Размер:
A A A
Цвет: C C C
Изображения Вкл. Выкл.
Обычная версия сайта
Группа компаний ЛеО
Группа компаний "ЛеО"
 Как нам позвонить?
Телефоны

Запись на прием во все центры и клиники "ЛеО"
Ежедневно с 8.00 до 20.00


Справочная служба аптечной сети "ЛеО"


О персональных данных

УТВЕРЖДАЮ

Директор  ООО «ЛеО-М»

Кондауров В.В.

                          Приказ № ­­ПДн-2 от «27» июля 2020г.  


ПОЛИТИКА 

Общества с ограниченной ответственностью «ЛеО-М»

В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ И СВЕДЕНИЯ О РЕАЛИЗУЕМЫХ ТРЕБОВАНИЯХ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ 

2020 г.

Общие положения

 

Политика Общества с ограниченной ответственностью «ЛеО-М» в отношении обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных (далее – Политика) определяет общие принципы и порядок обработки персональных данных и меры по обеспечению их безопасности в ООО «ЛеО-М» (далее – Оператор).

Целью Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную, врачебную и семейную тайну, четкое и неукоснительное соблюдение требований российского законодательства в области персональных данных.

Для этих целей введен в действие комплект организационно-распорядительной документации, обязательный к исполнению всеми сотрудниками Оператора, допущенными к обработке персональных данных.

Обработка, хранение и обеспечение конфиденциальности и безопасности персональных данных осуществляется в соответствии с действующим законодательством РФ в сфере защиты персональных данных, и в соответствии с локальными актами Оператора.

Поскольку к настоящей Политике в соответствии с ч. 2 ст. 18.1 Федерального закона № 152-ФЗ «О персональных данных» необходимо обеспечить неограниченный доступ, в ней не публикуется детальная информация о принятых мерах по защите персональных данных, а также иная информация, использование которой неограниченным кругом лиц может нанести ущерб Оператору или субъектам персональных данных.

 

Основные понятия, используемые в политике:

-           персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

-           оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; в Политике под оператором понимается ООО «ЛеО-М»;

-           обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:

-          сбор;

-          запись;

-          систематизацию;

-          накопление;

-          хранение;

-          уточнение (обновление, изменение);

-          извлечение;

-          использование;

-          передачу (распространение, предоставление, доступ);

-          обезличивание;

-          блокирование;

-          удаление;

-          уничтожение.

-           автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

-           распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

-           предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

-           блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

-           уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

-           обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

-           информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

-           трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

-           носитель персональных данных – физическое лицо или материальный объект, в том числе физическое поле, в котором персональные данные находят своё отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин;

-           ответственный за организацию обработки персональных данных – лицо, осуществляющее внутренний контроль за соблюдением Оператором и его работниками законодательства РФ о персональных данных, в том числе требований к защите персональных данных;

-           ответственный за обеспечение безопасности персональных данных – лицо, ответственное за обеспечение безопасности персональных данных, за реализацию и непрерывность соблюдения установленных мер защиты и осуществляющих поддержку функционирования средств защиты информации, применяемых в информационной системе персональных данных Оператора;

-           пользователь – работник Оператора, которому разрешено выполнять некоторые действия (операции) по обработке персональных данных в информационной системе персональных данных или использующее результаты её функционирования;

-           пользователь сайта – любой посетитель, зашедший на Сайт по адресу https://leonet.ru/ c любого устройства посредством сети Интернет.

-           безопасность персональных данных – состояние защищенности персональных данных, при котором обеспечены их конфиденциальность, доступность и целостность;

-           конфиденциальность персональных данных – обязательное для выполнения лицом, получившим доступ к персональным данным, требование не передавать такие персональные данные третьим лицам без согласия её обладателя;

-           доступность персональных данных – состояние персональных данных, при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно;

-           целостность персональных данных – состояние персональных данных, при котором их изменение осуществляется только преднамеренно субъектами, имеющими на него право;

-           несанкционированный доступ (несанкционированные действия) – доступ к персональным данным или действиям с персональными данными, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных;

 

Оператор публикует Политику на своем официальном сайте в сети интернет по адресу https://leonet.ru/ , а также предоставляет неограниченный доступ к ней любому лицу, лично обратившемуся к Оператору.

