Политика об обработке персональных данных

Политика об обработке персональных данных

I. Общие положения

1.1. Настоящая Политика об обработке персональных данных (далее – «Политика») общества с ограниченной ответственностью «Медицинские информационные решения»
(ОГРН 1137746382828, ИНН 7717752014, место нахождения: Российская Федерация,
129626, г. Москва, проспект Мира, д. 102, стр. 25) (далее – «Оператор») разработано в соответствии с Трудовым кодексом Российской Федерации, Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ.

1.2. Цель разработки Политики - определение порядка обработки персональных данных субъектов персональных данных, персональные данные которых подлежат обработке, на основании полномочий оператора; обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.3. Настоящая Политика вступает в силу с момента ее утверждения генеральным директором Оператора и действует бессрочно, до замены его новой Политикой.

1.4. Все работники Оператора должны быть ознакомлены с настоящей Политикой под роспись.

1.5. Иные права и обязанности Оператора в связи с обработкой персональных данных, не предусмотренные настоящей Политикой, определяются законодательством Российской Федерации в области персональных данных.

1.6. Настоящая Политика является открытым и общедоступным документом. Действующая редакция Политики размещается в сети Интернет по адресу https://medsolutions.ru.

II. Основные понятия и состав персональных данных

2.1. Для целей настоящей Политики используются следующие основные понятия:

2.1.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая работодателю в связи с трудовыми отношениями;

2.1.2. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без
использования таких средств с персональными данными, включая сбор, запись,
систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение,
использование, передачу (распространение, предоставление, доступ), обезличивание,
блокирование, удаление, уничтожение персональных данных;
2.1.3. Конфиденциальность персональных данных - обязательное для соблюдения
назначенного ответственного лица, получившего доступ к персональным данным,
требование не допускать их распространения без согласия субъекта персональных данных
или иного законного основания;2.1.4. Распространение персональных данных - действия, направленные на передачу
персональных данных определенному кругу лиц (передача персональных данных) или на
ознакомление с персональными данными неограниченного круга лиц, в том числе
обнародование персональных данных в средствах массовой информации, размещение в
информационно-телекоммуникационных сетях или предоставление доступа к
персональным данным каким-либо иным способом;
2.1.5. Использование персональных данных - действия (операции) с персональными
данными, совершаемые должностным лицом Оператора в целях принятия решений или
совершения иных действий, порождающих юридические последствия в отношении
субъектов персональных данных либо иным образом затрагивающих их права и свободы
или права и свободы других лиц;
2.1.6. Блокирование персональных данных - временное прекращение обработки
персональных данных (за исключением случаев, если обработка необходима для
уточнения персональных данных);
2.1.7. Уничтожение персональных данных - действия, в результате которых невозможно
восстановить содержание персональных данных в информационной системе
персональных данных или в результате которых уничтожаются материальные носители
персональных данных;
2.1.8. Обезличивание персональных данных - действия, в результате которых
становится невозможным без использования дополнительной информации определить
принадлежность персональных данных конкретному субъекту персональных данных;
2.1.9. Общедоступные персональные данные - персональные данные, доступ
неограниченного круга лиц к которым предоставлен с согласия субъекта персональных
данных или на которые в соответствии с федеральными законами не распространяется
требование соблюдения конфиденциальности.
2.1.10. Сервисы – Интернет-сайт https://medsolutions.ru; Интернет-сайт
https://medrussia.org; мобильное приложение «Справочник врача»; мобильное приложение «Мое Здоровье».

III. Принципы обработки персональных данных

3.1. Обработка персональных данных осуществляется на законной и справедливой основе.
3.2. Обработка персональных данных ограничивается достижением конкретных, заранее
определенных и законных целей.
3.3. Не допускается объединение баз данных, содержащих персональные данные,
обработка которых осуществляется в целях, несовместимых между собой.
3.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
3.5. Содержание и объем обрабатываемых персональных данных должны соответствовать
заявленным целям обработки. Обрабатываемые персональные данные не должны быть
избыточными по отношению к заявленным целям их обработки.
3.6. При обработке персональных данных обеспечивается точность персональных данных,
их достаточность, а в необходимых случаях и актуальность по отношению к целям
обработки персональных данных. Оператор принимает необходимые меры либо
обеспечивает удаление или уточнение неполных или неточных данных.
3.7. Оператор обеспечивает обезличивание или уничтожение персональных данных по
достижении цели их обработки или в случае утраты необходимости в достижении этих
целей, при невозможности устранения Оператором допущенных нарушений персональных
данных, если иное не предусмотрено федеральным законом.

