Размер шрифта: A A A
Цвета сайта: Ц Ц Ц
Изображения Вкл. Выкл.
Настройки
Обычная версия

ПОЛИТИКА Организации в отношении обработки и защиты персональных данных в ООО «Лечебно-диагностический центр «Авеста-М»

УТВЕРЖДАЮ            

Генеральный директор

ООО «Лечебно-диагностический центр

«Авеста-М»

______________/А.Г. Шубин/

«_09_»______04_____ 2014 г.

ПОЛИТИКА

Организации в отношении обработки и защиты персональных данных в

ООО «Лечебно-диагностический центр

«Авеста-М»

  1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1.    Настоящая Политика организации обработки персональных данных (далее – Политика) разработана на основании Конституции Российской Федерации, Трудового кодекса Российской Федерации, Федерального закона от 27.07.2006 г. № 152‑ФЗ "О персональных данных",

Постановления Правительства Российской Федерации от 1 ноября 2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказа Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 18 февраля 2013 г. N 21 г. Москва "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" и других нормативно-правовых актов Российской Федерации.

1.2.    Настоящей Политикой определяется порядок обработки, т.е. действия (операции) с персональными данными сотрудников ООО «Лечебно-диагностический центр «Авеста-М» (далее –организация) и иных лиц, не являющихся сотрудниками организации, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, блокирование, уничтожение персональных данных с использованием средств автоматизации или без использования таких средств.

1.3.    Целью настоящей Политики является организация обработки и обеспечения безопасности персональных данных сотрудников организации, а также персональных данных иных лиц в соответствии с законодательными и нормативными правовыми актами Российской Федерации при их обработке в информационных системах персональных данных организации.

1.4.    Основные термины и определения, применяемые в настоящей Политике:

1.4.1.      Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

1.4.2.      Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.4.3.      Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

1.4.4.      Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

1.4.5.      Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

1.4.6.      Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

1.4.7.      Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

1.4.8.      Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

1.4.9.      Конфиденциальная информация – информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и представляет собой коммерческую, служебную или личную тайны, охраняющиеся её владельцем.

1.4.10.Конфиденциальность персональных данных – обязательное для соблюдения оператором, или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

1.4.11.Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым, предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.



В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта или по решению руководителя организации, либо по решению суда или иных уполномоченных государственных органов.

1.4.12.Сотрудники – лица, имеющие трудовые отношения с организацией, либо кандидаты на вакантную должность, вступившие в отношения по поводу приема на работу.

1.4.13.Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

1.5.    К субъектам персональных данных (далее – субъекты) относятся лица-носители персональных данных, персональные данные которых переданы организации (как на добровольной основе, так и в рамках выполнения требований нормативно-правовых актов) для обработки, в том числе:

-     сотрудники организации, включая совместителей, а также лица, выполняющие работы по договорам гражданско-правового характера;

-     иные лица, предоставляющие персональные данные организации.

1.6.    Обработка персональных данных субъекта без его письменного согласия не допускается, если иное не определено законом. Персональные данные относятся к информации ограниченного доступа, не составляющей государственную тайну.

1.7.    Должностные лица организации, в обязанности которых входит обработка персональных данных субъектов, обязаны обеспечить каждому субъекту возможность ознакомления со своими персональными данными, если иное не предусмотрено законом.

1.8.    Персональные данные не могут быть использованы в целях:

-     причинения имущественного и морального вреда гражданам;

-     затруднения реализации прав и свобод граждан Российской Федерации.

1.9.    Настоящая Политика и изменения к ней утверждаются руководителем организации, являются обязательным для исполнения всеми сотрудниками, имеющими доступ к персональным данным субъектов персональных данных организации. В организации должен быть обеспечен неограниченный доступ к настоящей Политике путем ее публикации или иным образом во исполнение п. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

  1. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1.         Обработка персональных данных ворганизации осуществляется на основе следующих принципов:

-     осуществления обработки персональных данных на законной и справедливой основе;

-     ограничения достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, не совместимых с целями сбора персональных данных;

-     недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;

-     соответствия содержания и объема персональных данных целям их обработки, а также недопустимости обработки персональных данных, избыточных по отношению к заявленным целям;

-     обеспечения точности, достаточности, а в необходимых случаях и актуальности персональных данных по отношению к целям обработки персональных данных;

-     принятия необходимых мер или обеспечение принятия мер по удалению или уточнению неполных или неточных данных;

-     уничтожения персональных данных по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

2.2.         Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

2.3.         Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информативным и сознательным.

  1. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1.         Под персональными данными субъектов персональных данных понимается любая информация, относящаяся к данному субъекту персональных данных.

3.2.         Перечень обрабатываемых сведений составляющих персональные данные приведен в приложении № 1 к настоящей Политике.

3.3.         Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

  1. ПОЛУЧЕНИЕ, ОБРАБОТКА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1.         Организация получает сведения о персональных данных субъектов персональных данных непосредственно от самих субъектов, из общедоступных источников, от третьих лиц. Субъект персональных данных обязан представлять организации достоверные сведения о себе. Организация имеет право проверять достоверность указанных сведений в порядке, не противоречащем законодательству Российской Федерации.