 

  1. Понятие и состав персональных данных

 

Сведениями, составляющими персональные данные, является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Перечень персональных данных, подлежащих защите Оператором определятся целями их обработки, Федеральным законом № 152-ФЗ «О защите персональных данных», Трудовым кодексом РФ и другими нормативно-правовыми актами.

Оператор обрабатывает персональные данные следующих категорий субъектов ПДн:

 

-        соискателей вакантных должностей Оператора, предоставивших лично или через специализированные организации по подбору персонала (кадровые агентства) свои резюме или анкеты (далее Соискатели);

-        Работников Оператора, с которыми заключены трудовые договоры, а так же лиц, выполняющих работы в интересах Оператора в соответствии с заключенными с ними гражданско-правовыми договорами (далее – Работники);

-        контрагенты Оператора, с которыми у Оператора существуют договорные отношения или с которыми Оператор намерен вступить в договорные отношения (далее – Контрагенты);

-        физические лица персональные данные которых обрабатываются в пределах полномочий и задач Оператора (далее – Клиенты (пациенты);

-        законный представитель Клиента (пациента) Оператора (далее – законные представитель Клиента (пациента);

-        близкие родственники работников Оператора, обработка персональных данных которых предусмотрена федеральными законами, а также выполняется оператором как работодателем в соответствии с требованиями органов государственного статистического учета (далее – Близкие родственники работников);

В соответствии с положениями Постановления правительства Российской Федерации от 01 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» Оператора обрабатываются следующие категории персональных данных:

-        иные категории персональных данных – персональные данные, не отнесенные к категориям: специальные, биометрические и общедоступные персональные данные.

-        специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

Оператор осуществляет обработку следующих категорий персональных данных без использования средств автоматизации:

-        Иные категории персональных данных – персональные данные, не отнесенные к категориям: специальные, биометрические и общедоступные персональные данные.

-        Специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

Полный перечень персональных и категории субъектов персональных данных утверждается «Перечнем обрабатываемых персональных данных».

 

           

  1. Цели сбора персональных данных

 

Оператор осуществляет сбор и дальнейшую обработку персональных данных в следующих целях:

 

-           организация кадрового учета компании, обеспечение соблюдения законов и иных нормативно-правовых актов; ведение кадрового делопроизводства, исполнение требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнение первичной статистической документации, в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных» и других нормативно-правовых актов;

-           принятие решений о трудоустройстве;

-           обеспечение соблюдения законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, получении образования и продвижении по службе, обеспечение личной безопасности работников, контроль количества и качества   выполняемой работы и обеспечения сохранности имущества;

-           принятие решения о заключении договоров оказания услуг, заключение договоров оказания услуг, исполнения обязательств по договорам оказания услуг перед физическими или юридическими лицами (а также индивидуальными предпринимателями и партнерами ООО «ЛеО-М»);

             Оператор обрабатывает персональные данные, ставшие известными Оператору в связи с реализацией уставных задач и целей деятельности Оператора, а также в результате, но не ограничиваясь:

-           заключения гражданско – правовых договоров;

-           заключения соглашений о сотрудничестве;

-           оформление и/или получения доверенностей (в том числе от имени Оператора);

-           получения любых иных документов от клиентов, пациентов, контрагентов Оператора, необходимых для заключения договоров с такими лицами;

-           поступления Оператору письменных, в том числе электронных обращений, запросов, заявлений, жалоб, ходатайств;

-           переписке по электронной почте;

-           осуществления иных действий, предусмотренных действующим законодательством Российской Федерации или внутренними политиками Оператора.

