Политика обработки ПДН
ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В ООО «САНАТОРИЙ «МЕТАЛЛУРГ»
(утверждена приказом директора ООО «Санаторий «Металлург»
от 01.10.2024 № 209)
1. Общие положения
1.1. Настоящая Политика определяет политику Оператора в отношении обработки ПДн и содержит сведения о реализованных мерах по защите ПДн в соответствии с требованиями Федерального закона № 152-ФЗ.
1.2. Оператор самостоятельно осуществляет обработку ПДн, определяет цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
1.3. При обработке ПДн Оператор руководствуется следующими принципами:
обработка ПДн осуществляется на законной и справедливой основе;
обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;
обработка ПДн, несовместимая с целями сбора ПДн не допускается;
объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой, не допускается;
обработке подлежат только ПДн, которые отвечают целям их обработки;
содержание и объем обрабатываемых ПДн соответствует заявленным целям обработки, обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки;
при обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн;
обрабатываемые персональные данные подлежат уничтожению или обезличиванию по достижению целей обработки или, в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
1.4. Указанные в п. 1.3. настоящей Политики принципы применяются ко всем видам обработки ПДн – как к автоматизированной обработке, так и к обработке без использования средств автоматизации.
1.5. На основе настоящей Политики Оператором разрабатываются внутренние документы, устанавливающие процедуры обработки и защиты обрабатываемых Пдн.
2. Термины, определения и сокращения
Автоматизированная обработка ПДн – обработка ПДн с помощью средств вычислительной техники.
Общество – Общество с ограниченной ответственностью «Санаторий «Металлург» (ООО «Санаторий «Металлург»).
Блокирование ПДн – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).
Заявитель – физические и юридические лица, а также государственные органы, обратившиеся к Оператору по вопросам, связанным с обработкой ПДн.
Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Контрагент – юридические и физические лица, с которыми Общество вступает в договорные отношения, за исключением трудовых отношений.
Обезличивание ПДн – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.
Обработка ПДн – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
Общество – Общество с ограниченной ответственностью «Санаторий «Металлург» (ООО «Санаторий «Металлург»).
Оператор персональных данных (Оператор) – Общество, самостоятельно или совместно с третьими лицами организующий и (или) осуществляющий обработку ПДн, а также определяющий цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту ПДн).
Персональные данные, разрешенные субъектом ПДн для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн путем дачи согласия на обработку ПДн, разрешенных субъектом ПДн для распространения в порядке, предусмотренном Федеральным законом № 152-ФЗ.
Политика – Политика обработки персональных данных Общества.
Предоставление ПДн – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.
Распространение ПДн – действия, направленные на раскрытие ПДн неопределенному кругу лиц.
Сайт – официальный сайт Оператора в сети Интернет.
Субъект ПДн – физическое лицо, которое прямо или косвенно определено или определяемо с помощью ПДн. Под субъектом ПДн понимается как сам субъект ПДн, так и его законный представитель: родитель, опекун, попечитель и иные лица, полномочия, которых установлены в соответствии с законодательством Российской Федерации.
Трансграничная передача ПДн – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Уничтожение ПДн – действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и (или) в результате которых уничтожаются материальные носители ПДн.
Федеральный закон № 152-ФЗ
– Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
3. Цели обработки
3.1. Общество осуществляет обработку ПДн в целях выполнения функций, возложенных на Оператора законодательством Российской Федерации.
3.2. Общее определение целей приведено в Таблице № 1 настоящей Политики. При этом конкретные цели обработки прямо устанавливаются в согласии на обработку персональных данных, которое дает субъект ПДн.
Таблица № 1 — Цели обработки персональных данных
Субъекты персональных данных | Цели обработки персональных данных |
Претенденты на должность |
|
Работники |
|
Родственники работников | Выполнение требований законодательства РФ, предъявляемых в силу заключенных трудовых договоров, в том числе:
|
Уволенные работники |
|
Контрагенты (физические лица и/или представители контрагентов) |
|
Клиенты – физические лица |
|
Посетители территории Оператора |
|
3.3. Категории и объем обрабатываемых персональных данных, категории субъектов ПДн, способы, сроки обработки и хранения ПДн с учетом целей обработки ПДн определяются локальными документами Оператора в соответствии с законодательством Российской Федерации.