4.2.         Организация руководствуется конкретными, заранее определенными целями обработки персональных данных, в соответствии с которыми персональные данные были предоставлены субъектом, Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами при определении состава обрабатываемых персональных данных субъектов.

4.3.         Обработка персональных данных в организации осуществляется в целях:

- ведения бухгалтерского учета и отчетности,

- ведения кадрового учета и делопроизводства,

- ведения уставной деятельности организации в части заключения и учета договоров с контрагентами.

4.4.         Как правило, персональные данные субъекта организация получает непосредственно от субъекта. Сотрудник, ответственный за документационное обеспечение уставной деятельности, принимает от субъекта материальные носители персональных данных (документы, копии документов), сверяет копии документов с подлинниками.

4.5.         Если персональные данные субъекта возможно получить исключительно у третьей стороны, то субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие (приложение № 3). Организация должна сообщать субъекту о целях, предполагаемых источниках и способах получения персональных данных, а также о составе подлежащих получению персональных данных и последствиях отказа субъекта представить письменное согласие на их получение (приложение № 4). В случае если субъект уже дал письменное согласие на передачу своих персональных данных третьим лицам, дополнительное уведомление не требуется.

4.6.         Условием обработки персональных данных субъекта персональных данных является его письменное согласие (приложение №№ 5). Письменное согласие субъекта на обработку его персональных данных должно включать в себя:

-     фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

-     фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя;

-     наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;

-     цель обработки персональных данных;

-     перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

-     наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

-     перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

-     срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

-     подпись субъекта персональных данных.

Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

4.7.         Согласия субъекта на обработку его персональных данных не требуется в следующих случаях:

-     обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

-     обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

-     обработка персональных данных необходима для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», для обеспечения предоставления такой услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг;

-     обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

-     обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

-     обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

-     обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

-     обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а так же целей политической агитации, при условии обязательного обезличивания персональных данных;

-     осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;

-     осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

4.8.         В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных в письменной форме дает законный представитель субъекта персональных данных.

В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

4.9.         В случае если оператор на основании договора поручает обработку персональных данных другому лицу, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке. Ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

4.10.    Организация не имеет права осуществлять обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением, если:

-     субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

-     персональные данные сделаны общедоступными субъектом персональных данных;

-     обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;

-     обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

-     обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

-     обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;

-     обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействию коррупции, об оперативно-розыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации.

В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни субъекта только с его письменного согласия.

Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 статьи 10 ФЗ - 152, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом.

Обработка персональных данных о судимости может осуществляться Оператором исключительно в случаях и в порядке, которые определяются в соответствии с федеральными законами.

4.11.    Защита персональных данных субъекта от неправомерного их использования или утраты должна быть обеспечена оператором за счет его средств в порядке, установленном федеральным законодательством Российской Федерации.

4.12.    Основными источниками, содержащими персональные данные сотрудников, являются их личные дела.

Личные дела хранятся уполномоченным лицом на бумажных носителях. Помимо этого персональные данные могут храниться в виде электронных документов, баз данных. Личное дело пополняется на протяжении всей трудовой деятельности сотрудника в организации.

Письменные доказательства получения оператором согласия субъекта персональных данных на их обработку хранятся в личном деле.

4.13.    При обработке персональных данных руководитель организации вправе утверждать способы обработки, документирования, хранения и защиты персональных данных на базе современных информационных технологий.

4.14.    Перечень лиц, допущенных к обработке персональных данных, определяется приказом руководителем организации.

4.15.    Обработка персональных данных, осуществляется уполномоченными должностными лицамиорганизации, определенными приказом руководителя, который действует на основании инструкций, предусматривающих выполнение комплекса мероприятий по организации обработки и обеспечению безопасности персональных данных.

4.16.    Контроль выполнения требований по обработке и обеспечению безопасности персональных данных организуется оператором самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации, и проводится не реже 1 раза в 3 года в сроки, определяемые оператором.

4.17.    Обеспечение техническими средствами обработки (ПЭВМ, серверами и т.д.) и их исправной работы происходит либо специально созданным структурным подразделением, ответственным за обеспечение безопасности персональных данных, либо одним из структурных подразделений, на которое возложены обязанности по обеспечению безопасности персональных данных, либо должностным лицом, ответственным за обеспечение безопасности персональных данных.

4.18.    Помещения, в которых обрабатываются и хранятся персональные данные субъектов, оборудуются надежными замками. Должно быть исключено бесконтрольное пребывание посторонних лиц в этих помещениях.

Для хранения материальных носителей персональных данных используются специально оборудованные шкафы или сейфы, которые запираются на ключ.

Помещения, в которых обрабатываются и хранятся персональные данные субъектов, в рабочее время при отсутствии в них сотрудников должны быть закрыты.

Проведение уборки помещений, в которых хранятся персональные данные, должно производиться в присутствии соответствующих сотрудников.

  1. ПРАВА И ОБЯЗАННОСТИ СТОРОН В ОБЛАСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1.         Субъект персональных данных обязан:

-     передать организации или её представителю комплекс достоверных, документированных персональных данных, состав которых установлен трудовым законодательством, иными законами Российской Федерации, включая сведения об образовании, специальных знаниях, стаже работы, отношении к воинской обязанности, гражданстве, месте жительства и др.