 

  1. Правовые основания обработки персональных данных

 

Персональные данные Оператором обрабатываются на основании:

-           Федеральный закон Российской Федерации от 01 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»

-           Федеральный закон Российской Федерации от 30 ноября 1994 г. № 51-ФЗ «Гражданский кодекс Российской Федерации (часть первая)»;

-           Федеральный закон Российской Федерации от 26 января 1996 г. № 14-ФЗ «Гражданский кодекс Российской Федерации (часть вторая)»;

-           Федеральный закон Российской Федерации от 31 июля 1998 г. № 146-ФЗ «Налоговый кодекс Российской Федерации»;

-           Федеральный закон Российской Федерации от 30 декабря 2001 г. № 197-ФЗ «Трудовой кодекс Российской Федерации»;

-           Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации»;

-           Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

-           Федеральный закон от 1 апреля 1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;

-           Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687);

-           Постановление правительства Российской Федерации от 01 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

-           Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

-           Приказ Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;

-           иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти;

-           локальные нормативные акты Оператора;

-           договоры, заключаемые между Оператором и субъектом персональных данных;

-           согласие на обработку персональных данных.

 

 

  1. Сроки обработки персональных данных

 

            Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, в течение срока не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

Оператор прекращает обработку персональных данных в следующих случаях:

При выявлении неправомерных действий с персональными данными в срок, не превышающий трёх рабочих дней с даты такого выявления, Оператор устраняет допущенные нарушения. В случае невозможности устранения допущенных нарушений Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерности действий с персональными данными, уничтожает персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор уведомляет субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены в уполномоченный орган по защите прав субъектов персональных данных, также этот орган;

 

            При достижении цели обработки персональных данных Оператор незамедлительно прекращает обработку персональных данных и уничтожает соответствующие персональные данные в срок, не превышающий тридцати рабочих дней с даты достижения цели обработки персональных данных;

              При отзыве субъектом персональных данных согласия на обработку своих персональных данных Оператор прекращает обработку персональных данных и уничтожает (за исключением персональных данных, которые хранятся в соответствии с действующим законодательством) персональные данные в срок, не превышающий тридцати рабочих дней с даты поступления указанного отзыва. Об уничтожении персональных данных Оператор уведомляет субъекта персональных данных;

 

  1. Права и обязанности

 

Оператор персональных данных в праве:

-           отстаивать свои интересы в суде;

-           предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);

-           отказывать в предоставлении персональных данных в случаях предусмотренных законодательством;

-           использовать персональные данные субъекта без его согласия, в случаях предусмотренных законодательством.

 

Оператор персональных данных обязан:

-           обеспечить каждому субъекту персональных данных возможность ознакомления с документами и материалами, содержащими их персональные данные, если иное не предусмотрено законом;

-           внести необходимые изменения, уничтожить или блокировать персональные данные в случае предоставления субъектом неполных, устаревших, недостоверных или незаконно полученных персональных данных, а также уведомить о своих действиях субъекта персональных данных;

-           выполнять требования законодательства Российской Федерации.

 

Субъект персональных данных имеет право:

-           требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

-           требовать перечень своих персональных данных, обрабатываемых Оператором и источник их получения;

-           получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;

-           требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;

-           обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных.

 

Субъект персональных данных обязан:

-           передавать достоверные, необходимые для достижения целей обработки, персональные данные, а также подтверждать достоверность персональных данных предъявлением оригиналов документов;

-           в случае изменения персональных данных, необходимых для достижения целей обработки, сообщить Оператору уточненные персональные данные и подтвердить изменения оригиналами документов;

-           выполнять требования законодательства Российской Федерации.

 

  1. Порядок, способы и условия обработки персональных данных

 

Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.

Под обработкой персональных данных понимается сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, блокирование, удаление, уничтожение персональных данных.

