Персональные данные

ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

в Обществе с ограниченной ответственностью

«Санаторий «Ревиталь Парк»

г. Москва, 2017 год

1.​ Общие положения

1.1.​ Настоящая Политика обработки персональных данных в Обществе с ограниченной ответственностью «Санаторий «Ревиталь Парк» (далее – Политика) разработана в соответствии с требованиями законодательства Российской Федерации, регулирующего процесс обработки персональных данных (далее – ПД).

1.2.​ Политика определяет принципы обработки, а именно сбора, хранения, передачи, уничтожения, а также защиты ПД клиентов и сотрудников ООО «Санаторий «Ревиталь Парк» (далее – субъекты ПД), реализуемые в Обществе с ограниченной ответственностью «Санаторий «Ревиталь Парк» (далее – Общество).

1.3.​ Настоящая Политика разработана в соответствии с:

1.3.1.​ Конституцией Российской Федерации от 12.12.1993 года и международными договорами Российской Федерации;

1.3.2.​ Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных»;

1.3.3.​ Гражданским кодексом Российской Федерации;

1.3.4.​ Трудовым кодексом Российской Федерации;

1.3.5.​ Федеральным законом от 27.08.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»;

1.3.6.​ Другими нормативно-правовыми актами, регулирующими процессы обработки ПД, на территории Российской Федерации.

1.4.​ Настоящая Политика регламентирует все процессы сбора, записи, систематизации, накопления, хранения, уточнения, использования, передачи, уничтожения ПД, осуществляемые как с использованием средств автоматизации, так и без использования таких средств.

1.5.​ Настоящая Политика вступает в силу с момента ее утверждения Генеральным директором Общества.

1.6.​ В момент вступления настоящей Политики в силу, все предыдущие редакции прекращают свое действие.

1.7.​ Любые изменения и дополнения к настоящей Политике могут быть внесены только приказом Генерального директора Общества.

2.​ Обработка персональных данных

2.1.​ Принципы и цели обработки ПД

2.1.1.​ Обработка ПД осуществляется на основе следующих принципов:

2.1.1.1.​ Законность и справедливость;

2.1.1.2.​ Соблюдение законодательства РФ;

2.1.1.3.​ Ограничение обработки ПД достижением конкретных целей;

2.1.1.4.​ Недопущение обработки несовместимой с целями сбора ПД;

2.1.1.5.​ Обработка только тех ПД, которые отвечают целям их сбора;

2.1.1.6.​ Ограничение содержания и объема обрабатываемых ПД соответствием заявленным целям их обработки;

2.1.1.7.​ Ограничение избыточности обрабатываемых ПД заявленным целям обработки;

2.1.1.8.​ Точность и достаточность ПД.

2.1.2.​ Обработка ПД в Обществе осуществляется только для реализации следующих целей:

2.1.2.1.​ Предоставление клиентам оздоровительных, медицинских, косметологических услуг;

2.1.2.2.​ Содействие работникам в трудоустройстве, обучении и продвижении по службе;

2.1.2.3.​ Обеспечение личной безопасности работников;

2.1.2.4.​ Контроль количества и качества выполняемой работы;

2.1.2.5.​ Исполнение обязательств по договору, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПД, а также для заключения договора по инициативе субъекта ПД или договора, по которому субъект ПД будет являться выгодоприобретателем или поручителем.

2.2.​ Сбор ПД

2.2.1.​ Сбор, накопление, хранение, изменение, использование и передача ПД осуществляется только при условии наличия согласия субъекта ПД, за исключением случаев, когда в соответствии с действующим законодательством РФ допускается обработка ПД без получения согласия субъекта ПД, а именно:

2.2.1.1.​ Обработка ПД необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

2.2.1.2.​ Обработка ПД необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

2.2.1.3.​ Обработка ПД необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПД, а также для заключения договора по инициативе субъекта ПД или договора, по которому субъект ПД будет являться выгодоприобретателем или поручителем;

2.2.1.4.​ Обработка ПД необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение согласия субъекта ПД невозможно;

2.2.1.5.​ Обработка ПД необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПД;

2.2.1.6.​ Обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг;

2.2.1.7.​ Обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

2.2.1.8.​ Обработка ПД осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания ПД. Исключение составляет обработка ПД в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации;

2.2.1.9.​ Осуществляется обработка ПД, доступ неограниченного круга лиц к которым предоставлен субъектом ПД, либо по его просьбе;

2.2.1.10.​ осуществляется обработка ПД, подлежащих опубликованию или обязательному раскрытию в соответствии с действующим законодательством РФ.

2.3.​ Хранение ПД

2.3.1.​ Хранение ПД осуществляется в форме, позволяющей определить субъекта ПД не дольше, чем этого требуют соответствующие цели обработки ПД, если срок хранения ПД не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПД.

2.3.2.​ Обрабатываемые ПД подлежат уничтожению либо обезличиванию по достижении целей обработки, или в случае утраты необходимости в достижении этих целей.

