Положение о защите персональных данных клиентов (пациентов)
1.Назначение
1.1.Настоящее положение о защите персональных данных (далее Положение) определяет политику ООО «Салона красоты Лянэж» (далее Оператор) в области обработки персональных данных, основные принципы, порядок и условия обработки персональных данных, содержит сведения о реализуемых мерах по их защите, а также позволяет обеспечить реализацию принципов законности, конфиденциальности и безопасности информации в отношении:
- ко всей информации, которую Оператор может получить о посетителях веб-сайта https://salon-l.ru/
- Лица, получающего медицинскую помощь на основании договора на оказание платных медицинских услуг (далее Пациент),
- Лица, предоставляющего интересы Пациента на основании закона, решения уполномоченного органа, судебного акта, доверенности и иных документов, дающих право гражданину представлять интересы Пациентов в медицинской организации при получении (далее Представитель),
- Лица, получающие иные (парикмахерские, ногтевой сервис) услуги в ООО «Салон красоты Лянэж» (далее Клиент), вместе далее по тексту настоящего Положения, именуемых Субъект ПД или Субъекты ПД.
1.2 По всем вопросам, касающимися обработки персональных данных, субъекты персональных данных могут обратиться в ООО «Салон красоты «Лянэж», зарегистрированного по адресу: 160031, г. Вологда ул. Чехова. 13, по телефону: 8(8172) 21-08-27 и на электронную почту: lyanegsalon@yandex.ru
2.Нормативные ссылки
Настоящее Положение разработано в соответствии со следующими нормативными правовыми актами:
Конституция Российской Федерации (Принята всенародным голосованием 12 декабря 1993 года с изменениями);
ФЗ О персональных данных 27 июля 2006 года N 152-ФЗ;
ФЗ Об информации, информационных технологиях и о защите информации 27 июля 2006 года N 149-ФЗ
Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации Постановление Правительства 15 сентября 2008 г. N 687
Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных Постановление Правительства РФ от 1 ноября 2012 г. N 1119
Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами Постановление Правительства РФ от 21 марта 2012 г. N 211;
Об утверждении Порядка дачи информированного добровольного согласия на медицинское вмешательство и отказа от медицинского вмешательства, формы информированного добровольного согласия на медицинское вмешательство и формы отказа от медицинского вмешательства Приказ Министерства здравоохранения Российской Федерации от 12.11.2021 № 1051н;
Об утверждении Правил предоставления медицинскими организациями платных медицинских услуг, внесении изменений в некоторые акты Правительства Российской Федерации и признании утратившим силу постановления Правительства Российской Федерации от 4 октября 2012 г. N 1006″ Постановление Правительства РФ от 11.05.2023 N 736
Основание для обработки данных могут являться и иные нормативные правовые акты, прямо в настоящем Положении не упомянутые, но предусматривающие нормы и требования, подлежащие соблюдению при обработке персональных данных
3.Термины и определения
Персональные данные (ПД)- персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), пользователю веб-сайта https://salon-l.ru /;
Пользователь – любой посетитель веб-сайта https://salon-l.ru /;
Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
Веб-сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу https://salon-l.ru /;
Персональные данные, разрешенные субъектом персональных данных для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом;
Распространение персональных данных – любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;
Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных)
Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
4.Требования, предъявляемые Оператором к обеспечению режима конфиденциальности и защиты персональных данных
4.1 Положение является обязательным для исполнения всеми работниками Оператора, имеющими доступ к персональным данным, и действует в отношении всех персональных данных, которые оператор, может получить от Субъекта персональных данных
4.2 Положение подлежит обязательному опубликованию на официальном сайте ООО «Салона красоты Лянэж» — www.salon-l.ru и должно быть размещено на информационном стенде в уголке потребителя Салона красоты Лянэж.
4.3 Ознакомление Субъекта ПД с настоящем Положением и дача согласия на обработку и/или распространения персональных данных осуществляется в следующем порядке:
Путем собственноручного подписания Согласия на обработку персональных данных по утвержденной форме в Салоне красоты Лянэж
Путем проставления галочки (нажатия кнопки «Согласен», «Принимаю», «Отправить» и пр.) в соответствующем окне, расположенном на официальном сайте Оператора, указанном в пункте 4.2 настоящего положения.