Политика распространяется в полном объеме на обработку персональных данных с использованием средств автоматизации, а на обработку без использования средств автоматизации – в случаях, если такая обработка соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе, и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

           Сайт ООО «ЛеО-М» использует cookie – данные для статистического анализа использования сервисов и обеспечения их работоспособности, как в целом, так и их отдельных функций и собирает следующие сведения о посетителях сайта: IP – адрес посетителя, дата и время посещения сайта, типы браузера и операционной системы, тип и модель мобильного устройства.

             При использовании электронных сервисов и предоставлении персональных данных через сайт ООО «ЛеО-М» информация пользователя не будет использована ООО «ЛеО-М» для каких-либо иных целей, кроме как для удовлетворения его конкретной потребности.

Используя этот сайт и/или предоставляя ООО «ЛеО-М» свои персональные данные, пользователь сайта выражает согласие на обработку своих персональных данных на условиях, предусмотренных настоящей Политикой.

Согласие на обработку персональных данных Пользователей действует бессрочно с момента предоставления данных и может быть в любой момент отозвано Пользователем путем подачи заявления об отзыве согласия на обработку персональных данных. Заявление необходимо направить в ООО «ЛеО-М» доступным для Пользователя способом.

В случае несогласия с настоящей Политикой Пользователь не должен использовать данный сайт и предоставлять ООО «ЛеО-М» свои персональные данные.

 

Персональные данные не передаются третьим лицам, за исключением случаев, предусмотренных законодательством Российской Федерации. В случае поступления запросов из организаций, не обладающих соответствующими полномочиями, Оператор обязан получить согласие субъекта на предоставление его персональных данных и предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет (было) соблюдено.

Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

Обработка персональных данных Оператором производится на основе соблюдения принципов:

-           законности целей и способов обработки персональных данных;

-           соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;

-           соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

-           достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

-           недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;

-           хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;

-           уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.

Отказ соискателя, клиента, потенциального клиента, контрагента и работника Оператора от предоставления согласия на обработку его персональных данных влечет за собой невозможность достижения целей обработки.

Оператор не осуществляет трансграничную (на территорию иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных.

Оператор не создает общедоступные источники персональных данных (справочники, адресные книги).

Во всех случаях обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных», возлагается на Оператора.

7.      Конфиденциальность персональных данных

            Оператор обеспечивает конфиденциальность обрабатываемых им персональных данных порядком, предусмотренными федеральными законами.

      Обеспечение конфиденциальности не требуется в отношении:

-        Персональных данных после их обезличивания;

-        Общедоступных персональных данных;

           На официальном сайте оператора в сети интернет размещается информация, содержащая персональные данные руководства оператора, работников Оператора, организующих оказание услуг по направлениям деятельности Оператора в объеме, предусмотренном законодательством Российской Федерации. Сведения, не предусмотренные законом, размещаются только на основании согласия субъектов в письменной форме.

            Согласно пункту 7 части 1 статьи 79 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» медицинская организация обязана информировать граждан в доступной форме, в том числе с использованием сети «Интернет», об осуществляемой медицинской деятельности и о медицинских работниках медицинских организаций, об уровне их образования и об их квалификации, а также предоставлять иную необходимую для проведения независимой оценки качества оказания услуг медицинскими организациями информацию.

            Во исключение данной правовой нормы приказом Минздрава России от 30.12.2014 № 956н утверждены требования к содержанию и форме предоставления информации о деятельности медицинских организаций, размещаемой на официальных сайтах Министерства здравоохранения Российской Федерации, органов государственной власти субъектов Российской федерации, органов местного самоуправления и медицинских организаций в информационно-телекоммуникационной сети «Интернет». Обработка персональных данных лиц, не предусмотренных данным правовым актом, а так же обработка категорий персональных данных в объеме, превышающем объем определенный приказом, возможен только с согласия субъекта персональных данных.

8.      Согласие субъекта персональных данных на обработку своих персональных данных

           Субъект персональных данных принимает решение о предоставлении его персональных данных Оператору и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным и может предоставляться субъектом в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральными законами.

           В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Оператором.

