Политика защиты и обработки персональных данных

1.1. Политика защиты и обработки персональных данных (далее — Политика) разработана Обществом с ограниченной ответственностью «МДК» (ОГРН 1186658064284, ИНН 6678095346, КПП 667801001) (далее — Оператор) во исполнение требований Конституции РФ, Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных), Трудового кодекса РФ, в целях реализации требований законодательства Российской Федерации в области защиты и обработки персональных данных, направленных на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных Оператором, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Политика действует в отношении всех персональных данных, которые обрабатывает Оператор.

1.3. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в информационно-телекоммуникационной сети Интернет на сайте Оператора.

2.1. Персональные данные – любая информация, относящаяся к прямо или косвенно к определенному или определяемому физическому лицу (Субъекту персональных данных).

2.2. Персональные данные, разрешенные Субъектом персональных данных для распространения – это персональные данные, доступ неограниченного круга лиц к которым предоставлен Субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных Субъектом персональных данных для распространения.

2.3. Субъект персональных данных — физическое лицо, которое состоит или намеревается состоять с Оператором в гражданско-правовых, трудовых отношениях, которому принадлежат персональные данные.

2.4. Оператор персональных данных (Оператор) – Общество с ограниченной ответственностью «МДК» (ОГРН 1186658064284, ИНН 6678095346, КПП 667801001), самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.5.     Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.6. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

2.7. Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

2.8. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.9. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.10. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных и данные о которых передаются в уполномоченный государственный орган.

2.11. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному Субъекту персональных данных.

2.12. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку, информационных технологий и технических средств.

2.13. Конфиденциальность персональных данных — обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия Субъекта персональных данных или наличия иного законного основания.

Остальные термины, встречающиеся в тексте Политики, толкуются в соответствии с действующим законодательством Российской Федерации и сложившимися обычными правилами толкования соответствующих терминов.

3.1. Оператор имеет право:

3.1.1. Самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;

3.1.2. Получать от Субъекта персональных данных достоверную информацию, а в случае необходимости требовать своевременного уточнения предоставленных персональных данных;

3.1.3. Поручить обработку персональных данных другому лицу на основании договора, заключаемого Оператором с таким лицом, с согласия Субъекта персональных данных;

3.1.4. В случае отзыва Субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия Субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.

3.2. Оператор обязан:

3.2.1. Обрабатывать персональные данные в порядке, установленном действующим законодательством Российской Федерации и Политикой;

3.2.2. При сборе персональных данных предоставить Субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;

3.2.3. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор обязан обеспечить обработку персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных;

3.2.4.    Принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами;

3.2.5.    Принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

3.2.6. Давать ответы на запросы и обращения Субъектов персональных данных, их представителей и уполномоченного органа по защите прав Субъектов персональных данных;

3.2.7. Разъяснить Субъекту персональных данных юридические последствия отказа предоставить его персональные данные, если предоставление персональных данных является обязательным в соответствии с федеральным законом;

3.2.8. Сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) по запросу данного органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператор направляет в Роскомнадзор мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации;

3.2.9. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных. В поручении Оператора должны быть определены: перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии с положениями Закона о персональных данных.

3.2.10. Соблюдать иные требования, предусмотренные для Оператора Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами.

4.1. Субъект персональных данных имеет право:

4.1.1. Получать информацию, касающуюся обработки его персональных данных. Сведения предоставляются Субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Соответствующий Перечень информации и порядок ее получения установлен Законом о персональных данных;

4.1.2. Требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

4.1.3. Давать предварительное согласие на обработку персональных данных в целях продвижения Оператора на рынке товаров, работ и услуг;

4.1.4. Отозвать свое согласие на обработку персональных данных;

4.1.5. На принятие предусмотренных Законом о персональных данных мер по защите своих прав;

4.1.6. На осуществление иных прав, предусмотренных законодательством Российской Федерации.