2.3.3.​ ПД субъектов могут обрабатываться как на бумажных носителях, так и в электронном виде.

2.3.4.​ ПД на бумажных носителях хранятся в запираемых шкафах или сейфах.

2.3.5.​ ПД субъектов в электронном виде обрабатываются в компьютерных сетях Общества.

2.4.​ Трансграничная передача ПД

2.4.1.​ Трансграничная передача ПД Обществом не осуществляется.

2.5.​ Уничтожение ПД

2.5.1.​ В случае достижения целей обработки ПД – Общество прекращает обработку ПД и уничтожает ПД, в срок, не превышающий 30 (тридцати) дней с даты достижения цели обработки ПД, если иное не предусмотрено соглашением между Обществом и субъектом ПД.

2.5.2.​ В случае отзыва субъектом ПД согласия на обработку своих ПД, Общество прекращает их обработку, если иное не предусмотрено соглашением между Обществом и субъектом ПД, либо если Общество вправе осуществлять обработку ПД без согласия субъекта ПД на основаниях, предусмотренных действующим законодательством РФ, регулирующим процессы обработки ПД.

2.5.3.​ В случае выявления неправомерной обработки ПД – Общество предпринимает меры по уничтожению этих ПД в срок, не превышающий 3 (трех) рабочих дней со дня выявления неправомерной обработки ПД.

2.5.4.​ В случае, если обеспечить правомерность обработки ПД невозможно, Общество в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки ПД, обязано уничтожить такие ПД или обеспечить их уничтожение.

2.5.5.​ В случае отсутствия возможности уничтожения ПД в течение указанного срока, Общество осуществляет блокирование таких ПД и обеспечивает уничтожение ПД в срок, не превышающий 6 (шести) месяцев со дня выявления неправомерной обработки ПД, если иной срок не установлен действующим законодательством РФ или иными нормативными правовыми актами, регулирующими процессы обработки ПД.

2.5.6.​ В случае обращения субъекта ПД с заявлением об уничтожении его персональных данных, Общество обязано прекратить обработку или обеспечить прекращение обработки ПД данного субъекта и уничтожить указанные в заявлении персональные данные в срок, не превышающий 30 (тридцати) дней с момента подачи субъектом ПД заявления, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД, иным соглашением между Обществом и субъектом ПД.

2.5.7.​ ПД на бумажных носителях уничтожаются с помощью средств, гарантирующих невозможность восстановления носителя.

2.5.8.​ Уничтожение информации с машиночитаемых носителей ПД, производится способом, исключающим возможность использования и восстановления информации.

2.6.​ Защита ПД

2.6.1.​ При обработке ПД Общество принимает необходимые правовые, организационные и технические меры для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД.

3.​ Доступ к ПД

3.1.​ Общество обеспечивает конфиденциальность ПД, то есть не допускает их распространения без согласия субъекта ПД или наличия иного законного основания.

3.2.​ Обеспечение конфиденциальности обезличенных и общедоступных ПД осуществляется аналогично обеспечению конфиденциальности иных данных, обрабатываемых в Обществе.

3.3.​ Организация доступа сотрудников к ПД.

3.3.1.​ Доступ сотрудников к ПД предоставляется только тем работникам Общества, которым он необходим для исполнения их непосредственных должностных обязанностей.

3.3.2.​ Работник Общества допускается к обработке ПД только после ознакомления с действующим законодательством РФ, регламентирующим обработку ПД, локальными нормативными актами Общества, регламентирующими обработку ПД, и после подписания обязательства о неразглашении информации, содержащей ПД.

3.4.​ Организация доступа субъектов ПД к своим ПД.

3.4.1.​ Общество обеспечивает доступ субъектов ПД к принадлежащим им ПД.

3.4.2.​ Для получения такого доступа субъекту ПД необходимо направить в Общество письменный запрос по форме, приведенной в Приложении № 1 к настоящей Политике.

3.4.3.​ Общество осуществляет предоставление ПД обратившегося субъекта в доступной для субъекта форме, и с обеспечением отсутствия в них ПД, относящихся к другим субъектам.

3.4.4.​ В соответствии с Федеральным законом «О персональных данных» субъект ПД имеет право получать сведения касающиеся обработки ПД Обществом, потребовать от Общества уточнения его ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки; а также заявить возражение против принятия в отношении себя решений, порождающих юридические последствия на основе исключительно автоматизированной обработки ПД и отозвать согласие на обработку ПД в предусмотренных действующим законодательством РФ случаях.

3.4.5.​ Право субъекта ПД на доступ к своим данным ограничивается в случае, если предоставление ПД нарушает права и законные интересы третьих лиц.

4.​ Ответственность

4.1.​ Работники Общества, виновные в нарушении законодательства РФ и локальных нормативных актов Общества, регулирующих процессы обработки и защиты ПД клиентов Общества, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной, уголовной ответственности в порядке, установленном действующим законодательством РФ.