Положение об обработке и защите персональных данных в обществе с ограниченной ответственностью «Система Телемед»

1. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Информационная система персональных данных (далее также – «ИСПДн») – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Неавтоматизированная обработка персональных данных – обработка персональных данных в случае, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Оператор (далее — «Общество») –обществом с ограниченной ответственностью «Система Телемед» самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Персональные данные (далее также – «ПДн») – любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных);

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу/кругу лиц;

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Сервис «Hello, Doc!» – программно-аппаратный комплекс в форме приложений для мобильных устройств «Hello, Doc! для пациента», «Hello, Doc! для работы», а также веб-сайты в сети Интернет: https://hellodoc.app, https://hello-doc.ru, исключительные права на которые принадлежат Обществу.

2. ОБЩИЕ ПОЛОЖЕНИЯ

2.1. Настоящий документ устанавливает порядок организации и проведения работ по обеспечению безопасности персональных данных, обрабатываемых обществом с ограниченной ответственностью «Система Телемед» (Оператор ПДн) , а также цели, сроки хранения, порядок уточнения и уничтожения при их обработке в информационных системах Общества.

2.2. Положение разработано с целью обеспечения защиты прав и свобод граждан при обработке их персональных данных Обществом, а также с целью установления ответственности работников Общества, имеющих доступ к персональным данным, за невыполнение требований по обработке и защите персональных данных.

2.3. Действие настоящего Положения распространяется на все процессы по обработке ПДн, осуществляемых с использованием средств автоматизации и без их использования.

2.4. Настоящее Положение вступает в силу с момента его утверждения Генеральным директором Общества и действует бессрочно, до замены его новым Положением.

2.5. Все изменения в Положение вносятся приказом Генерального директора Общества.

2.6. Все работники Общества должны быть ознакомлены с настоящим Положением под роспись.

3. ОСНОВНЫЕ УСЛОВИЯ ОБРАБОТКИ ПДН

3.1. Автоматизированная, равно как и неавтоматизированная обработка ПДн должна осуществляться на основании принципов, определенных законодательством Российской Федерации, а именно:

• законности целей и способов обработки ПДн;
• соответствия целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн;
• соответствия объема и характера обрабатываемых ПДн, способов обработки ПДн целям обработки ПДн;
• достоверности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн;
• недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем ПДн;
• уничтожения ПДн после достижения целей обработки или в случае утраты необходимости в их достижении;
• личной ответственности работников Общества ПДн за сохранность и конфиденциальность ПДн, а также носителей этой информации;
• наличия четкой разрешительной системы доступа работников к документам и базам данных, содержащим персональные данные.

3.2. Общество не имеет права получать и обрабатывать персональные данные субъектов, содержащие сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, кроме как с согласия субъекта ПДн, кроме случаев, когда обработка таких ПДн возложена на Общество законодательством Российской Федерации.

3.4. Общество обрабатывает ПДн Пользователей сервиса «Hello, Doc!» о состоянии здоровья, только с их письменного согласия.

3.5. Общество распространяет ПДн Врачей, только с их письменного согласия на распространение ПДн.

3.6. Процедура оформления доступа к ПДн включает в себя:

• ознакомление работников Общества под подпись с настоящим Положением, а также иными документами, регулирующими обработку и защиту ПДн в Обществе.
• истребование с работников Общества письменного обязательства о соблюдении конфиденциальности ПДн и соблюдении правил их обработки.

3.7. Доступ к персональным данным имеют должностные лица, непосредственно использующие их в служебных целях, в пределах своей компетенции. В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией генерального директора Общества, доступ к персональным данным может быть предоставлен иному работнику, должность которого не включена в Перечень должностей работников, имеющих доступ ПДн.

3.6. Передача (обмен и т.д.) ПДн осуществляется только между работниками, имеющими доступ к ПДн, а также на основании согласия субъекта ПДн в организации-контрагенты, с которыми заключено соглашение о сотрудничестве.

3.7. Передача ПДн государственным органам производится в соответствии с требованиями действующего законодательства и настоящим Положением.

3.8. При увольнении работника, имеющего доступ к ПДн, документы и иные носители, содержащие персональные данные, передаются другому работнику, имеющему доступ к персональным данным по указанию руководителя структурного подразделения.