4.2. Субъект персональных данных обязан:

4.2.1. Предоставлять Оператору только достоверные данные о себе;

4.2.2. Предоставлять документы, содержащие персональные данные в объеме, необходимом для достижения Оператором целей обработки персональных данных;

4.2.3. Сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.

4.3. Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом Субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством Российской Федерации.

5.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

5.2. Обработка Оператором персональных данных осуществляется в следующих целях:

5.2.1. Осуществления своей предпринимательской деятельности в соответствии с действующим законодательством РФ, в том числе налоговым, страховым, гражданско-правовым, трудовым законодательством;

5.2.2. Подготовки, заключения и исполнения гражданско-правового договора;

5.2.3. Продвижения работ, товара, услуг на рынке.

5.2.4. Оформления трудовых отношений с Субъектами персональных данных, ведения кадрового делопроизводства, содействия в трудоустройстве, обучении, повышении по службе, исполнении трудовых обязанностей, пользовании различными льготами и гарантиями, обеспечения личной безопасности работников, привлечения и отбора кандидатов на работу у Оператора.

6.1. Оператор обрабатывает персональные данные на основании:

6.1.1. Федеральных законов и принятых на их основе нормативных правовых актов, регулирующих отношения, связанные с деятельностью Оператора, в том числе Гражданского кодекса РФ, Трудового кодекса РФ, Налогового кодекса РФ, Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральный закон от 13.03.2006 № 38-ФЗ «О рекламе»;

6.1.2. Гражданско-правового договора, заключаемого с Субъектом персональных данных;

6.1.3. Трудового договора, заключаемого с Субъектом персональных данных;

6.1.4. Согласия Субъектов персональных данных на обработку персональных данных;

6.1.5. Согласия Субъектов персональных данных на обработку персональных данных, разрешенных к распространению.

7.1. Содержание и объем обрабатываемых персональных данных должны соответствовать исключительно заявленным целям обработки, предусмотренным в разделе 5 Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

7.2. Оператор может обрабатывать персональные данные следующих категорий Субъектов персональных данных:

7.2.1. Специалисты (физические лица);

7.2.2. Партнеры (физические лица);

7.2.3. Представители/работники партнеров (юридических лиц/индивидуальных предпринимателей);

7.2.4. Физические лица – выгодоприобретатели по гражданско-правовому договору, заключенному другим лицом в их интересах с Оператором;

7.2.5. Работники Оператора;

7.2.6. Бывшие работники;

7.2.7. Кандидаты на замещение вакантных должностей;

7.2.8. Родственники работников.

7.3. Если Оператору передаются персональные данные третьих лиц, Оператор исходит из того, что лицо, передавшее персональные данные, получило на это согласие Субъекта персональных данных.

7.4. В отношении Субъектов персональных данных, указанных в п. 7.2.1. Политики, в целях, обозначенных в Политике, обрабатываются следующие персональные данные:

7.4.1. Фамилия, имя, отчество (при наличии);

7.4.2. Пол;

7.4.3. Паспортные данные или данные иного документа, удостоверяющего личность;

7.4.4. Дата рождения;

7.4.5. Год рождения;

7.4.6. Гражданство;

7.4.7. Адрес фактического места жительства (город);

7.4.8. Страховой номер индивидуального лицевого счета в СФР (СНИЛС);

7.4.9. ИНН;

7.4.10. Номер телефона;

7.4.11. Адрес электронной почты;

7.4.12. Банковские реквизиты;

7.4.13. Фотографии, видеоизображения;

7.4.14. Сведения о трудовой деятельности (в том числе данные о трудовой занятости на текущее время с указанием наименования организации, занимаемой должности).

7.5. В отношении Субъектов персональных данных, указанных в п. 7.2.2. Политики, в целях, обозначенных в Политике, обрабатываются следующие персональные данные:

7.5.1. Фамилия, имя, отчество (при наличии);

7.5.2. ИНН;

7.5.3. Банковские реквизиты;

7.5.4. Номер телефона;

7.5.5. Адрес электронной почты.