          Специального выраженного согласия Работника на обработку его персональных данных не требуется, т.к обработка необходима для исполнения трудового договора, стороной которого является Работник – субъект персональных данных, за исключением случаев, когда необходимо получение согласия Работника в письменной форме для конкретных случаев обработки персональных данных.

           Специального выраженного согласия Родственников работников Оператора не требуется, если обработка их персональных данных осуществляется на основании федеральных законов, а также выполняется Оператором как работодателем в соответствии с требованиями органов государственного статистического учета. Во всех остальных случаях необходимо получение доказываемого (подтверждаемого) согласия Родственников работников на обработку их персональных данных Оператором.

            Специального выраженного согласия Соискателя на обработку его персональных данных не требуется, т.к. обработка необходима в целях заключения трудового договора по инициативе Соискателя – субъекта персональных данных, за исключением случаев, когда необходимо получение согласия Соискателя в письменной форме для конкретных случаев обработки персональных данных. В случае принятия решения об отказе Соискателю в приеме на работу его персональные данные уничтожаются Оператором в течении 30 дней с даты принятия такого решения.

             Специального выраженного согласия Заявителя на обработку его персональных данных не требуется, т.к. он совершает конклюдентные действия, подтверждающие его согласие с обработкой персональных данных, подавая заявление, обращаясь к Оператору письменно, лично или через информационно-телекоммуникационную сеть «Интернет» и указывая свои персональные данные и действия, которые должны быть выполнены Оператором с ними.

             Специального выраженного согласия пациента на обработку его персональных данных не требуется, если обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно.

             Персональные данные лиц (контрагентов, представителей контрагентов), подписавших договор с Оператором, содержащиеся в единых государственных реестрах юридических лиц и индивидуальных предпринимателей, являются открытыми и общедоступными, за исключением сведений о номере, дате выдачи и органе, выдавшем документ, удостоверяющий личность физического лица. Охраны их конфиденциальности и согласия субъектов на обработку не требуется. Во всех остальных случаях необходимо получение согласия субъектов персональных данных, являющихся представителями контрагентов Оператора, за исключением лиц, подписавших договоры с Оператором, а также предоставивших доверенности на право действовать от имени и по поручению субъектов персональных данных и тем самым совершивших конклюдентные действия, подтверждающие их согласие с обработкой персональных данных, указанных в тексте договора и/или доверенности.

            Согласие на передачу Оператору персональных данных представителей контрагентов Оператора может быть получено самим контрагентом. В этом случае получение Оператором их согласия на обработку персональных данных не требуется.

            Согласие представителя субъекта на обработку персональных данных дается в форме конклюдентных действий, выраженных в предоставлении доверенности на право действовать от имени и по поручению субъектов персональных данных, и документа, удостоверяющего его личность.

            При запросе персональных данных, обработка которых не установлена требованиями законодательства или не требуется для исполнения договора, стороной которого или выгодоприобретателем по которому является субъект персональных данных, необходимо получение согласия субъекта только на обработку дополнительно истребованных Оператором персональных данных.

            Согласие субъектов на предоставление их персональных данных не требуется при получении Оператором, в рамках установленных полномочий, мотивированных запросов от судов Российской Федерации, органов прокуратуры, правоохранительных органов, органов безопасности, а также органов власти и местного самоуправления, налоговых органов, судебных приставов, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию о работниках в соответствии с компетенцией, предусмотренной федеральными законами.

            Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации.

            В случае поступления запросов из организаций, не обладающих соответствующими полномочиями, Оператор обязан получить согласие субъекта на предоставление его персональных данных и предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет (было) соблюдено.

            Согласие на обработку персональных данных, обработка которых не установлена требованиями законодательства или не требуется для исполнения договора с Оператором, стороной которого или выгодоприобретателем по которому является субъект персональных данных, может быть отозвано субъектом персональных данных.

            Во всех случаях обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных», возлагается на Оператора.

       

  1. Обеспечение безопасности персональных данных

 

Оператор предпринимает необходимые организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.