IV. Условия обработки персональных данных

4.1. Оператор осуществляет обработку персональных данных при наличии одного из
следующих условий:
4.1.1. обработка персональных данных осуществляется с согласия субъекта персональных
данных на обработку его персональных данных;
4.1.2. обработка персональных данных необходима для достижения целей,
предусмотренных международным договором Российской Федерации или законом, для
осуществления и выполнения возложенных законодательством Российской Федерации на
оператора функций, полномочий и обязанностей;
4.1.3. обработка персональных данных осуществляется в связи с участием лица в
конституционном, гражданском, административном, уголовном судопроизводстве,
судопроизводстве в арбитражных судах;
4.1.4. обработка персональных данных необходима для исполнения судебного акта, акта
другого органа или должностного лица, подлежащих исполнению в соответствии с
законодательством Российской Федерации об исполнительном производстве;
4.1.5. обработка персональных данных необходима для исполнения договора, стороной
которого либо выгодоприобретателем или поручителем по которому является субъект
персональных данных, а также для заключения договора по инициативе субъекта
персональных данных или договора, по которому субъект персональных данных будет
являться выгодоприобретателем или поручителем;
4.1.6. обработка персональных данных необходима для защиты жизни, здоровья или иных
жизненно важных интересов субъекта персональных данных, если получение согласия
субъекта персональных данных невозможно;
4.1.7. обработка персональных данных необходима для осуществления прав и законных
интересов оператора или третьих лиц, либо для достижения общественно значимых целей
при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
4.1.8. осуществляется обработка персональных данных, подлежащих опубликованию или
обязательному раскрытию в соответствии с федеральным законом.