7.6. В отношении Субъектов персональных данных, указанных в п. 7.2.3. Политики, в целях, обозначенных в Политике, обрабатываются следующие персональные данные:

7.6.1. Фамилия, имя, отчество (при наличии);

7.6.2. Номер телефона;

7.6.3. Адрес электронной почты;

7.6.4. Сведения о трудовой деятельности (в том числе данные о трудовой занятости на текущее время с указанием наименования организации, занимаемой должности).

7.7. В отношении Субъектов персональных данных, указанных в п. 7.2.4. Политики, в целях, обозначенных в Политике, обрабатываются следующие персональные данные:

7.7.1. Фамилия, имя, отчество (при наличии);

7.7.2. Сведения о трудовой деятельности (в том числе данные о трудовой занятости на текущее время с указанием наименования организации, занимаемой должности);

7.7.3. Адрес фактического места жительства (город);

7.7.4. Номер телефона;

7.7.5. Фотографии, видеоизображения.

7.8. В отношении Субъектов персональных данных, указанных в п. 7.2.5.-7.2.8. Политики, в целях, обозначенных в Политике, обрабатываются следующие персональные данные:

7.8.1. Фамилия, имя, отчество;

7.8.2. Пол;

7.8.3. Гражданство;

7.8.4. Паспортные данные или данные иного документа, удостоверяющего личность;

7.8.5. ИНН;

7.8.6. Дата рождения;

7.8.7. Адрес места регистрации;

7.8.8. Фактический адрес;

7.8.9. Контактные телефоны, адрес электронной почты;

7.8.10. Страховой номер индивидуального лицевого счета в СФР (СНИЛС);

7.8.11. Фотографии, видеоизображения;

7.8.12. Данные документов о государственной регистрации актов гражданского состояния;

7.8.13. Данные документов об образовании, квалификации, профессиональной подготовке, сведения о повышении квалификации;

7.8.14. Семейное положение, сведения о составе семьи, которые могут понадобиться для предоставления льгот, предусмотренных трудовым и налоговым законодательством;

7.8.15. Сведения о воинском учете (в т.ч. категория запаса, воинское звание, категория годности к военной службе, код военно-учетной специальности, информация о постановке/снятии с воинского учета);

7.8.16. Информация о трудовой деятельности (в т.ч. место работы, должность, период работы), сведения о трудовом стаже, предыдущих местах работы, доходах);

7.8.17. Сведения о социальных льготах;

7.8.18. Данные о трудовом договоре (в т.ч. номер трудового договора, дата его заключения, срок, на который заключается трудовой договор, вид работы, дата начала работы, дата окончания работы (для срочных трудовых договоров), наличие и срок испытания, обязанности работника, условия труда, режим труда и отдыха, условия оплаты труда, социальные льготы, номер и дата дополнительных соглашений к трудовому договору);

7.8.19. Банковские реквизиты: лицевой расчетный счет, корреспондентский счет и БИК банка.

7.9. Оператор обеспечивает соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.

8. Порядок и условия обработки персональных данных

8.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.

8.2. Перечень действий, совершаемых Оператором с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), распространение, обезличивание, блокирование, удаление, уничтожение персональных данных, а также осуществление любых иных действий в соответствии с действующим законодательством Российской Федерации.