-     своевременно сообщать оператору об изменении своих персональных данных.

5.2.         Субъект персональных данных имеет право:

-     на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

а)  подтверждение факта обработки персональных данных оператором;

б)  правовые основания и цели обработки персональных данных;

в)  цели и применяемые оператором способы обработки персональных данных;

г)   наименование и место нахождения оператора, сведения о лицах (за исключением сотрудников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

д)  обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом;

е)   сроки обработки персональных данных, в том числе сроки их хранения;

ж)     порядок осуществления субъектом персональных данных прав, предусмотренных федеральным законом;

з)   наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

и)  иные сведения, предусмотренные федеральными законами.

-     на повторное обращение к оператору или направление оператору повторного запроса в целях получения информации, касающейся обработки его персональных данных, и ознакомление с такой информацией не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом;

-     на повторное обращение к оператору или направление повторного запроса в целях получения информации, касающейся обработки его персональных данных, а так же в целях ознакомления с обрабатываемыми персональными данными до истечения тридцатидневного срока в случае, если такая информация и (или) персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения;

-     требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

-     требовать извещения оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них исключениях, исправлениях или дополнениях;

-     на обжалование действий или бездействий оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

    Доступ к своим персональным данным предоставляется субъекту или его законному представителю при личном обращении либо при получении запроса (приложение № 6).

    Сведения о персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

5.3.         Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия субъекта в письменной форме или в случаях, предусмотренных федеральными законами, устанавливающими такие же меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

5.4.         Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты своих прав и законных интересов.

5.5.         Оператор обязан рассмотреть возражение субъекта персональных данных в течение тридцати дней со дня его получения и уведомить его о результатах рассмотрения такого возражения.

5.6.         Если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

5.7.         Если персональные данные получены не от субъекта персональных данных (за исключением случаев, если субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором, персональные данные были получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника), оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных информацию (приложение № 8), содержащую:

-     наименование либо фамилия, имя, отчество и адрес оператора или его представителя;

-     цель обработки персональных данных и ее правовое основание;

-     предполагаемые пользователи персональных данных;

-     установленные федеральным законом права субъекта персональных данных;

-     источник получения персональных данных.

5.8.    Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы (приложение № 9).

5.9.    Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.

5.10.    В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя, либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки.

5.11.    В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

5.12.    В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней и снять блокирование персональных данных.

5.13.    В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган (приложение № 10).

5.14.    В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами, и уведомить об этом субъекта персональных данных и уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты прекращения обработки персональных данных или их уничтожения (приложение № 9).

5.15.    В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных (приложение № 9).

5.16.    До начала обработки персональных данных организация обязана уведомить уполномоченный орган по защите прав субъектов в персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев обработки персональных данных:

-     обрабатываемых в соответствии с трудовым законодательством;

-     полученных организацией в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются организацией исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

-     относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;

-     сделанных субъектом персональных данных общедоступными;

-     включающих в себя только фамилии, имена и отчества субъектов персональных данных;

-     необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в аналогичных целях;

-     включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;

-     обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

5.17.    Уведомление должно быть направлено в виде документа на бумажном носителе или в форме электронного документа и подписано оператором. Уведомление должно содержать следующие сведения:

-     наименование (фамилия, имя, отчество), адрес оператора;

-     цель обработки персональных данных;

-     категории персональных данных;

-     категории субъектов, персональные данные которых обрабатываются;

-     правовое основание обработки персональных данных;

-     перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

-     описание мер, которые оператор обязуется осуществлять при обработке персональных данных по обеспечению безопасности персональных данных при их обработке, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

-     дата начала обработки персональных данных;

-     срок и условия прекращения обработки персональных данных;

-     сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

-     сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

  1. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ СУБЪЕКТА И ИХ ПЕРЕДАЧА

6.1.         Внутренний доступ (доступ внутри организации) к персональным данным субъектов имеют сотрудники подразделений организации, которым эти данные необходимы для выполнения служебных (трудовых) обязанностей в соответствии с перечнем лиц, утвержденным руководителем оператора.

Право доступа к персональным данным субъекта имеют:

-     руководитель организации;

-     заместители руководителя организации;

-     служба по работе с персоналом;

-     бухгалтерия;

-     финансово-экономический отдел;

-     канцелярия;

-     врачи;

-     информационно-технический отдел

-     руководители подразделений по направлению деятельности субъекта (исключительно к персональным данным сотрудников данного подразделения; за исключением сведений имущественного характера);

-     непосредственно субъект;

После прекращения юридических отношений с субъектом персональных данных (увольнения сотрудника и т.п.) документы, содержащие его персональные данные, хранятся в организации в течение сроков, установленных архивным и иным законодательством Российской Федерации.

6.2.    Внешний доступ к персональным данным субъектов имеют массовые потребители персональных данных и контрольно-надзорные органы.

6.2.1.  К числу массовых потребителей персональных данных вне организации относятся следующие государственные и негосударственные структуры:

-     налоговые органы;

-     правоохранительные органы;

-     органы лицензирования и сертификации;

-     органы прокуратуры и ФСБ;

-     органы статистики;

-     страховые агентства;

-     военные комиссариаты;

-     органы социального страхования;

-     пенсионные фонды;

-     подразделения государственных и муниципальных органов управления.