3.9. Персональные данные субъекта могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъекта ПДн, за исключением случаев, когда передача ПДн без согласия субъекта допускается действующим законодательством Российской Федерации.

3.10. Ответственность за соблюдение вышеуказанного порядка предоставления ПДн несет работник, а также руководитель структурного подразделения, осуществляющего передачу ПДн третьим лицам.

3.11. Приказом генерального директора Общества назначается работник, ответственный за организацию обработки и защиту ПДн, обрабатываемых в Обществе, и утверждается перечень должностей, доступ которых к обработке ПДн необходим для выполнения ими должностных обязанностей.

3.12. Лица, по вине которых было допущено нарушение норм, регулирующих обработку ПДн, могут быть привлечены к дисциплинарной и материальной, а также к гражданско-правовой, административной и уголовной ответственности.

3.13. Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.

3.14. Случаи уничтожения, блокирования и уточнения ПДн:

• Уничтожение или обезличивание части ПДн, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
• Уточнение ПДн при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя — путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными ПДн.

3.14. Уничтожение носителей, содержащих ПДн, осуществляется в следующем порядке:

• ПДн на бумажных носителях уничтожаются путем использования шредеры (уничтожители документов), установленного в офисе Общества.
• ПДн, размещенные в памяти ПЭВМ уничтожаются путем удаления её из памяти ПЭВМ.
• ПДн, размещенные на флеш-карте, CD-диске, ином электронном носителе информации уничтожаются путем удаления файла с носителя, при необходимости путем нарушения работоспособности флеш-карты или CD-диска.

3.15. Об уничтожении электронного носителя информации составляется Акт.

4. КАТЕГОРИИ СУБЪЕКТОВ ПДН, ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ

4.1. Пользователи сервиса «Hello, Doc!» (физические лица):

4.1.1. Способ обработки ПДн: автоматизированный и неавтоматизированный.

4.1.2. Источник получения ПДн: субъект ПДн или медицинская организация, оказывающая субъекту ПДн медицинские услуги.

4.1.3. Основание для обработки ПДн: согласие субъекта ПДн.

4.1.4. Цель обработки ПДн: предоставление доступа к сервису «Hello, Doc!», в том числе для получения субъектом ПДн медицинских услуг на основании договора с медицинской организацией, а также для возможности осуществлять коммуникацию с другими пользователями сервиса.

4.1.5. Содержание обрабатываемых ПДн:

• фамилия, имя, отчество;
• пол;
• возраст;
• адрес электронной почты;
• номер телефона;
• данные о состоянии здоровья;
• образование, научная степень и врачебная специальность, стаж работы врача;
• реквизиты документа, удостоверяющего личность;
• адрес места жительства;
• сведения о платежных (банковских) реквизитах;
• номер полиса ОМС;
• СНИЛС;
• Изображения (картинки)
• Вложенные файлы, в том числе видео и аудио записи;
• Данные о типе устройства (Smartphone/Tablet/Wear), имя устройства, GAID, OpenUDID, версия ОС, модель устройства, часовой пояс, Device ID For Vendor, название Wi-Fi сети, MAC точки доступа Wi-Fi, наименование оператора сотовой связи, код сети оператора (MNC), User ID, имя ОС, версия приложения, год выпуска мобильного устройства Пользователя, тип интернет соединения, Apps Flyer UID

4.1.6. Срок обработки ПДн: до истечения установленного действующим законодательством срока хранения медицинской документации (сопутствующих материалов) или до отзыва согласия на обработку персональных данных.

4.2. Работники общества:

4.2.1. Способ обработки ПДн: неавтоматизированный.

4.2.2. Источник получения ПДн: субъект ПДн.

4.2.3. Основание для обработки ПДн: ч.ч.5,7 п.1 ст.6 ФЗ №152-ФЗ «О персональных данных» (исполнение трудового договора, реализация прав и исполнение обязанностей работодателя).

4.2.4. Цель обработки ПДн: исполнение трудовых договоров с субъектами ПДн.