8.3. Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение) персональных данных осуществляется следующими способами:

8.4. Внесения сведений в учетные формы (на бумажных и электронных носителях);

8.5. Формирования персональных данных в ходе заполнения документов;

8.6. Внесения персональных данных в используемые Оператором информационные системы (Bitrix или иная CRM-система, корпоративная почта Оператора med-connect@bk.ru, сервис Webinar.ru или иной сервис, утвержденные приказом Оператора). При этом все персональные данные Субъектов персональных данных передаются ими непосредственно уполномоченному представителю Оператора путем их непосредственного сообщения/предоставления, направления по почте заказным письмом с уведомлением о вручении, либо заполнения формы, либо направления их по адресу электронной почты med-connect@bk.ru. Если согласие на обработку персональных данных было получено от Субъекта персональных данных через сервисы, которые самостоятельно запрашивают согласие на обработку персональных данных (в т.ч. сервис Webinar.ru), то презюмируется, что такое согласие было получено Оператором, и Субъект персональных данных ознакомился с тем, что Оператор будет осуществлять обработку его персональных данных в соответствии с целями, указанными в разделе 5 настоящей Политики.

8.7. Обработка персональных данных Оператором осуществляется следующими способами:

8.8. Неавтоматизированная обработка персональных данных;

8.9. Автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;

8.10. Смешанная обработка персональных данных.

8.11. Обработка персональных данных осуществляется с согласия Субъектов персональных данных на обработку (далее — Согласие) их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.

8.12. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает Согласие свободно, своей волей и в своем интересе.

8.13. Согласие дается в любой позволяющей подтвердить факт его получения форме (субъекты, указанные в п. 7.2.1, 7.2.2., 7.2.4-7.2.8 Политики — отдельным письменным документом, в т.ч. Субъекты персональных данных, указанные в п. 7.2.4 могут давать согласие на обработку персональных данных путем проставления галочки в «чек-боксе» на сервисе Webinar.ru. В предусмотренных законодательством РФ случаях Согласие обязательно оформляется в письменной форме (согласие на обработку персональных данных, разрешенных Субъектом персональных данных к распространению).

8.14. Партнеры (юридические лица/индивидуальные предприниматели) гарантируют наличие письменного согласия представителей/работников партнеров (юридических лиц/индивидуальных предпринимателей) (субъектов персональных данных, указанных в п. 7.2.3. Политики) на передачу их персональных данных Оператору и дальнейшую обработку в целях исполнения договора.

8.15. Оператор получает персональные данные непосредственно от Субъектов персональных данных или их представителей, наделенных соответствующими полномочиями, путем их передачи на бумажном или электронном носителе, либо посредством использования информационно-коммуникационной сети Интернет. Согласие Субъекта на получение его персональных данных от третьих лиц не требуется в случаях, когда согласие Субъекта на передачу его персональных данных третьим лицам получено от него в письменном виде при заключении договора с Оператором, а также в случаях, установленных федеральным законом.

8.16. Обработка персональных данных прекращается при достижении целей такой обработки, а также при отзыве согласия Субъекта персональных данных на обработку его персональных данных, при выявлении неправомерной обработки персональных данных и по истечении срока, предусмотренного законом, договором (стороной которого является Субъект персональных данных), или согласием Субъекта персональных данных на обработку его персональных данных.

8.17. Согласие может быть отозвано путем письменного уведомления, направленного в адрес Оператора заказным почтовым отправлением по почтовому адресу или на адрес электронной почты, указанный в последнем разделе Политики.

8.18. Оператор организует обработку персональных данных в следующем порядке:

8.19. назначает ответственного за организацию обработки персональных данных, устанавливает перечень лиц, имеющих доступ к персональным данным;

8.20. издает настоящую Политику, локальные акты по вопросам обработки персональных данных;

8.21. применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных;

8.22. осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике, локальным актам Оператора;

8.23. проводит оценку вреда, который может быть причинен Субъектам персональных данных в случае нарушения Закона о персональных данных, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, Законом о персональных данных;

8.24. знакомит работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, настоящей Политики, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

8.25. Оператор вправе поручить обработку персональных данных другому лицу с согласия Субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании договора, заключаемого Оператором и таким лицом, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее — поручение Оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Закона о персональных данных.

8.26. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Пенсионный фонд, Фонд социального страхования и другие уполномоченные органы власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.