6.2.2.  Надзорно-контролирующие органы имеют доступ к информации исключительно в сфере своей компетенции.

6.3.    Внешний доступ со стороны третьих лиц к персональным данным субъекта осуществляется с его письменного согласия, за исключением случаев, когда такой доступ необходим в целях предупреждения угрозы жизни и здоровью субъекта или других лиц, и иных случаев, установленных законодательством.

6.4.    Оператор обязан сообщать персональные данные субъекта по надлежащим оформленным запросам суда, прокуратуры иных правоохранительных органов.

6.5.    Сведения о работающем сотруднике или уже уволенном могут быть предоставлены другой организации только на основании письменного запроса на бланке организации, с приложением копии заявления сотрудника.

6.6.    Персональные данные субъекта могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъекта персональных данных.

6.7.    При передаче персональных данных организация должна соблюдать следующие требования:

-     не сообщать персональные данные субъекта третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных федеральными законами;

-     не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия;

-     предупреждать лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено, за исключением случаев, когда обмен персональными данными осуществляется в порядке, установленном федеральными законами;

-     сообщать информацию о состоянии здоровья субъекта только в тех случаях, если такие сведения относятся к вопросу о выполнении сотрудником служебных (трудовых) обязанностей;

-     передавать персональные данные субъекта представителям сотрудников и иных категорий субъектов персональных данных в порядке, установленном Трудовым кодексом Российской Федерации и Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их целей;

-     разрешать доступ к персональным данным, исключительно специально уполномоченным лицам (при этом указанные лица должны иметь право получать лишь те персональные данные, которые необходимы для выполнения конкретных целей);

-     уполномоченные лица должны подписать обязательство о неразглашении персональных данных (приложение № 2).

6.8.    Ответы на правомерные письменные запросы других предприятий, учреждений и организаций даются с разрешения руководителя организации в письменной форме, в том объеме, который позволяет не разглашать излишний объем персональных данных.

6.9.    Не допускается передача персональных данных по открытым каналам связи, в том числе по телефону.

6.10.    Сведения, передаваемые на материальных или бумажных носителях, должны иметь пометку о конфиденциальности. В сопроводительном письме к таким документам указывается, что в прилагаемых документах содержатся персональные данные субъектов организации.

  1. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1.         Комплекс мер по защите персональных данных направлен на предупреждение нарушений доступности, целостности и конфиденциальности персональных данных и обеспечивает безопасность информации в процессе управленческой и производственной деятельности организации.

7.2.         Организация при обработке персональных данных обязана принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в соответствии с требованиями к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требованиями к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных, установленными Правительством Российской Федерации.

7.3.         Мероприятия по защите персональных данных определяются Политикой организации по обработке и защите персональных данных в информационных системах персональных данных, приказами, инструкциями и другими внутренними актами организации.

7.4.         Организация принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законами РФ и принятыми в соответствии с ним нормативными правовыми актами. Организация самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом или другими федеральными законами. Обеспечение безопасности персональных данных достигается, в частности:

- назначением ответственного за организацию обработки персональных

данных;

-  определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

-  применением организационных и технических мер по обеспечению безопасности персональных данных;

-  применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

-  оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

-  учетом машинных носителей персональных данных;

-  обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

-  восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

-  установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

-  контролем над принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

- оценкой вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона, соотношение указанного вреда и принимаемых организацией мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом;

- издание организацией локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений

- ознакомлением сотрудников организации, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, Политикой и другими локальными актами по вопросам обработки персональных данных, и (или) обучением указанных сотрудников.

  1. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ, СВЯЗАННОЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ

8.1.         Персональная ответственность является одним из главных требований к организации функционирования системы защиты персональных данных и обязательным условием обеспечения эффективности функционирования данной системы.

8.2.         Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.

8.3.         Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, несет персональную ответственность за данное разрешение.

8.4.         Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

8.5.         Каждый сотрудник организации, получающий для работы конфиденциальный документ, несет персональную ответственность за сохранность носителя и конфиденциальность полученной информации.

8.6.         Должностные лица, в обязанность которых входит обработка персональных данных, обязаны обеспечить каждому субъекту персональных данных, возможность ознакомления со своими обрабатываемыми персональными данными, если иное не предусмотрено законом.

Неправомерный отказ в предоставлении собранных в установленном порядке персональных данных, либо несвоевременное их предоставление в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации влечет наложение на должностных лиц административного наказания в порядке, установленном Кодексом Российской Федерации об административных правонарушениях.

8.7.         В соответствии с Гражданским кодексом Российской Федерации лица, незаконными методами получившие информацию, содержащую персональные данные, обязаны возместить причиненные убытки; такая же обязанность возлагается и на сотрудников, не обладающих правом доступа к персональным данным.

8.8.         Уголовная ответственность за нарушение неприкосновенности частной жизни (в том числе незаконный сбор и (или) распространение сведений о частной жизни лица, составляющего его личную или семейную тайну, без его согласия), неправомерный доступ к охраняемой законом компьютерной информации, неправомерный отказ в предоставлении собранных в установленном порядке документов и сведений (если эти деяния причинили вред правам и законным интересам граждан), совершенные лицом с использованием своего служебного положения влечет наложение наказания в порядке, предусмотренном Уголовным кодексом Российской Федерации.

