Политика обработки и защиты персональных данных

1. Общие положения

Настоящая Политика общества с ООО «МТК «МГ» (далее — Оператор) регламентирует обработку персональных данных работников, представленных контрагентами (пациентов — физических лиц), во исполнение требований:

• Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»
• ст. 86–90 Трудового кодекса Российской Федерации
• ст. 150 Гражданского кодекса Российской Федерации
• ст. 137 Уголовного кодекса Российской Федерации
• ст. 13.11 Кодекса РФ об административных правонарушениях

Политика действует в отношении всех персональных данных, которые Оператор получает и обрабатывает в ходе своей деятельности.

1.6. Основные права и обязанности Оператора

Оператор вправе:

• самостоятельно определять состав и перечень мер для обеспечения защиты данных в соответствии с законодательством;
• поручать обработку данных другому лицу с согласия субъекта на основании договора;
• в случае отзыва согласия продолжить обработку, если это предусмотрено федеральным законом.

Оператор обязан:

• предоставлять субъекту информацию об обработке его данных по запросу;
• принимать меры для защиты данных от неправомерного доступа, изменения, распространения и уничтожения;
• направлять уведомление в Роскомнадзор при наличии оснований.

1.7. Основные права субъектов персональных данных

Субъект персональных данных имеет право:

• получать информацию об обработке его данных;
• требовать уточнения, блокирования или уничтожения данных, если они неполные, устаревшие или незаконно полученные;
• отозвать согласие на обработку в целях продвижения услуг;
• обжаловать действия Оператора в Роскомнадзоре.

2. Цели сбора персональных данных

Обработка персональных данных ограничивается достижением конкретных, заранее определённых и законных целей. Обрабатываются только данные, которые отвечают целям их обработки.

2.3. Цели обработки данных Оператором

• Осуществление законной деятельности в соответствии с Уставом Общества, в том числе заключение и исполнение договоров.
• Исполнение трудового законодательства: трудоустройство, получение образования и продвижение по службе, привлечение кандидатов на работу, обеспечение личной безопасности, контроль качества работы, обеспечение сохранности имущества, ведение кадрового и бухгалтерского учёта.
• Подача сведений в уполномоченные органы отчётности, постановка на индивидуальный учёт в систему обязательного пенсионного страхования.

2.4. Обработка данных работников

Осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных актов.

3. Правовые основания обработки персональных данных

Правовыми основаниями обработки персональных данных являются:

• Трудовой кодекс Российской Федерации
• Федеральный закон от 08.02.1998 №14-ФЗ «Об обществах с ограниченной ответственностью»
• Налоговый кодекс Российской Федерации
• Федеральный закон от 06.12.2011 №402-ФЗ «О бухгалтерском учёте»
• Федеральный закон от 15.12.2001 №167-ФЗ «Об обязательном пенсионном страховании в РФ»
• Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных»
• Иные нормативные акты, регулирующие деятельность в сфере охраны здоровья.

4.4. Специальные категории персональных данных

Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой или национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.

4. Объём и категории обрабатываемых данных, категории субъектов

4.2.1. Работники Оператора — данные для трудового законодательства

• фамилия, имя, отчество;
• год, месяц, дата и место рождения;
• гражданство;
• ИНН;
• сведения об образовании, квалификации, профессиональной подготовке;
• семейное положение, наличие детей, родственные связи;
• сведения о трудовой деятельности, воинском учёте;
• данные паспорта (вид, серия, номер, дата выдачи, орган, выдавший документ).

4.2.2. Работники — расширенный перечень

• фамилия, имя, отчество;
• год рождения;
• фотография;
• адрес регистрации по месту жительства;
• СНИЛС (страховой номер индивидуального лицевого счёта);
• номер расчётного счёта;
• иные персональные данные в соответствии с требованиями законодательства.

4.2.4. Пациенты и контрагенты — для осуществления деятельности Оператора

• фамилия, имя, отчество;
• дата и место рождения;
• паспортные данные;
• адрес регистрации по месту жительства;
• занимаемая должность;
• номер расчётного счёта;
• иные данные, необходимые для заключения и исполнения договоров.