Путем совершения конклюдентных действий, а именно вход в помещение после прочтения уведомления о том, что в салоне ведется видеонаблюдение, размещенного при входе в помещение
ВАЖНО: Подпись Субъекта ПД в форме Согласия на обработку персональных данных, или вход посетителя в помещение Оператора означает ознакомление Субъекта ПД с настоящим Положением и условиями обработки персональных данных Оператора
5.Принципы обработки персональных данных
Обработка персональных данных осуществляется на законной и справедливой основе
Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
Обработке подлежат только персональные данные, которые отвечают целям их обработки.
Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
Оператор принимает необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
6.Цель обработки персональных данных
Целью обработки персональных данных является
- оказание населению платных медицинских и иных услуг (парикмахерских, ногтевых) в соответствии с ФЗ от 21.11.2011 №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»,
- продвижение товаров, работ, услуг на рынке;
- связь с Субъектом ПД и его информирование посредством отправки электронных писем, смс сообщений и звонков;
- проведение аудита, анализ данных и различных исследований в целях улучшения продуктов и услуг Оператора
Собираемые Оператором персональные данные позволяют направлять Субъектам ПД уведомления о новых продуктах, специальных предложениях и различных событиях. Они также помогают улучшать услуги, контент и коммуникации Оператора. Субъект ПД в любое время может отказаться от рассылки путём информирования Оператора по указанным контактам для обратной связи (адрес электронной почты Lyanegsalon@yandex.ru с пометкой «Отказ об уведомлениях о новых продуктах, услугах и специальных предложениях»).
Оператор может использовать персональные данные Субъекта ПД для отправки важных уведомлений, содержащих информацию об изменениях наших положений, условий и политик, а также подтверждающих размещенные Вами заказы и совершенные покупки. Поскольку такая информация важна для взаимоотношений Субъекта ПД с Оператором, Субъект ПД не может отказаться от получения таких сообщений
Если Субъект ПД принимает участие в розыгрыше призов, конкурсе или похожем стимулирующем мероприятии, Оператор сохраняет за собой право использовать предоставляемые субъектом персональных данных персональные данные для управления такими программами.
Обезличенные данные о действиях Субъекта ПД на сайте, собираемые с помощью сервисов интернет-статистики, служат для улучшения качества сайта и его содержания.
7.Обработка персональных данных
7.1 Перечень персональных данных, обрабатываемых Оператором
- Фамилия, имя, отчество
- Дата рождения
- Реквизиты документа, удостоверяющего личность
- Реквизиты документа, дающего право на предоставление интересов Пациента
- Адрес регистрации и место пребывания
- Номера телефонов
- Адрес электронной почты
- Данные о состоянии здоровья, имеющиеся заболевания и назначенном лечении
- ИНН
- Изображения «До» и «После»
- Изображения с камер видеонаблюдения, осуществляющих запись голоса и изображения
- Банковские реквизиты
- Файлы cookie
7.2.Для ведения статистики и анализа работы Сайта происходит сбор и обработка обезличенных данных о посетителях (в т.ч. файлов «cookie») с помощью сервисов метрического сервиса Яндекс.Метрика и “top.mail.ru” такие категории данных, как:
Персональная информация, предоставленная Субъектом ПД при регистрации (создании учетной записи), такая как Ваше имя, номер телефона, адрес и возраст, пол, часовой пояс
Электронные данные (HTTP-заголовки, IP-адрес, файлы cookie, веб-маяки/пиксельные теги, данные об идентификаторе браузера, информация об аппаратном и программном обеспечении, данные сети wi-fi, параметры загрузки страницы, высота и ширина экрана, Наличие JavaScript, глубина цвета экрана )
Учет взаимодействий посетителя с сайтом, в том числе использование на сайте методов JavaScript API (JavaScript-события),
Дата и время осуществления доступа к Сайтам и/или Сервисам, глубина просмотра, просмотр страницы, визит, переход по внешней ссылке, скачивание файла, Отказ,
Информация о Вашей активности во время использования Сайтов и/или Сервисов (например, история поисковых запросов, данные о покупках в Сервисах, данные о посещенных организациях, лайки и предпочтения, адреса электронной почты тех, с кем Вы ведете переписку, данные телефонной книги, информация о взаимодействии с другими пользователями, а также файлы и контент, хранящиеся в системах Яндекса);
Информация о геолокации
Иная информация о Субъекте ПД, необходимая для обработки в соответствии с условиями, регулирующими использование конкретных Сайтов или Сервисов Яндекса
Информация о Вас, которую мы получаем от наших Партнеров в соответствии с условиями соглашений, заключенных между Вами и соответствующим Партнером, и соглашений, заключенных между Яндексом и Партнером
Данные Ваших платежных карт, иная платежная информация, предоставленная Вами, а также полученная от Партнеров или иных лиц, участвующих в проведении платежной операции с использованием Сайтов или Сервисов Яндекса и/или в связи с оказанием Яндексом платных услуг
Сервис Яндекс.Метрики, доступный по адресу http://api.yandex.com/metrika, который позволяет различным сервисам и приложениям Пользователя взаимодействовать с сервисом Яндекс.Метрики ООО «Яндекс», зарегистрирован по адресу 119021, Москва, ул. Льва Толстого, д. 16 (далее – Яндекс). Яндекс. Метрика работает с файлами cookie и создает псевдонимные профили использования, которые позволяют анализировать использование Пользователями Сайта.
