данныхї или другими федеральными законами.

9.17. ¬ случае отзыва субъектом персональных данных согласи€ на обработку его персональных данных ќператор об€зан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществл€етс€ другим лицом, действующим по поручению ќператора) и в случае, если сохранение персональных данных более не требуетс€ дл€ целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществл€етс€ другим лицом, действующим по поручению ќператора) в срок, не превышающий 30 дней с даты поступлени€ указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому €вл€етс€ субъект персональных данных, иным соглашением между ќператором и субъектом персональных данных либо если ќператор не вправе осуществл€ть обработку персональных данных без согласи€ субъекта персональных данных на основани€х, предусмотренных ‘едеральным законом Ђќ персональных данныхї или другими федеральными законами.

9.18. ¬ случае отсутстви€ возможности уничтожени€ персональных данных в течение указанных сроков ќператор осуществл€ет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществл€етс€ другим лицом, действующим по поручению ќператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть мес€цев, если иной срок не установлен федеральными законами.

 

10. «аключительные положени€

10.1. ѕолитика €вл€етс€ общедоступным документом.

10.2. ќтветственность лиц, имеющих доступ к персональным данным,

определ€етс€ действующим законодательством –оссийской ‘едерации.

«аписатьс€ на приЄм
* - пол€, об€зательные дл€ заполнени€
Ќажима€ на кнопку "ќтправить за€вку" подтверждаю, что € ознакомлен и согласен с услови€ми политики обработки данных.
»ћ≈ё“—я ѕ–ќ“»¬ќѕќ ј«јЌ»я. Ќ≈ќЅ’ќƒ»ћј  ќЌ—”Ћ№“ј÷»я —ѕ≈÷»јЋ»—“ј