4.2.5. Содержание обрабатываемых ПДн:

• фамилия, имя, отчество;
• дата рождения;
• место рождения;
• гражданство;
• сведения об образовании;
• специальность, профессия;
• стаж работы;
• семейное положение;
• состав семьи;
• паспортные данные;
• фактический адрес места жительства;
• адрес регистрации;
• номер телефона;
• сведения о воинском учете;
• сведения о заработной плате;
• сведения о судимости;
• сведения о состоянии здоровья;
• сведения о платежных (банковских) реквизитах;
• адрес электронной почты;
• СНИЛС;
• ИНН.

4.2.6. Срок обработки ПДн: до прекращения срока действия трудового договора, в части хранения кадровой документации – до истечения установленного действующим законодательством срока хранения кадровой документации.

4.3. Физические лица – контрагенты по гражданско-правовым договорам.

4.3.1. Способ обработки ПДн: неавтоматизированный.

4.3.2. Источник получения ПДн: субъект ПДн.

4.3.3. Основание для обработки ПДн: ч.ч.5,7 п.1 ст.6 ФЗ №152-ФЗ «О персональных данных» (исполнение гражданско-правовых договоров, реализация прав и законных интересов Общества).

4.3.4. Цель обработки ПДн: Исполнение гражданско-правовых договоров, реализация прав и законных интересов Общества.

4.3.5. Содержание обрабатываемых ПДн:

• фамилия, имя, отчество;
• дата рождения;
• место рождения;
• гражданство;
• паспортные данные;
• фактический адрес места жительства;
• адрес регистрации;
• номер телефона;
• сведения о вознаграждении согласно условиям гражданско-правового договора;
• сведения о платежных (банковских) реквизитах;
• адрес электронной почты;
• СНИЛС;
• ИНН.

4.3.6. Срок обработки ПДн: до прекращения срока действия гражданско-правового договора, в части хранения договора и первичной документации для целей исполнения законодательства о налогообложении и бухгалтерском учете – до истечения, установленного действующим законодательством срока хранения договора и первичной документации.

4.4. Физические лица – представители контрагентов или Пользователей сервиса «Hello, Doc!».

4.4.1. Способ обработки ПДн: неавтоматизированный.

4.4.2. Источник получения ПДн: субъект ПДн или работодатель (доверитель) субъекта ПДн.

4.4.3. Основание для обработки ПДн: ч.7 п.1 ст.6 ФЗ №152-ФЗ «О персональных данных» (реализация прав и законных интересов Общества).

4.4.4. Цель обработки ПДн: Исполнение гражданско-правовых договоров, реализация прав и законных интересов Общества.

4.4.5. Содержание обрабатываемых ПДн:

• фамилия, имя, отчество;
• реквизиты документа, удостоверяющего личность;
• иные сведения, указанные в доверенности.

4.4.6. Срок обработки ПДн: до прекращения срока действия гражданско-правового договора, в части хранения договора и первичной документации для целей исполнения законодательства о налогообложении и бухгалтерском учете – до истечения установленного действующим законодательством срока хранения договора и первичной документации.

4.5. Физические лица – участники Общества.

4.5.1. Способ обработки ПДн: неавтоматизированный.

4.5.2. Источник получения ПДн: субъект ПДн.

4.5.3. Основание для обработки ПДн: ч.ч.2,7 п.1 ст.6 ФЗ №152-ФЗ «О персональных данных» (исполнение обязанностей, возложенных на Общество законодательством Российской Федерации).

4.5.4. Цель обработки ПДн: исполнение обязанностей, возложенных на Общество законодательством Российской Федерации, реализация прав и законных интересов Общества.

4.5.5. Содержание обрабатываемых ПДн:

• фамилия, имя, отчество;
• реквизиты документа, удостоверяющего личность;
• адрес регистрации;
• контактные данные;
• платежные реквизиты;
• иные сведения, предусмотренные требованиями законодательства Российской Федерации.

4.5.6. Срок обработки ПДн: до момента ликвидации Общества.

4.6. Физические лица – соискатели на замещение вакантных должностей, открытых в Обществе.

4.6.1. Способ обработки ПДн: неавтоматизированный.

4.6.2. Источник получения ПДн: субъект ПДн.

4.6.3. Основание для обработки ПДн: ч.1 п.1 ст.6 ФЗ № 152-ФЗ «О персональных данных» (согласие Субъекта ПДн).