9.1. Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия Субъекта персональных данных, если иное не предусмотрено федеральным законом. Оператор обеспечивает конфиденциальность персональных данных Субъекта персональных данных со своей стороны, со стороны своих работников, имеющих доступ к персональным данным, а также обеспечивает использование персональных данных вышеуказанными лицами исключительно в целях, соответствующих Закону о персональных данных, Политике, Согласию Субъекта персональных данных.

9.2. Оператор обеспечивает конфиденциальность персональных данных Субъекта персональных данных, а также обеспечивает использование персональных данных исключительно в целях, соответствующих закону, гражданско-правовому договору, трудовому договору, Согласию, заключенному с Субъектом персональных данных.

9.3. Оператор, получивший персональные данные через информационно-телекоммуникационную сеть Интернет, обеспечивает хранение конфиденциальной информации в тайне, не разглашает без предварительного письменного разрешения пользователя, а также не осуществляет продажу, обмен, опубликование, либо разглашение иными возможными способами переданных персональных данных пользователя, за исключением случаев, установленных настоящей Политикой.

10.1. Оператор при обработке персональных данных принимает или обеспечивает принятие необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, в том числе:10.2. определяет угрозы безопасности персональных данных при их обработке;
10.3. принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;

10.4. назначает лиц, ответственных за организацию обработки персональных данных в Обществе и информационных системах Оператора;

10.5. создает необходимые условия для работы с персональными данными;

10.6. организует учет документов, содержащих персональные данные;

10.7. организует работу с информационными системами, в которых обрабатываются персональные данные;

10.8. хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;

10.9. организует обучение работников Оператора, осуществляющих обработку персональных данных;

10.10. использует сертифицированное антивирусное программное обеспечение;

10.11. обновляет пароли для доступа к компьютерам и информационным системам, посредством которых могут обрабатываться персональные данные.

10.12. соблюдает условия, обеспечивающие сохранность персональных данных и исключающих несанкционированный к ним доступ;

10.13. при обнаружении фактов несанкционированного доступа к персональным данным принимает необходимые и достаточные меры, в том числе меры по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;

10.14. восстанавливает персональные данные, модифицированные или уничтоженные вследствие несанкционированного доступа к ним;

10.15. осуществляет внутренний контроль и аудит;

10.16. проводит оценку вреда, который может быть причинен Субъектам персональных данных в случае нарушения Закона о персональных данных;

10.17. устанавливает правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных.

10.18. Основной задачей обеспечения безопасности персональных данных при их обработке Оператором является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения персональных данных, разрушения (уничтожения) или искажения в процессе обработки.

11.1. Персональные данные Субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.

11.2. Персональные данные, зафиксированные на бумажных носителях, хранятся в бумажном виде в папках, файлах, находящихся в железном шкафу с запирающим устройством в виде ключа под непосредственным контролем уполномоченного представителя Оператора.

11.3. Персональные данные, переданные Субъектом посредством использования информационно-коммуникационной сети, копии документов, содержащих персональные данные, хранятся в специализированных базах данных Оператора: CRM-системах, корпоративной почте, точный перечень которых утверждается приказом.

11.4. Доступ к персональным данным имеет уполномоченное лицо Оператора, действующее от его имени в силу закона, а также лица, доступ которым представлен на основании приказа в связи необходимостью выполнения такими лицами их трудовых функций.

11.5. Запрещается хранить документы с персональными данными и их копии на рабочих местах и (или) в открытом доступе, оставлять шкафы (сейфы) открытыми в случае выхода работника из рабочего помещения.

11.6. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), распространение, обезличивание, блокирование, удаление, уничтожение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных законодательством Российской Федерации.

11.7. Хранение персональных данных осуществляется в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законом.

11.8. При увольнении работника, имеющего доступ к персональным данным, прекращении доступа к персональным данным, документы и иные носители, содержащие персональные данные, сдаются работником своему непосредственному руководителю.