Информация, хранящаяся в таких файлах cookie (например, тип /версия браузера, используемая операционная система, URL-адрес реферера, имя хоста компьютера, получающего доступ, время запроса к серверу), обычно передается и сохраняется на серверах Яндекс. Для блокировки Яндекс.Метрики можно скачать и установить надстройку по ссылке https://yandex.com/support/metrica/general/opt-out.html?lang=ru Дополнительную информацию можно получить в политике конфиденциальности Яндекс: https://yandex.ru/legal/confidential/?lang=ru. При блокировке Яндекс.Метрики некоторые функции Сайта могут стать недоступны
Указанные в настоящем пункте сведения не являются персональными данными.
7.3 Порядок работы с персональными данными по каждой из целей.
7.3.1. Порядок работы с персональными данными для цели оказание населению платных медицинских и иных услуг (парикмахерских, ногтевых) в соответствии с ФЗ от 21.11.2011 №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»
Категория персональных данных: общедоступные.
Перечень персональных данных: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, удостоверяющего личность за пределами Российской Федерации; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия; должность, сведения собираемые посредством метрических программ; сведения об образовании, сведения о состоянии здоровья.
Категория Субъектов персональных данных: лица, получающие медицинскую помощь на основании договора на оказание платных медицинских услуг, лица, получающие иные услуги (парикмахерские, ногтевой сервис)
Перечень действия с персональными данными: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение; распространение.
Способы обработки персональных данных: автоматизированная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет, без трансграничной передачи.
Сроки обработки и хранения персональных данных: Срок обработки и хранения персональных данных лиц, получающих медицинскую помощь по договору на оказание платных медицинских услуг составляет 25 лет; лица, получающие иные услуги срок обработки персональных данных до достижения целей обработки персональных данных или до момента получения отказа в обработке ПД
Порядок уничтожения персональных данных: удаление сведений из базы данных с выгрузкой лог файла, после достижения цели обработки или после получения от Субъекта ПД отзыва своего согласия на обработку персональных данных, документы, содержащие персональные данные Субъекта ПД могут быть обезличены и помещены в архив
7.3.2. Порядок работы с персональными данными для цели “Продвижение товаров, работ, услуг на рынке”
Категория персональных данных: общедоступные.
Перечень персональных данных: фамилия, имя, отчество; адрес электронной почты; номер телефона; сведения, собираемые посредством метрических программ;
Категория Субъектов персональных данных: посетитель веб-сайта https://salon-l.ru/;
Перечень действия с персональными данными: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение; распространение.
Способы обработки персональных данных: автоматизированная; без передачи по внутренней сети юридического лица; с передачей по сети Интернет, без трансграничной передачи.
Сроки обработки и хранения персональных данных: до достижения целей обработки персональных данных или до момента получения отказа в обработке ПД
Порядок уничтожения персональных данных: удаление сведений из базы данных с выгрузкой лог файла, после достижения цели обработки или после получения от Субъекта ПД отзыва своего согласия на обработку персональных данных, документы, содержащие персональные данные Субъекта ПД могут быть обезличены и помещены в архив
7.3.3. Порядок работы с персональными данными для цели “Связь с Субъектом ПД и его информирование посредством отправки электронных писем, смс сообщений и звонков”
Категория персональных данных: общедоступные.