8.9.         Неправомерность деятельности органов государственной власти и организаций по сбору и использованию персональных данных может быть установлена в судебном порядке.

  1. ПОРЯДОК ПЕРЕСМОТРА ПОЛИТИКИ ОРГАНИЗАЦИИ ПО ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Политика подлежит полному пересмотру при изменении перечня решаемых задач, состава технических и программных средств ИС организации, приводящих к существенным изменениям технологии обработки информации.

Политика подлежит частичному пересмотру в остальных случаях. Частичный пересмотр проводится ответственным за ЗИ.

Полный плановый пересмотр данного документа проводится регулярно, раз в год, с целью проверки соответствия положений данного документа реальным условиям применения их в ИС организации.

Частичный пересмотр данного документа проводится по письменному предложению администратора ИБ. Изменения в Положении (сведения о них) фиксируются в Листе регистрации изменений.

Вносимые изменения не должны противоречить другим положениям данного документа. При получении изменений к данной Политике, руководители подразделений организации в течение трех рабочих дней вносят свои предложения и/или замечания к поступившим изменениям.

Ответственный за ЗИ

____________ Балакин А.В.

(Подпись, Расшифровка подписи)


Приложение № 1

к «Политике организации в отношении обработки персональных данных ООО «Лечебно-диагностический центр «Авеста-М»

ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Состав информации в информационной системе «Информационная система бухгалтерского и кадрового учета» (ведение бухгалтерского учета и отчетности, ведение кадрового учета и делопроизводства)

Перечень обрабатываемых сведений:

- фамилия, имя, отчество;

- дата рождения;

- пол;

- занимаемая должность;

- данные паспорта (тип, серия, номер документа, удостоверяющего личность с историей изменений);

- данные по месту пребывания и регистрации по месту жительства;

- данные документов о профессиональном образовании, профессиональной переподготовке, повышении квалификации, стажировке, присвоении ученой степени, ученого звания (если таковые имеются);

- данные трудовой книжки или документа, подтверждающего прохождение военной или иной службы, стаж (общий, в данном учреждении);

- данные свидетельств о государственной регистрации актов

гражданского состояния,

- данные трудового договора, а также экземпляры письменных

дополнительных соглашений, которыми оформляются изменения и дополнения, внесенные в трудовой договор;

- данные документов воинского учета (для военнообязанных и лиц,

подлежащих призыву на военную службу);

- данные страхового свидетельства обязательного пенсионного

страхования;

- данные свидетельства о постановке на учет в налоговом органе

физического лица по месту жительства на территории Российской Федерации;

- номер расчетного счета;

- телефон.                    

2. Состав информации в информационной системе «Медиалог» (ведение личных карточек пациентов)

Перечень обрабатываемых сведений:

- фамилия, имя, отчество;

- дата рождения;

- пол;

- данные паспорта (тип, серия, номер документа, удостоверяющего личность);

- данные по месту пребывания и регистрации по месту жительства;

- фотография;

- место работы и должность;

- данные о состоянии здоровья;

- телефон.

Приложение № 2

к «Политике организации в отношении обработки персональных данных

ООО «Лечебно-диагностический центр «Авеста-М»

ОБЯЗАТЕЛЬСТВО

О НЕРАЗГЛАШЕНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ

  1. Я, ________________________________________________________

(должность,

__________________________________________________________________,

фамилия, имя, отчество)

ознакомлен(а) с «Политикой организации обработки персональных данных ООО «Лечебно-диагностический центр «Авеста-М» и обязуюсь не разглашать и не использовать в личных целях и целях извлечения выгоды, сведения, содержащие персональные данные субъектов персональных данных, ставшие мне известными в связи с исполнением мною трудовых (должностных) обязанностей. Об ответственности за разглашение указанных сведений предупрежден(а).

2. Обязуюсь в случае попытки третьих лиц получить от меня информацию о персональных данных, сообщать руководителю организации.

_________________ _________________________ _____________________

дата                                                        подпись                                                 расшифровка подписи

Приложение № 3

к «Политике организации в отношении обработки персональных данных ООО «Лечебно-диагностический центр «Авеста-М»

ПИСЬМЕННОЕ СОГЛАСИЕ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ НА ПОЛУЧЕНИЕ ЕГО ПЕРСОНАЛЬНЫХ ДАННЫХ У ТРЕТЬИХ ЛИЦ

Я, __________________________________________________________,

(фамилия, имя, отчество)

согласен(на) на получение оператором (__________________________) от

                                                                             (наименование организации)

__________________________________________________________________

(фамилия, имя отчество или наименование третьего лица)

следующей информации _____________________________________________

_________________________________________________________________

(виды запрашиваемой информации и (или) документов)

_________________ _________________________ _____________________

дата                                                        подпись                                                 расшифровка подписи


Приложение № 4

к «Политике организации в отношении обработки персональных данных ООО «Лечебно-диагностический центр «Авеста-М»

УВЕДОМЛЕНИЕ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ НА ПОЛУЧЕНИЕ ЕГО ПЕРСОНАЛЬНЫХ ДАННЫХ У ТРЕТЬИХ ЛИЦ

Уважаемый(ая)________________________________________________

(фамилия, имя, отчество)

В связи с _____________________________________________________

(указать причину)

у _____________________________ возникла необходимость получения

                     (наименование организации)

следующей информации, составляющей Ваши персональные данные __________________________________________________________________

(перечислить информацию)

Просим Вас предоставить указанные сведения __________________________

__________________________________________________________________

(кому)

в течение трех рабочих дней с момента получения настоящего уведомления.