4.2.5. Представители контрагентов (физических лиц)

• фамилия, имя, отчество;
• паспортные данные;
• адрес регистрации по месту жительства;
• контактные данные;
• иные персональные данные, необходимые для заключения и исполнения договоров.

5. Порядок и условия обработки персональных данных

Обработка осуществляется в соответствии с требованиями законодательства РФ. С согласия субъекта — во всех случаях, предусмотренных законом; без согласия — лишь если это допускается федеральным законом.

5.3. Способы обработки

• неавтоматизированная обработка;
• автоматизированная обработка с передачей по информационно-телекоммуникационным сетям или без таковой;
• смешанная обработка.

5.5. Обработка осуществляется путём

• получения данных в устной и письменной форме непосредственно от субъектов;
• внесения персональных данных в журналы, реестры и информационные системы Оператора;
• иных способов, не противоречащих законодательству.

5.6. Раскрытие данных третьим лицам

5.7. Передача в государственные органы

Передача в налоговую службу, Фонд пенсионного и социального страхования РФ и другие уполномоченные органы осуществляется в соответствии с требованиями законодательства.

5.8. Защита персональных данных

Оператор принимает необходимые организационные и технические меры для защиты данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования и распространения:

• определяет угрозы безопасности при обработке;
• принимает локальные нормативные акты, регулирующие отношения в сфере обработки и защиты персональных данных;
• назначает лиц, ответственных за обеспечение безопасности данных в структурных подразделениях и информационных системах.

5.9. Хранение персональных данных

Оператор хранит данные не дольше, чем этого требует каждая цель обработки.

5.9.1. На бумажных носителях — в течение сроков, установленных Федеральным законом от 22.10.2004 №125-ФЗ «Об архивном деле в РФ» и Приказом Росархива от 20.12.2019 №236.

5.9.2. В информационных системах — срок хранения соответствует сроку хранения на бумажных носителях.

5.10. Прекращение обработки

Оператор прекращает обработку в следующих случаях:

• выявлен факт неправомерной обработки — в течение 3 рабочих дней с даты выявления;
• достигнута цель обработки либо утрачена необходимость — в течение 30 дней;
• отозвано согласие субъекта — в течение 30 дней;
• поступило требование об уничтожении при отсутствии оснований для обработки — в течение 30 дней.

6. Актуализация, исправление, удаление данных. Ответы на запросы субъектов

6.1. Подтверждение обработки по запросу

Оператор подтверждает факт обработки персональных данных субъекту в течение 10 рабочих дней с момента обращения. Срок может быть продлён не более чем на 5 рабочих дней с направлением субъекту мотивированного уведомления.

Состав запроса

Запрос должен содержать:

• номер основного документа, удостоверяющего личность субъекта или его представителя;
• сведения о дате выдачи указанного документа и выдавшем его органе;
• сведения, подтверждающие участие субъекта в отношениях с Оператором (номер договора, дата заключения и иные сведения);
• подпись субъекта персональных данных или его представителя.

Запрос может быть направлен в форме электронного документа, подписанного электронной подписью в соответствии с законодательством РФ.

6.2. При обращении субъекта в Роскомнадзор

При обращении субъекта или Роскомнадзора Оператор осуществляет блокирование персональных данных с момента такого обращения на период проверки. Если факт неточности подтвердится — уточняет в течение 7 рабочих дней и снимает блокирование.

6.4. Уведомление Роскомнадзора об инцидентах

• в течение 24 часов — уведомляет о произошедшем инциденте, предполагаемых причинах и принятых мерах по устранению последствий;
• в течение 72 часов — уведомляет о результатах внутреннего расследования и ведёт список лиц, действия которых стали причиной инцидента.

6.5. Сроки уничтожения данных

• достижение цели обработки либо утрата необходимости — 30 дней;
• отзыв согласия субъекта, если хранение более не требуется — 30 дней;
• предоставление данных без законного основания — 7 рабочих дней.

Способы уничтожения персональных данных устанавливаются в локальных нормативных актах Оператора.