Перечень персональных данных: фамилия, имя, отчество; адрес электронной почты; номер телефона; сведения, собираемые посредством метрических программ.
Категория Субъектов персональных данных: посетитель веб-сайта https https://salon-l.ru/;
Перечень действия с персональными данными: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение; распространение.
Способы обработки персональных данных: автоматизированная; без передачи по внутренней сети юридического лица; с передачей по сети Интернет, без трансграничной передачи.
Сроки обработки и хранения персональных данных: до достижения целей обработки персональных данных или до момента получения отказа в обработке ПД
Порядок уничтожения персональных данных: удаление сведений из базы данных с выгрузкой лог файла.
7.3.4 Порядок работы с персональными данными для цели “Проведение аудита, анализ данных и различных исследований в целях улучшения продуктов и услуг Оператора»
Категория персональных данных: общедоступные.
Перечень персональных данных: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; имущественное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные водительского удостоверения; данные документа, удостоверяющего личность за пределами Российской Федерации; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения, собираемые посредством метрических программ; сведения об образовании.
Категория Субъектов персональных данных: лица, получающие медицинскую помощь на основании договора на оказание платных медицинских услуг, лица, получающие иные услуги (парикмахерские, ногтевой сервис)
Перечень действия с персональными данными: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); обезличивание; блокирование; удаление; уничтожение; распространение.
Способы обработки персональных данных: автоматизированная; без передачи по внутренней сети юридического лица; с передачей по сети Интернет, без трансграничной передачи.
Сроки обработки и хранения персональных данных: до достижения целей обработки персональных данных или до момента получения отказа в обработке ПД
Порядок уничтожения персональных данных: удаление сведений из базы данных с выгрузкой лог файла, после достижения цели обработки или после получения от Субъекта ПД отзыва своего согласия на обработку персональных данных, документы, содержащие персональные данные Субъекта ПД могут быть обезличены и помещены в архив
7.4. Сбор и использование информации, не являющейся персональной
Оператор собирает персональные данные, не являющиеся персональными − данные, не позволяющие прямо ассоциировать их с каким-либо определённым лицом. Оператор может собирать, использовать, передавать и раскрывать информацию, не являющуюся персональной, для любых целей.
Оператор может собирать персональные данные, такие как: сведения о роде занятий, языке, почтовом индексе, уникальном идентификаторе устройства, местоположении и временной зоне, в которой используется тот или иной продукт, для того чтобы лучше понимать поведение потребителей и улучшать продукты, услуги и коммуникации.
Оператор может собирать персональные данные/информацию о том, чем интересуется пользователь на нашем веб-сайте при использовании других наших продуктов и сервисов. Такие персональные данные/информация собирается и используется для того, чтобы помочь Оператору предоставлять более полезную информацию нашим покупателям и для понимания того, какие элементы нашего сайта, продуктов и услуг наиболее интересны. Для целей настоящего Положения совокупные данные рассматриваются как данные/информация, не являющиеся персональными
Если совмещаем информацию, не являющуюся персональной, с персональной информацией, такая совокупная информация будет рассматриваться как персональная информация, пока такая информация будет являться совмещённой
7.5.Документы, содержащие персональные данные, создаются в процессе
Заполнение анкеты
Подписание договора на оказание платных медицинских услуг
Заполнение лечащим врачом медицинской карты амбулаторного больного
Создания иных документов в процессе получения медицинских услуг
Заполнение форм обратной связи и форм сервисов онлайн-оплаты на официальном сайте Оператора
7.6.Хранение персональных данных
Салон осуществляет хранение персональных данных пациентов на бумажных и электронных носителях с ограниченным доступом.
Хранение персональных данных осуществляется на бумажном носителе в журнале записи, медицинских картах, договорах, идс и других документах, которые хранятся в запираемом шкафу –картотеке. В электронном виде персональные данные обрабатываются и хранятся в программе 1с: Спа-салон и 1с: Комильфо на своем Сервере
Персональные данные Пользователей сервисов, размещенных на официальном сайте хранятся исключительно на электронных носителях и обрабатываются с использованием автоматизированных систем, а так же в архивных копиях баз данных этих систем. Работники Клиники обеспечивают их защиту от несанкционированного доступа и копирования.