В случае невозможности предоставить указанные сведения просим в указанный срок дать письменное согласие на получение оператором -

_________________________ необходимой информации из следующих

         (наименование организации)

источников:

__________________________________________________________________,

(указать источники)

следующими способами: ____________________________________________

                                                               (автоматизированная обработка, иные способы)

По результатам обработки указанной информации оператором планируется принятие следующих решений, которые будут доведены до Вашего сведения____________________________________________________

__________________________________________________________________

__________________________________________________________________

       (указать решения и иные юридические последствия обработки информации)

Против принятого решения Вы имеете право заявить свои письменные возражения в __________________________________ срок.

Информируем Вас о последствиях Вашего отказа дать письменное согласие на получение оператором указанной информации

_________________________________________________________________

_________________________________________________________________

                                                                              (перечислить последствия)

Информируем Вас о Вашем праве в любое время отозвать свое письменное согласие на обработку персональных данных.

_________________ ___________________________ _____________________

дата                                                        подпись                                                 расшифровка подписи

Настоящее уведомление на руки получил(а):

_________________ ___________________________ _____________________

дата                                                        подпись                                                 расшифровка подписи


      

Приложение № 5

к «Политике организации в отношении обработки персональных данных

ООО «Лечебно-диагностический центр «Авеста-М»

СОГЛАСИЕ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ НА ОБРАБОТКУ ЕГО ПЕРСОНАЛЬНЫХ ДАННЫХ

Я, __________________________________________________________

                                                             (фамилия, имя, отчество субъекта)
документ, удостоверяющий личность _____________________
                                                                                                                        (вид документа)
серия, номер _______________________

выдан ___________________________________________________________
                                                                                                   (кем и когда выдан)
проживающий(ая) по адресу ________________________________________
                                                              

даю свое согласие _________________________________ (далее - Оператор),

(наименование организации)

находящегося по адресу: __________________________________________, на

обработку (включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, блокирование, уничтожение), а также осуществление любых иных действий с моими персональными данными, предусмотренных действующим законодательством Российской Федерации в целях:

- ____________________________________________________________

- ____________________________________________________________

моих персональных данных:

-       ________________________________________________________;

-       ________________________________________________________;

-       ________________________________________________________;

-       ________________________________________________________.

Обработка, передача персональных данных разрешается на срок, установленный нормативно-правовыми актами РФ.

Организация гарантирует, что обработка моих личных данных осуществляется в соответствии с действующим законодательством Российской Федерации.

Я уведомлен и даю свое согласие на то, что организация будет обрабатывать мои персональные данные и принимать решения порождающие юридические последствия в отношении меня или иным образом затрагивающие мои права и законные интересы на основании обработки персональных данных как неавтоматизированным, так и автоматизированным способом.

Мне разъяснен порядок принятия решений на основании исключительно автоматизированной обработки моих персональных данных и возможные юридические последствия такого решения, я проинформирован о возможности заявить возражение против такого решения, а также мне разъяснен порядок защиты своих прав и законных интересов.

Я подтверждаю, что, давая такое Согласие, я действую своей волей и в своих интересах.

Данное Согласие вступает в силу с момента его подписания и действует до истечения сроков, установленных действующим законодательством Российской Федерации.

Согласие может быть отозвано мною в любое время на основании моего письменного заявления.

С моими правами и обязанностями в области защиты персональных данных ознакомлен(а).

_________________ _________________________ ____________________

дата                                                        подпись                                                 расшифровка подписи


СОГЛАСИЕ СОТРУДНИКА НА ОБРАБОТКУ ЕГО ПЕРСОНАЛЬНЫХ ДАННЫХ

Я, __________________________________________________________

                                                            (фамилия, имя, отчество сотрудника)
документ, удостоверяющий личность _____________________
                                                                                                                        (вид документа)
серия, номер _______________________
выдан _______________________________________________________________
                                                                                                   (кем и когда выдан)
проживающий(ая) по адресу ________________________________________
_________________________________________________________________

являясь сотрудником ___________________________________________,

                                                                 (наименование организации)

(далее - Оператор), находящегося по адресу: _________________________

______________________________________________________________, своей волей и в своих интересах выражаю согласие на обработку моих персональных данных Оператором в целях информационного обеспечения для формирования общедоступных источников персональных данных (справочников, адресных книг, информации в СМИ, на сайте организации и т.д.), включая выполнение действия по сбору, систематизации, накоплению, хранению, уничтожению (обновлению, изменению), распространению (в том числе передаче третьим лицам) и уничтожению моих персональных данных, входящих в следующий перечень общедоступных сведений:

- фамилия, имя, отчество;

- сведения о профессии, должности, образовании;

- иные сведения, специально предоставленные мной для размещения в общедоступных источниках персональных данных.