V. Цели обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются

5.1. Обработка персональных данных осуществляется Оператором для достижения
следующих целей:
5.1.1. Обеспечение доступа пользователей к функционалу Сервисов и обеспечение
возможности использования соответствующего функционала Сервисов.
5.1.1.1. Категории субъектов, персональные которых обрабатываются: пользователи
Сервисов.
5.1.1.2. Категории персональных данных: фамилия, имя, отчество, дата рождения, место
рождения, гражданство, реквизиты документа, удостоверяющего личность, ИНН, СНИЛС,
место жительства, адрес электронной почты, номер телефона, место работы и занимаемая
должность, сведения об образовании; иная информацию и данные, предоставленные
пользователем по его усмотрению (включая, но не ограничиваясь:
фотоматериалы/мультимедиафайлы); данные, которые автоматически передаются
Сервисам Оператора в процессе их использования с помощью установленного на
устройстве пользователя программного обеспечения, включая, но не ограничиваясь: IP-
адрес, информация из cookie, информация о браузере пользователя (или иной программе,с помощью которой осуществляется доступ к Сервисам), время доступа, адрес
запрашиваемой страницы;
5.1.2. Обеспечение коммуникации с пользователем, в том числе направление
уведомлений, запросов и информации, касающихся использования Сервисов и
обработка запросов и заявок от пользователя. Обработка обратной связи от
пользователя Сервисов Оператора.
5.1.2.1. Категории субъектов, персональные которых обрабатываются: пользователи
Сервисов.
5.1.2.2. Категории персональных данных: фамилия, имя, отчество, дата рождения, место
рождения, гражданство, реквизиты документа, удостоверяющего личность, ИНН, СНИЛС,
место жительства, адрес электронной почты, номер телефона, место работы и занимаемая
должность, сведения об образовании; иная информацию и данные, предоставленные
пользователем по его усмотрению;
5.1.3. Осуществление сделок для достижения целей деятельности Оператора в
соответствии с Уставом Оператора, реализация прав и исполнение обязательств по
договорам с контрагентами Оператора.
5.1.3.1. Категории субъектов, персональные которых обрабатываются: работники,
пользователи Сервисов, контрагенты, работники контрагентов.
5.1.3.2. Категории персональных данных: фамилия, имя, отчество, дата рождения, место
рождения, гражданство, реквизиты документа, удостоверяющего личность, ИНН, СНИЛС,
место жительства, адрес электронной почты, номер телефона, место работы и занимаемая
должность;
5.1.4. Заключение договоров с лицами, поступающими на работу, заключение и
исполнение договоров с работниками, регулирование трудовых и непосредственно
связанных с ними отношений.
5.1.4.1. Категории субъектов, персональные которых обрабатываются: работники.
5.1.4.2. Категории персональных данных: фамилия, имя, отчество, дата рождения, место
рождения, гражданство, реквизиты документа, удостоверяющего личность, ИНН, СНИЛС,
место жительства, адрес электронной почты, номер телефона, место работы и
занимаемая должность, сведения об образовании, информация о предыдущем опыте
работы и работодателях, доходы, сведения о банковских счетах, образование, сведения
о семейном положении, сведения о составе семьи, сведения о воинском учете;
специальные персональные данные: сведения о состоянии здоровья, связанные с
возможностью выполнения трудовой функции; фотография, сведения о деловых и иных
личных качествах, носящие оценочный характер.
5.1.5. Поиск и подбор кандидатов для трудоустройства организации Оператора.
5.1.5.1. Категории субъектов, персональные которых обрабатываются: кандидаты
(соискатели).
5.1.5.2. Категории персональных данных: фамилия, имя, отчество, адрес электронной
почты, номер телефона, место работы и занимаемая должность, сведения об образовании,
информация о предыдущем опыте работы и работодателях, образование; специальные
персональные данные: сведения о состоянии здоровья, связанные с возможностью
выполнения трудовой функции, фотография, сведения о деловых и иных личных
качествах, носящие оценочный характер.
5.1.6. Осуществление административно-хозяйственной деятельности Оператора.5.1.6.1. Категории субъектов, персональные которых обрабатываются: работники,
уволенные работники, контрагенты, работники контрагентов, пользователи Сервисов.
5.1.6.2. Категории персональных данных: фамилия, имя, отчество адрес электронной
почты, номер телефона, место работы и занимаемая должность, сведения об образовании,
информация о предыдущем опыте работы и работодателях.
5.1.7. Проведение статистических и иных исследований.
5.1.7.1. Категории субъектов, персональные которых обрабатываются: пользователи
Сервисов.
5.1.7.2. Категории персональных данных: фамилия, имя, отчество, место жительства,
место работы и занимаемая должность; иная информация и данные, предоставленные
пользователем по его усмотрению при участии в статистических и иных исследованиях
Оператора, проводимых с использованием Сервисов Оператора; данные, которые
автоматически передаются Сервисам Оператора в процессе их использования с помощью
установленного на устройстве пользователя программного обеспечения, включая, но не
ограничиваясь: IP-адрес, информация из cookie, информация о браузере пользователя
(или иной программе, с помощью которой осуществляется доступ к Сервисам).
5.1.8. Рекламные и маркетинговые цели, продвижение услуг Оператора на рынке, а
также увеличение аудитории пользователей Сервисов.
5.1.8.1. Категории субъектов, персональные которых обрабатываются: пользователи
Сервисов, контрагенты, работники контрагентов, а также иные лица, выразившие согласие
на получение информационной и/или рекламной рассылки.
5.1.8.2. Категории персональных данных: фамилия, имя, отчество адрес электронной
почты, номер телефона, место работы и занимаемая должность, сведения об образовании.
5.1.9. Организация пропускного режима, обеспечение безопасности.
5.1.9.1. Категории субъектов, персональные которых обрабатываются: кандидаты
(соискатели), работники, родственники работников, посетители Оператора.
5.1.9.2. Категории персональных данных: фамилия, имя, отчество, дата рождения, место
рождения, гражданство, реквизиты документа, удостоверяющего личность, адрес, номер
телефоны, адрес электронной почты, место работы и занимаемая должность, контактная
информация лиц для связи в экстренных ситуациях, фотография.