Персональные данные посетителей Оператора, полученные при помощи камер видеонаблюдения, хранятся на сервере Оператора в течение 14 дней
Документы, содержание персональные данные, подлежащие архивации, сдаются в архив в соответствии с установленными законом требованиями
7.7 Обязанности работника
Работник Оператора, имеющий доступ к персональным данным Субъекта ПД в связи с исполнением своих трудовых обязанностей должен:
Принимать необходимые организационные и технические меры для защиты персональной информации от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц
Обеспечить отсутствие на своем рабочем столе каких-либо документов, содержащих персональные данные при отсутствии Работника на своем рабочем месте
8.Права и обязанности Субъекта персональных данных
Субъект ПД обязан предоставить Оператору достоверные сведения о себе
Субъект ПД имеет право:
Знать о правовых основаниях и целях обработки ПД
Знать о способах обработки персональных данных
Узнавать сведения о лицах, которые имеют доступ к ПД или о лицах, которым могут быть раскрыты ПД на основании договора с Оператором или на основании федерального закона
Знать сроки обработки персональных данных
Направлять Оператору запросы и обращения, обжаловать действия или бездействия Оператора
Требовать от оператора уточнения его персональных данных, их блокирования и уничтожения с случае, если персональные данные являются неполными, неточными, устаревшими, незаконно полученными или не являются необходимым для заявленной обработки целей, а также принимать предусмотренные законом меры по защите своих прав
Требовать предоставления перечня своих персональных данных, обрабатываемых Оператором и источник их получения
Требовать исключения или исправления неверных, или неполных персональных данных
Определять своих представителей для защиты своих персональных данных
Требовать сохранения и защиты своей личной и семейной тайны
Требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях и дополнениях
9.Обязанности Оператора
Оператор при обработке персональных данных обязан:
Назначить ответственных лиц за организацию обработки и обеспечения безопасности персональных данных, а также определить круг лиц, имеющих доступ к персональным данным в силу исполнения ими своих должностных обязанностей
При сборе персональных данных предоставить Субъекту ПД полную информацию об их обработке
В случаях, если персональные данные были получены не от Субъекта ПД, уведомить субъекта ПД о получении его персональных данных
При отказе Субъекта от предоставления персональных данных и/или согласия на их обработку, разъяснить последствия такого отказа
Опубликовать или иным образом обеспечить неограниченный доступ к настоящему Положению, определяющим политику Оператора в отношении защиты ПД при их обработке
Принимать необходимые правовые, организационные, технические меры или обеспечить их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных
Давать ответы на запросы и обращения Субъекта ПД, их представителей и/или уполномоченного органа по защите прав Субъекта ПД
Ответ предоставляется в течение 10 рабочих дней с момента получения Оператором соответствующего запроса. Указанный срок может быть продлен не более, чем на 5 рабочих дней по мотивированному уведомлению, которое Оператор должен направить в адрес лица, направившего запрос. Сведения предоставляются в той форме, в которой направлено соответствующее обращение, если в нем не указано иное
Не предоставлять персональные данные Субъектов третьим лицам без их согласия, за исключением, случаев, предусмотренных Федеральными законами Российской Федерации
В порядке, определенном органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечить взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирования его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных
В срок, не превышающий 24 часа с момента происшествия уведомить Роскомнадзор об утечке персональных данных
В течение 72 часов с момента происшествия провести внутреннее расследование причину утечки персональных данных и сообщить в Роскомнадзор о его результатах, а также виновниках (при наличии)
На сайте Роскомнадзора доступны специальные электронные формы для подачи уведомлений https://pd.rkn.gov.ru/incidents/form/
10.Порядок, условия и сроки обработки персональных данных
Доступ лиц не уполномоченных производить обработку персональных данных к документам на бумажном носителе и электронным базам данных, содержащих персональные данные, запрещен
Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается.