3.4. Для достижения целей обработки ПДн Оператор осуществляет следующие операции с ПДн: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение ПДн.
4. Получение и обработка ПДн
4.1. Обрабатываемые ПДн Оператор получает:
непосредственно у самого субъекта ПДн или его представителя;
в случаях, установленных законодательством Российской Федерации, от лица, не являющегося субъектом ПДн, в том числе от государственных органов.
4.2. Оператор осуществляет обработку ПДн исключительно на законных основаниях. Во всех предусмотренных законодательством Российской Федерации случаях Оператор организует получение письменного согласия субъекта ПДн на обработку его ПДн.
4.3. Получение ПДн от лица, не являющегося субъектом ПДн, осуществляется при наличии следующих оснований:
для достижения целей, предусмотренных законодательством Российской Федерации, или для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
для исполнения договора, стороной которого, либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;
для осуществления прав и законных интересов Оператора или третьих лиц при условии, что при этом не нарушаются права и свободы субъекта ПДн;
осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации.
4.4. Обработка ПДн без согласия субъекта ПДн может осуществляться Оператором в следующих случаях:
обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей;
обработка ПДн необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее – исполнение судебного акта);
обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;
обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
обработка ПДн необходима для осуществления прав и законных интересов Общества или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом № 230-ФЗ, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
обработка ПДн осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в ст. 15 Федерального закона № 152-ФЗ, при условии обязательного обезличивания ПДн;
осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
4.5. Оператор осуществляет обработку ПДн как с использованием средств автоматизации, так и без использования таких средств.
4.6. Для достижения целей Оператор обрабатывает ПДн субъектов ПДн -физических лиц, перечисленных в Таблице № 1 настоящей Политики.
4.7. Оператор не осуществляет действий, направленных на раскрытие ПДн неопределенному кругу лиц (т.е. не осуществляет распространения ПДн).
4.8. Оператор не раскрывает третьим лицам и не распространяет ПДн без письменного согласия субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации.
4.9. Оператор может поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку ПДн по поручению Оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные законодательством Российской Федерации и настоящей Политикой.
Лицо, осуществляющее обработку ПДн по поручению Оператора, не обязано получать согласие субъекта ПДн на обработку его ПДн.
В случае, если Оператор поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Оператор. Лицо, осуществляющее обработку ПДн по поручению Оператора, несет ответственность перед Оператором.
4.10. Для выполнения возложенных законодательством Российской Федерации функций, полномочий и обязанностей, а также для достижения своих целей Оператор предоставляет часть обрабатываемых ПДн:
в Социальный фонд России;
в Федеральную налоговую службу Российской Федерации;
в Федеральную миграционную службу Российской Федерации;
в правоохранительные органы Российской Федерации (по запросу);
а также в другие уполномоченные организации.
4.11. Оператор может осуществлять обработку специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, данных о судимости только при наличии оснований, указанных в ст. 10 Федерального закона № 152-ФЗ.
4.12. Оператор может осуществлять обработку биометрических ПДн, при этом во всех случаях указанная обработка осуществляется только с согласия в письменной форме субъекта ПДн.
4.13. Оператор не осуществляет трансграничную передачу ПДн.
4.14. Оператор не принимает решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки ПДн.
4.15. Оператор не осуществляет обработку ПДн в целях продвижения товаров и услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи.
5. Хранение информации
5.1. Оператор производит обработку ПДн не дольше, чем этого требуют цели обработки ПДн.