VI. Способы обработки, сроки обработки и хранения персональных данных, порядок их уничтожения

6.1. Для достижения целей обработки персональных данных, указанных в разделе V,
Оператор осуществляет обработку персональных данных следующим способом:
обработка автоматизированным и неавтоматизированным способом, с передачей по
внутренней сети юридического лица и по сети Интернет.
6.2. Для достижения целей обработки персональных данных, указанных в разделе V,
Оператор производит сбор, запись, систематизацию, накопление, хранение, уточнение
(обновление, изменение), извлечение, использование, передачу (распространение,
предоставление, доступ), обезличивание, блокирование, удаление, уничтожение
персональных данных;
6.3. Сроки обработки и хранения персональных данных, обрабатываемых для достижения
целей обработки персональных данных, указанных в разделе V, устанавливаются исходя
из условий обработки персональных данных, определенных Федеральным законом «О
персональных данных» от 27.07.2006 № 152-ФЗ, договором и согласия субъекта
персональных данных.6.4. Обработка и хранение персональных данных осуществляется не дольше, чем этого
требуют цели обработки персональных данных, если иное не установлено
законодательством Российской Федерации.
6.5. Оператор осуществляет уничтожение персональных данных (1) при достижении цели
обработки персональных данных или в случае утраты необходимости в достижении цели
обработки персональных данных; (2) при выявлении факта неправомерной обработки
персональных данных; (3) при отзыве субъектом персональных данных согласия на
обработку персональных данных; (4) при предъявлении субъектом персональных данных
требования о прекращении обработки персональных данных.
6.6. Порядок уничтожения персональных данных определяются локальными
нормативными актами Оператора.

VII. Права субъектов персональных данных

7.1. Субъекты персональных данных имеют следующие права:
7.1.1. право на отзыв ранее данного им согласия на обработку персональных данных;
7.1.2. право на получение информации, касающейся обработки персональных данных;
7.1.3. право на уточнение своих персональных данных, их блокирование или уничтожение,
если персональные данные являются неполными, устаревшими, недостоверными,
незаконно полученными, не являются необходимыми для заявленной цели обработки, а
также требовать прекращения обработки персональных данных, если цель такой
обработки достигнута Оператором;
7.1.4. право на обжалование действий (бездействий) Оператора;
7.1.5. иные права, предусмотренные Федеральным законом «О персональных данных» от
27.07.2006 № 152-ФЗ.
7.2. Субъект персональных данных вправе реализовать предоставленные ему права путем
направления обращения в адрес Оператора в письменной или электронной форме по
реквизитам, указанным в разделе 12 настоящей Политики.
7.3. Обращение субъекта персональных данных, направляемое в порядке,
предусмотренном п. 7.2 выше, должно содержать: фамилию, имя, отчество субъекта
персональных данных; номер документа, удостоверяющего личность субъекта
персональных данных, сведения о дате выдачи указанного документа и выдавшем его
органе либо иные данные, позволяющие однозначно идентифицировать субъекта
персональных данных; контактные данные субъекта персональных данных (телефон,
адрес электронной почты, место нахождения), а также описание требований субъекта
персональных данных с приложением подтверждающих документов.

VIII. Конфиденциальность персональных данных

8.1. Оператор и иные лица, получившие доступ к персональным данным, обязаны не
раскрывать третьим лицам и не распространять персональные данные без согласия
субъекта персональных данных, если иное не предусмотрено федеральным законом.