Обработка персональных данных Субъектов ПД осуществляется на срок до достижения целей обработки персональных данных или до момента получения отказа в обработке ПД, любым законным способом, в том числе в информационных системах персональных данных с использованием средств автоматизации или без использования таких средств
Срок обработки и хранения персональных данных лиц, получающих медицинскую помощь по договору на оказание платных медицинских услуг составляет 25 лет. Указанный срок установлен нормативными правовыми актами Российской Федерации, регулирующими условия и сроки хранения медицинской документации.
11.Ответственность оператора за разглашение конфиденциальной информации
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Субъекта ПД, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.
Работник оператора, допустивший разглашение персональных данных Субъекта ПД (передача их посторонним лицам, в том числе Работникам Оператора ,не имеющим к ним доступ) их публичное раскрытие, утрату документов и иных носителей, содержащих персональные данные Субъекта ПД , а также совершивший иные нарушения обязанностей по защите и обработке персональных данных, установленных настоящим Положением, организационными документами Оператора (приказы, распоряжения), должен быть привлечен к дисциплинарной ответственности. Данное нарушение приравнивается к грубому нарушению Работником своих трудовых обязанностей
12.Раскрытие информации третьими лицами
Оператору может быть необходимо — в соответствии с законом, судебным порядком, в судебном разбирательстве и/или на основании публичных запросов или запросов от государственных органов на территории или вне территории страны Вашего пребывания — раскрыть Ваши персональные данные. Оператор также может раскрывать персональные данные/информацию о Субъекте ПД, если такое раскрытие необходимо или уместно в целях национальной безопасности, поддержания правопорядка или иных общественно важных случаях.
Оператор можем раскрывать персональные данные/информацию о Субъекте ПД, если определиться, что раскрытие необходимо для приведения в исполнение положений и условий либо для целей защиты деятельности и пользователей. Дополнительно в случае реорганизации, слияния или продажи Оператор можем передать любую или всю собираемую нами персональную информацию соответствующему третьему лицу
В некоторых случаях Оператор может предоставлять определенную персональную информацию и данные стратегическим партнерам, которые работают с Оператором для предоставления продуктов и услуг, или тем из них, которые помогают Оператору реализовывать продукты и услуги потребителям. Оператор предоставляем третьим лицам минимальный объем персональных данных, необходимый только для оказания требуемой услуги или проведения необходимой транзакции.
Персональная информация будет предоставляться Оператором только в целях обеспечения Субъектов ПД продуктами и услугами, а также для улучшения этих продуктов и услуг, связанных с ними коммуникаций. Такая информация не будет предоставляться третьим лицам для их маркетинговых целей.
13.Порядок блокировки и/или уничтожения персональных данных
13.1 Блокирование (временное прекращение обработки ПД) персональных данных
В случае выявления неточных персональных данных, а также в случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому объекту персональных данных, не позднее трех календарных дней с момента такого обращения или получения указанного запроса на период проверки, прекращает неправомерную обработку персональных данных, если блокирование персональных данных не нарушает права и законные интересы Субъекта ПД или третьих лиц
В случае подтверждения факта неточности или неправомерности обработки персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем или уполномоченным органом по защите прав Субъекта ПД, или иных необходимых документов уточняет персональные данные либо обеспечивает их уточнение в течение 7 рабочих дней со дня представления таких сведений и снимает блокирование персональных данных
В случае если обеспечить точность или правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий 10 рабочих дней с даты выявления неточной и неправомерной обработки персональных данных, уничтожает такие персональные данные
13.2 Уничтожение персональных данных
Уничтожение документов, содержащих персональные данные, должно производиться в соответствии с общим порядком уничтожения документов
В случае, отзыва Субъектов ПД согласия на обработку персональных данных, в срок не превышающий 30 дней с даты поступления указанного требования, Оператор прекращает и случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает эти персональные данные
В случае, отдельно предусмотренных действующим федеральным законодательством, после достижения цели обработки или после получения от Субъекта ПД отзыва своего согласия на обработку персональных данных, документы, содержащие персональные данные Субъекта ПД могут быть обезличены и помещены в архив
В случае отзыва Субъектом ПД согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 ФЗ «О персональных данных» за исключением передачи персональных данных, которая должна быть прекращена немедленно
Уничтожение или обезличивание персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.