Для целей обеспечения соблюдения законов и иных нормативных правовых актов, выполнения функций работодателя, безналичных платежей на мой счет, сдачи отчетности, выражаю согласие на передачу моих персональных данных в ПФР, ФНС, ФСС, а так же правоохранительным (контролирующим) органам по мотивированному запросу для выполнения возложенных на них функций (для этих целей дополнительно к общедоступным сведениям могут быть получены или переданы сведения о дате рождения, гражданстве, доходах, паспортных данных, сведениях о водительском удостоверении, предыдущих местах работы, идентификационном номере налогоплательщика, данные воинского учета, свидетельстве государственного пенсионного страхования, анкетные данные, предоставленные мною при поступлении на работу или в процессе работы (в том числе - автобиография, сведения о семейном положении работника, перемене фамилии, наличии детей и иждивенцев), данные иных документов, которые с учетом специфики работы и в соответствии с законодательством Российской Федерации должны быть предъявлены мною при заключении трудового договора или в период его действия, данные трудового договора и соглашений к нему, данные кадровых приказов о моем приеме, переводах, увольнении, данные личной карточки по формам Т-2 и Т-1, данные документов о прохождении мной аттестации, собеседования, повышения квалификации, результатов оценки и обучения, фотография, иные сведения обо мне, которые необходимо (оператору) для корректного документального оформления правоотношений между мною и (оператором), социальных льготах и выплатах, на которые я имею право в соответствии с действующим законодательством).

Вышеприведенное согласие на обработку моих персональных данных предоставлено с учетом п. 2 ст. 6 и п. 2 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», в соответствии с которыми обработка персональных данных, осуществляемая на основе федерального закона либо для исполнения договора, стороной в котором я являюсь, может осуществляться Оператором без моего дополнительного согласия.

Персональные данные подлежат уничтожению по достижению целей обработки или в случае утраты необходимости их достижения.

Организация гарантирует, что обработка моих личных данных осуществляется в соответствии с действующим законодательством Российской Федерации.

Я уведомлен и даю свое согласие на то, что организация будет обрабатывать мои персональные данные и принимать решения порождающие юридические последствия в отношении меня или иным образом затрагивающие мои права и законные интересы на основании обработки персональных данных как неавтоматизированным, так и автоматизированным способом.

Мне разъяснен порядок принятия решений на основании исключительно автоматизированной обработки моих персональных данных и возможные юридические последствия такого решения, я проинформирован о возможности заявить возражение против такого решения, а также мне разъяснен порядок защиты своих прав и законных интересов.

Я подтверждаю, что, давая настоящее Согласие, я действую своей волей и в своих интересах.

Данное Согласие вступает в силу с момента его подписания и действует до истечения сроков, установленных действующим законодательством Российской Федерации.

Согласие может быть отозвано мною в любое время на основании подачи Оператору письменного заявления.

Подтверждаю свое согласие с «Политикой организации обработки персональных данных ООО «Лечебно-диагностический центр «Авеста-М», а так же ознакомление при трудоустройстве с моими правами и обязанностями в области защиты персональных данных.

___________ _________________________ ____________________

дата                                                       подпись                                                 расшифровка подписи 

      

Приложение № 6

к «Политике организации в отношении обработки персональных данных

ООО «Лечебно-диагностический центр «Авеста-М»

ЗАПРОС О ДОСТУПЕ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ К СВОИМ ПЕРСОНАЛЬНЫМ ДАННЫМ

_________________________________________________________________

(наименование и адрес оператора)

От ________________________________________________________________

(фамилия, имя, отчество,

_______________________________________________________________________________________________________

номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе)

Прошу предоставить мне для ознакомления следующую информацию (документы), составляющую мои персональные данные: _________________

__________________________________________________________________.

(перечислить)

_________________ _________________________ ____________________

дата                                                        подпись                                                 расшифровка подписи



      

Приложение № 7

к «Политике организации в отношении обработки персональных данных

ООО «Лечебно-диагностический центр «Авеста-М»

ЖУРНАЛ

регистрации письменных запросов граждан

на доступ к своим персональным данным

На _____ листах
Начат «___»__________2014 г.
Окончен «___»__________20__ г.



№№ п/п

Вх.

№ письма

Дата получения запроса

Ф.И.О.гражданина

Сведения о документе, удостоверяющем личность

Отметка о предоставлении доступа к ПДн

(отказе в доступе)

Исх. номер и дата письма с ответом

на запрос

Ф.И.О., должность, роспись отрудника, выдавшего ответ

Примечание

Номер, серия

Дата выдачи

Кем выдан

1

2

3

4

5

6

7

8

9

10

11



      

Приложение № 8

к «Политике организации в отношении обработки персональных данных

ООО «Лечебно-диагностический центр «Авеста-М»

УВЕДОМЛЕНИЕ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ О ПОЛУЧЕНИИ ИНФОРМАЦИИ

Уважаемый(ая) ________________________________________________

           (фамилия, имя, отчество)

на основании _________________________________________________

_____________________ (Оператор), расположенное по адресу:                                                        (наименование организации)

_____________________________________________________, получило от _____________________________________________________________

                                                        (наименование организации, адрес)

следующую информацию, содержащую Ваши персональные данные: _______

_________________________________________________________________

(перечислить)

Указанная информация будет обработана и использована Оператором в целях:_______________________________________________________________________________________________________________________________
                                                                                   (перечислить)

Вы имеете право на полную информацию о своих персональных данных, содержащуюся у оператора, свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей Ваши персональные данные, за исключением случаев, предусмотренных действующим законодательством; требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав, получать иную информацию, касающуюся обработки Ваших персональных данных.