12.1. В случае подтверждения факта неточности персональных данных или неправомерности их обработки персональные данные подлежат их актуализации Оператором, или их обработка должна быть прекращена соответственно.

12.2. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в Законе о персональных данных, предоставляются Оператором Субъекту персональных данных или его представителю при обращении либо при получении запроса Субъекта персональных данных или его представителя в течение тридцати дней с даты получения такого обращения или запроса.

12.3. Запрос должен содержать номер основного документа, удостоверяющего личность Субъекта персональных данных и его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие Субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись Субъекта персональных данных или его представителя. Направление запроса представителем Субъекта персональных данных автоматически подтверждает Согласие представителя на обработку его персональных данных в объеме, предоставляемом представителем Субъекта персональных данных в направляемом запросе.

12.4. Если в запросе Субъекта персональных данных не отражены все необходимые сведения или Субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

12.5. Оператор обязуется уничтожить персональные данные в случаях:

12.5.1. Достижения целей обработки персональных данных;

12.5.2. Отзыва Субъектом персональных данных Согласия или направления требования об уничтожении персональных данных;

12.5.3. Выявления неправомерности обработки персональных данных;

12.5.4. Иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных;

12.5.5. Иное не предусмотрено иным соглашением между Оператором и Субъектом персональных данных.

12.5.6. Уничтожение документов (носителей), содержащих персональные данные производится путем сожжения, дробления (измельчения). Для уничтожения бумажных документов допускается применение шредера. После уничтожения персональных данных составляется Акт об уничтожении персональных данных в соответствии с Приказом Роскомнадзора от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».
При уничтожении персональных данных Оператором с использованием средств автоматизации, факт уничтожения персональных данных подтверждается:
— Актом об уничтожении с обязательными элементами для него;
— Выгрузкой из журнала регистрации событий в информсистеме персональных данных. Документ должен включать обязательные элементы для выгрузки.

12.6. Персональные данные на электронных носителях удаляются (уничтожаются) способом, исключающим возможность их восстановления.

12.7. Минимальный срок хранения Акта об уничтожении персональных данных и выгрузки из журналов регистрации событий – 3 года в соответствии с Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28 октября 2022 г. № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».

12.8. Оператор обязан предоставить безвозмездно Субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому Субъекту персональных данных.

12.9. В случае выявления неточных персональных данных при обращении Субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому Субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы Субъекта персональных данных или третьих лиц.

12.10. В срок, не превышающий 7 (семи) рабочих дней со дня предоставления Субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения.

12.11. В срок, не превышающий 10 (десяти) рабочих дней со дня представления Субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные.

12.12. Оператор обязан уведомить Субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого Субъекта были переданы.

12.13. Оператор обязан сообщить в уполномоченный орган по защите прав Субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.

13.1. Все отношения, касающиеся обработки персональных данных, не получившие отражения в Политике, регулируются в соответствии с положениями действующего законодательства Российской Федерации.

13.2. Оператор имеет право вносить изменения в Политику. Новая редакция Политики вступает в силу с момента ее размещения в информационно-телекоммуникационной сети Интернет, если иное не предусмотрено редакцией политики.

13.3. Субъектам персональных данных рекомендуется регулярно просматривать Политику, особенно перед отправкой Персональных данных в информационно-телекоммуникационной сети Интернет.

13.4. Ответственность лиц, имеющих доступ к персональным данным, определяется действующим законодательством Российской Федерации.

ООО «МДК»

ИНН 6678095346, КПП 667801001,

ОГРН 1186658064284

Юридический адрес: 620141, г. Екатеринбург, ул. Ольховская 23-46

Почтовый адрес: 620141, г. Екатеринбург, ул. Ольховская 23-46

Тел./факс: 89617618258

E–mail: med-connect@bk.ru

Расчетный счет

4070 2810 2025 0001 7484

В ООО «Банк Точка» г. Москва

Корреспондентский счет

3010 1810 7453 7452 5104

БИК 044525104