            Оператором для обеспечения безопасности персональных данных приняты следующие меры:

назначено лицо, ответственное за организацию обработки персональных данных;

-           назначен администратор безопасности информационной системы персональных данных;

-           утверждены документы, определяющие политику Оператора в отношении обработки персональных данных и устанавливающие процедуры направленные на предотвращение и выявление нарушений законодательства.

                   К таким документам в частности относятся: план мероприятий по обеспечению безопасности персональных данных в ИСПДн; перечень персональных данных, подлежащих защите; положение о разграничении прав доступа к персональным данным; приказ об утверждении перечня лиц, допущенных к обработке персональных данных; положение о защите и обработке персональных данных; политика в отношении обработки персональных данных; правила обработки персональных данных без использования средств автоматизации; приказ об утверждении мест хранения персональных данных и лицах, ответственных за соблюдение конфиденциальности персональных данных при их хранении, инструкция администратора безопасности ИСПДн, инструкция пользователя ИСПДн, инструкция ответственного за организацию обработки персональных данных, приказ о назначении группы реагирования на инциденты информационной безопасности;

-           устранение последствий нарушений законодательства РФ производится в соответствии с действующим законодательством РФ, в соответствии с положением об обработке и защите персональных данных, а также в соответствии с инструкцией администратору безопасности персональных данных;

-           внутренний контроль соответствия обработки персональных данных законодательству РФ в данной сфере производится в соответствии с планом внутренних проверок, инструкцией администратора безопасности и положением об обработке и защите персональных данных;

-           для информационной системы персональных данных разработана модель угроз безопасности персональных данных, в которой при определении опасности угроз проводится оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства;

-           для информационной системы персональных данных разработано техническое задание на создание системы защиты информации;

-           проведена оценка эффективности принимаемых мер по обеспечению безопасности персональных данных;

-           правила доступа к персональным данным утверждены в соответствующем положении, технически реализуются с помощью средств защиты информации;

-           сотрудники, допущенные к обработке персональных данных, проходят инструктажи по информационной безопасности, подписывают соглашение о неразглашении персональных данных, знакомятся с документами по защите персональных данных под роспись.

 

10.   Контроль за соблюдением законодательства РФ в области персональных данных

           Контроль за соблюдением локальных нормативных актов ООО «ЛеО-М» в области персональных данных осуществляется с целью проверки соответствия процессов обработки и защиты персональных данных требованиям законодательства РФ в области персональных данных, а также выявления возможных каналов утечки и несанкционированного доступа к персональным данным;

 

            Внутренний контроль за соблюдением структурными подразделениями Оператора требований законодательства РФ и локальных нормативных актов Оператора в области персональных данных осуществляется лицами, ответственными за обработку и защиту персональных данных в ООО «ЛеО-М».

 

               Работники Оператора, виновные в нарушении норм, регулирующих обработку и защиту персональных данных установленных в ООО «ЛеО-М», могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной или уголовной ответственности в соответствии с законодательством РФ.

 

 

11.   Заключительные положения

К настоящей Политике обеспечивается неограниченный доступ.

Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года.

Все изменения и дополнения, внесенные в настоящую Политику, утверждаются директором ООО «ЛеО-М».

Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных ООО «ЛеО-М».

Все работники и каждый новый работник ООО «ЛеО-М», непосредственно осуществляющие обработку ПДн, подлежат ознакомлению с требованиями законодательства по обработке и обеспечению безопасности ПДн, с настоящей политикой и другими внутренними документами ООО «ЛеО-М» по вопросам обработки ПДн и обязуется их соблюдать.

Ответственность работников ООО «ЛеО-М», имеющих доступ к ПДн, за невыполнение требований норм, регулирующих обработку и защиту ПДн, определяется в соответствии с действующим законодательством и внутренними документами ООО «ЛеО-М».

            Все отношения, касающиеся обработки персональных данных, не получившие отражения в настоящей Политике, регулируются согласно положениям законодательства РФ.