5.2. Оператор организует хранение ПДн в течение времени, установленного требованиями законодательства Российской Федерации, в том числе (но не исключительно): Трудового кодекса Российской Федерации, Федерального закона от 06.12.2011 № 402-ФЗ «О бухгалтерском учете», Налогового кодекса Российской Федерации; Федерального закона от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения» (Утвержден приказ ом Федерального архивного агентства от 20.12.2019 № 236).
5.3. При достижении целей обработки ПДн, в случае утраты необходимости в достижении этих целей, по окончанию сроков хранения ПДн обрабатываемые ПДн уничтожаются Оператором.
6. Защита информации
6.1. Оператор принимает необходимые правовые, организационные и технические меры для защиты обрабатываемых ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, от иных неправомерных действий в отношении ПДн.
6.2. Оператор приказом назначает сотрудника, ответственного за организацию обработки ПДн.
6.3. Оператором регулярно проводится анализ условий и факторов, создающих угрозы безопасности ПДн при их обработке.
6.4. Система защиты ПДн Оператора реализуется с применением средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия.
6.5. Ввод в эксплуатацию новых ИСПДн производится только после выполнения процедур оценки эффективности принимаемых мер по обеспечению безопасности ПДн.
6.6. В рамках системы защиты ПДн Оператором реализованы:
подсистема обнаружения фактов несанкционированного доступа к ПДн;
процедуры установления правил доступа к ПДн;
процедуры регистрации и учета всех действий, совершаемых с ПДн;
процедуры восстановления ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
процедуры оценки вреда, который может быть причинен субъектам ПДн;
учет машинных носителей ПДн;
процедуры контроля и аудита соответствия обработки ПДн установленным требованиям законодательства Российской Федерации;
процедуры контроля за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности ПДн;
процедуры обучения и повышения осведомленности сотрудников Общества по вопросам обеспечения безопасности ПДн.
6.7. Оператор осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных Федеральному закону № 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам в области обработки и обеспечения безопасности персональных данных.
7. Раскрытие информации
7.1. Оператором направлено Уведомление об обработке ПДн в уполномоченный орган по защите прав субъектов ПДн.
7.2. Для обеспечения неограниченного доступа к политике Оператора в отношении обработки ПДн сведениям о реализованных мерах по защите ПДн текст настоящей Политики опубликован на официальном сайте www.mettallurgess.ru
7.3. Обеспечение реализации прав Субъектов ПДн осуществляется посредством исполнения запросов, поступающих от физических лиц Оператору по адресам:
почтовый адрес: 357601, Ставропольский край, город Ессентуки, улица Ленина, 30;
электронный адрес: info@mettallurgess.ru
8. Обработка данных посредством сайта оператора
- В работе Сайта Оператора задействованы, в том числе, технологии cookie. Указанные технологии позволяют предоставлять пользователям Сайта настроенное под них окружение при повторном посещении Сайта.
- Файлы cookie, используемые на Сайте, подразделяются на такие категории как: «необходимые», «эксплуатационные» и «функциональные».
- Необходимые файлы cookie обязательны для просмотра веб-страниц Сайта и полноценного использования их функций.
- Эксплуатационные файлы cookie собирают информацию об использовании Сайта, например, о наиболее часто посещаемых его страницах. Указанные файлы используются для оптимизации работы Сайта и упрощения для пользователей навигации по нему. Эксплуатационные файлы cookie также используются аффилированными лицами Оператора в целях определения переходов пользователей на Сайт с сайтов аффилированных лиц, а также определения использования сервисов Оператора. Вся информация, собранная с помощью указанных файлов предназначена для статистических целей и остается анонимной.
- Функциональные файлы cookie позволяют Сайту запоминать пользовательский выбор при использовании Сайта. Такие файлы могут запоминать месторасположение пользователей для отображения Сайта на языке страны, в которой располагается пользователь, а также запоминать настройки размера шрифта текста и других настраиваемых параметров Сайта.
- Информация, собираемая посредством файлов cookie, не позволяет однозначно идентифицировать пользователей Сайта.