IХ. Обеспечение реализации требований к защите персональных данных

9.1. При обработке персональных данных Оператор принимает необходимые правовые,
организационные и технические меры для защиты персональных данных от
неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования,копирования, предоставления, распространения персональных данных, а также от иных
неправомерных действий в отношении персональных данных.
9.2. К мерам, принимаемым Оператором для защиты персональных данных, в частности,
относятся:
9.2.1. назначение сотрудника, ответственного за организацию обработки персональных
данных;
9.2.2. применение организационных и технических мер по обеспечению безопасности
персональных данных при их обработке в информационных системах персональных
данных, необходимых для выполнения требований к защите персональных данных;
9.2.3. принятие локальных нормативных актов, определяющих политику в отношении
обработки персональных данных, актов по вопросам обработки персональных данных, а
также локальных актов, устанавливающих процедуры, направленные на предотвращение
и выявление нарушений законодательства Российской Федерации, устранение
последствий таких нарушений;
9.2.4. установление правил доступа к персональным данным, обрабатываемым в
информационной системе персональных данных; ограничение круга лиц, имеющих доступ
к персональным данным; ознакомление работников с правилами обращения с
персональными данными и локальными нормативными актами по вопросам обработки
персональных данных;
10.2.5. внутренний контроль за принимаемыми мерами по обеспечению безопасности
персональных данных и уровня защищенности информационных систем персональных
данных;
9.2.6. оценка вреда, который может быть причинен субъектам персональных данных в
случае нарушения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных
данных» в рамках моделирования угроз безопасности персональных данных;
9.2.7. обнаружение фактов несанкционированного доступа к персональным данным и
принятием мер;
9.2.8. организация пропускного и внутриобъектового режимов на территории Общества;
9.2.9. проведение мониторинга действий пользователей, проведение разбирательств по
фактам нарушения требований безопасности персональных данных.

X. Поручение обработки персональных данных

10.1. Оператор вправе поручить обработку персональных данных другому лицу с согласия
субъекта персональных данных, если иное не предусмотрено федеральным законом, на
основании заключаемого с этим лицом договора.
10.2. Лицо, осуществляющее обработку персональных данных по поручению Оператора,
обязано соблюдать принципы и правила обработки персональных данных,
предусмотренные «О персональных данных» от 27.07.2006 № 152-ФЗ, соблюдать
конфиденциальность персональных данных, принимать необходимые меры,
направленные на обеспечение выполнения обязанностей, предусмотренных
федеральным законом.
10.3. В поручении оператора должны быть определены перечень персональных данных,
перечень действий (операций) с персональными данными, которые будут совершаться
лицом, осуществляющим обработку персональных данных, цели их обработки, должна
быть установлена обязанность такого лица соблюдать конфиденциальность персональных
данных, требования, предусмотренные Федеральным законом «О персональных данных»
от 27.07.2006 № 152-ФЗ, обязанность по запросу оператора персональных данных в
течение срока действия поручения Оператора, в том числе до обработки персональныхданных, предоставлять документы и иную информацию, подтверждающие принятие мер и
соблюдение в целях исполнения поручения Оператора указанных требований,
обязанность обеспечивать безопасность персональных данных при их обработке, а также
должны быть указаны требования к защите обрабатываемых персональных данных.
10.4. Лицо, осуществляющее обработку персональных данных по поручению Оператора,
не обязано получать согласие субъекта персональных данных на обработку его
персональных данных.
10.5. В случае, если Оператор поручает обработку персональных данных другому лицу,
ответственность перед субъектом персональных данных за действия указанного лица
несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению
Оператора, несет ответственность перед Оператором.

XI. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

11.1. Работники Оператора, виновные в нарушении норм, регулирующих получение,
обработку и защиту персональных данных, несут дисциплинарную административную,
гражданско-правовую или уголовную ответственность в соответствии с федеральными
законами

XII. Сведения об Операторе Общество с ограниченной ответственностью
«Медицинские информационные решения» (ООО «МИР»)
ОГРН 1137746382828, ИНН 7717752014
Место нахождения: Российская Федерация, 129626, г. Москва, вн.тер.г. муниципальный
округ Алексеевский, проспект Мира, д. 102, стр. 25
Для письменных обращений: Российская Федерация, 129626, г. Москва, проспект Мира, д.
102, стр. 25, пом. 500
Для обращений в электронной форме: info@medsolutions.ru