_________________ _________________________ _____________________

дата                                                        подпись                                                 расшифровка подписи

Настоящее уведомление на руки получил(а):

_________________ _________________________ _____________________

дата                                                        подпись                                                 расшифровка подписи

      

Приложение № 9

к «Политике организации в отношении обработки персональных данных

ООО «Лечебно-диагностический центр «Авеста-М»

            

УВЕДОМЛЕНИЕ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ ОБ УНИЧТОЖЕНИИ ЕГО ПЕРСОНАЛЬНЫХ ДАННЫХ

(при недостоверности, прекращении обработки, устранении нарушений

обработки персональных данных)

Уважаемый(ая) _______________________________________________.

(фамилия, имя, отчество)

В связи с _____________________________________________________ __________________________________________________________________ (недостоверностью, выявлением неправомерных действий с Вашими персональными данными, достижением цели обработки, отзывом Вами согласия на обработку, другие причины)

сообщаем Вам, что обработка следующих Ваших персональных данных: _________________________________________________________________

__________________________________________________________________

(перечислить)

прекращена и указанная информация подлежит уничтожению (изменению).

_________________ ______________________________ _________________

дата                                                        подпись                                                 расшифровка подписи

Настоящее уведомление на руки получил(а):

________________ ______________________________ _________________

дата                                                        подпись                                                 расшифровка подписи

      

Приложение № 10

к «Политике организации в отношении обработки персональных данных

ООО «Лечебно-диагностический центр «Авеста-М»

            

УВЕДОМЛЕНИЕ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

об устранении нарушений при работе с его персональными данными

Уважаемый(ая) _______________________________________________.

(фамилия, имя, отчество)

_______________________________ уведомляет Вас, что все допущенные

        (наименование организации)

нарушения, а именно __________________________________________________________________

________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

(указать исправленные нарушения)

« ___ » ____________ 20__ г. были устранены в соответствии с требованиями статьи 21 Федерального закона № 152-ФЗ от 27.07.2006 г. «О персональных данных».

_________________ ______________________________ _________________

дата                                                        подпись                                                 расшифровка подписи

Настоящее уведомление на руки получил(а):

________________ ______________________________ _________________

дата                                                        подпись                                                 расшифровка подписи

      

Приложение № 11

к «Политике организации в отношении обработки персональных данных

ООО «Лечебно-диагностический центр «Авеста-М»

ЛИСТ РЕГИСТРАЦИИ ИЗМЕНЕНИЙ В ПОЛИТИКЕ ОРГАНИЗАЦИИ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В ОРГАНИЗАЦИИ

№ п/п

Дата

Внесенное изменение

Основание

(наименование, №номер и дата документа)

Кем внесено изменение (должность, подпись)


Я, __________________________________________________________,
(фамилия, имя, отчество)
проживающий (-ая) по адресу: _______________________________________
__________________, паспорт серия ______ №___________ выдан ____________________ _________________________, работающий (-ая) по трудовому договору в ООО «Лечебно-диагностический центр «Авеста-М» - (Оператор), находящегося по адресу: __________________________________, даю согласие моему работодателю на передачу и обработку моих персональных данных ОАО «Сбербанк России» имеющего юридический адрес: 117997, г. Москва, ул. Вавилова, д. 19, в том числе филиалу ОАО «Сбербанк России» - (Банк) находящегося по адресу: 410012, г. Саратов, ул. Вавилова, дом 1/7, в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных», своей волей и в своих интересах выражаю согласие на обработку моих персональных данных с использованием средств автоматизации или без использования таковых, в целях исполнения условий договора с Банком включающих открытие банковского счета и оформление банковской карты, для перечисления заработной платы, и выполнение действий включающих сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Перечень обрабатываемых персональных данных: паспортные данные (ФИО, дата рождения, серия и номер паспорта, место рождения, место жительства, гражданство), телефон, номер расчетного счета.
Работодатель гарантирует, что обработка моих личных данных осуществляется в соответствии с действующим законодательством Российской Федерации.
Банк обязуется принимать надлежащие технические и организационные меры по обеспечению безопасности в соответствии с требованиями законодательства в части защиты персональных данных.
Обработка персональных данных разрешается на срок действия трудового договора (период трудовых отношений).
Согласие может быть отозвано мною в любое время на основании подачи Оператору письменного заявления.
Подтверждаю, что с порядком отзыва согласия на обработку персональных данных в соответствии с п.5 ст.21 Федерального закона от 27.07.2006 «О персональных данных» №152-ФЗ ознакомлен(а).

«___»_____________201__ г. Подпись