- Оператор может обрабатывать файлы cookie самостоятельно или с привлечением Сервиса Яндекс. Метрика для целей, указанных выше.
- Если пользователи Сайта предпочитают не получать файлы cookie при просмотре Сайта, они могут настроить свой браузер таким образом, чтобы не получать такие файлы, либо так, чтобы браузер предупреждал пользователей перед принятием файлов cookie либо блокировал их.
9. Права субъектов персональных данных
- Субъекты ПДн принимают решение о предоставлении своих ПДн Оператору и дают согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПДн должно быть конкретным, предметным, информированным, сознательным и однозначным.
- Субъекты ПДн, ПДн которых обрабатываются Оператором, по собственной инициативе могут отозвать согласие на обработку.
-
Субъект ПДн, ПДн которого обрабатываются Обществом, имеет право на доступ к своим ПДн.
- Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:
подтверждение факта обработки ПДн Обществом;
правовые основания и цели обработки ПДн;
применяемые Оператором способы обработки ПДн;
наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании законодательства Российской Федерации;
перечень обрабатываемых ПДн, относящихся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен законодательства Российской Федерации;
сроки обработки ПДн, в том числе сроки их хранения;
порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом № 152-ФЗ;
информацию об осуществленной или о предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;
информацию о способах исполнения Обществом обязанностей, установленных ст. 18.1 Федерального закона №152-ФЗ;
иные сведения, предусмотренные Федеральным законом № 152-ФЗ или другими федеральными законами.
- Указанные в п. 9.3.1. сведения предоставляются Оператором субъекту ПДн или его представителю в течение десяти рабочих дней с момента обращения либо получения Оператором запроса субъекта ПДн или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Сведения должны предоставляться в той форме, в которой в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Оператором, подпись субъекта ПДн или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
- Указанные сведения должны быть предоставлены субъекту ПДн или его представителю Оператором в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн.
- Субъект ПДн вправе повторно обратиться к Оператору или направить ему повторный запрос в целях получения указанных в п. 9.3.1. настоящей Политики сведений не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен Федеральным законом № 152-ФЗ, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого является субъект ПДн.
- Субъект ПДн вправе повторно обратиться в Общество или направить ему повторный запрос в целях получения указанных в п. 9.3.1. настоящей Политики сведений до истечения срока, указанного в п. 9.3.4. настоящей Политики в случае, если такие сведения и (или) обрабатываемые ПДн не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос дополнительно к сведениям, указанным в п. 9.3.2. настоящей Политики, должен содержать обоснование направления повторного запроса.
- Оператор вправе отказать субъекту ПДн в выполнении повторного запроса, не соответствующего условиям, предусмотренным п. 9.3.2. и п. 9.3.5. настоящей Политики. Такой отказ должен быть мотивированным и содержать сведения и (или) документы (их копии) доказывающие обоснованность отказа в выполнении повторного запроса.
- Субъект ПДн вправе требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
- Если субъект ПДн считает, что Оператор осуществляет обработку его ПДн с нарушением требований Федерального закона № 152-ФЗ или иным образом нарушает его права и свободы, он вправе направить соответствующее уведомление в Роскомнадзор или обжаловать действия/бездействие Оператора в судебном порядке.
10. Заключительные положения
10.1. Действие настоящей Политики распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению, извлечению, использованию, передаче (распространению, предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению ПДн, осуществляемых с использованием средств автоматизации и без использования таких средств.
10.2. Настоящая Политика распространяется на все подразделения и всех сотрудников Общества, участвующих в обработке ПДн.
10.3. Настоящая Политика подлежит пересмотру (актуализации) в случае изменения законодательства Российской Федерации или отраслевых стандартов в области защиты ПДн, но не реже одного раза в три года.
10.4. Ответственность сотрудников Оператора, осуществляющих обработку ПДн, за невыполнение требований норм, регулирующих обработку и защиту ПДн, определяется в соответствии с законодательством Российской Федерации.