4.6.4. Цель обработки ПДн: заключение трудового договора.

4.6.5. Содержание обрабатываемых ПДн:

1. фамилия, имя, отчество;
2. сведения об образовании;
3. сведения о предыдущей трудовой деятельности;
4. сведения о регистрации в системе индивидуального (персонифицированного) учета;
5. номер контактного телефона;
6. сведения о судимости;
7. адрес электронной почты.

4.6.6. Срок обработки ПДн: до момента заключения трудового договора.

5. ОРГАНИЗАЦИЯ ЗАЩИТЫ ПДН

5.1. Защита ПДн представляет собой совокупность организационных и технических мер, предупреждающих нарушение установленного режима доступности, целостности, достоверности и конфиденциальности ПДн и обеспечивающая безопасность информации в процессе обработки ПДн Обществом.5.2. Объектами защиты являются:

• документы, содержащие персональные данные;
• персональные данные, а также технические средства (в том числе средства вычислительной техники, машинные носители информации, средства и системы связи и передачи данных, технические средства обработки буквенно-цифровой, графической, видео- и речевой информации), общесистемное, прикладное, специальное программное обеспечение, информационные технологии, а также средства защиты информации в составе информационных систем ПДн, в которых осуществляется обработка ПДн.

5.3. Работники, имеющие доступ к персональным данным в связи с исполнением трудовых обязанностей:

• под роспись ознакомлены с требованиями настоящего Положения, а также подписали «Соглашение об обеспечении конфиденциальности персональных данных сотрудниками Оператора»;
• прошли процесс обучения использования средств защиты ПДн, эксплуатируемых Обществом;
• обеспечивают хранение информации, содержащей персональные данные, исключающее доступ к ним третьих лиц;
• при выходе в отпуск, служебной командировке и иных случаях длительного отсутствия работника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные, лицу, на которое приказом генерального директора Общества будет возложено исполнение его трудовых обязанностей;
• обеспечивают защиту сведений, хранящихся в электронных базах данных от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, а том числе путем разграничения прав доступа обязаны незамедлительно сообщать соответствующему должностному лицу Общества об утрате или недостаче носителей информации, составляющей ПДн, а также о причинах и условиях возможной утечки ПДн. В случае попытки посторонних лиц получить от сотрудника ПДн, обрабатываемых Обществом незамедлительно известить об этом соответствующее должностное лицо Общества.

5.4. При обработке ПДн в информационной системе Общество обеспечивает:

• проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и/или передачи их лицам, не имеющим права доступа к такой информации;
• своевременное обнаружение фактов несанкционированного доступа к ПДн;
• недопущение воздействия на технические средства автоматизированной обработки ПДн, в результате которого может быть нарушено их функционирование;
• возможность незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• постоянный контроль над обеспечением уровня защищенности ПДн;
• при работе с программными средствами автоматизированной системы обработки ПДн Общества, реализующей функции просмотра и редактирования ПДн, запрещается демонстрация экранных форм, содержащих такие данные, лицам, не имеющим соответствующего допуска;
• При получении ПДн сотрудником Общества, который в соответствии с должностными обязанностями получает ПДн от клиента, сотрудника, иного лица в обязательном порядке проводится проверка достоверности ПДн. Ввод ПДн,, в информационную систему осуществляется сотрудниками имеющими доступ к соответствующим ПДн. Сотрудники, осуществляющие ввод информации, несут ответственность за достоверность и полноту введенной информации.
• В случае нарушения установленного настоящим Положением порядка обработки ПДн сотрудники Общества несут ответственность в соответствии с разделом 10 настоящего Положения.

5.5. Для разработки требований по обеспечению безопасности и внедрения системы обеспечения безопасности ПДн Обществом разработана «Модель угроз безопасности ПДн при их обработке в ИСПДн» на основе нормативно-методического документа ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных».

5.6. Обществом в соответствии с руководящим документом государственных органов - Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» осуществлена классификация ИСПДн Общества. Комиссией Общества составлен Акт классификации ИСПДн, обрабатываемых с использованием средств автоматизации:

Акт классификации ИСПДн	Дата классификации ИСПДн	Необходимый уровень защищенности
Информационный комплекс (система) ООО «СИСТЕМА ТЕЛЕМЕД, Платформа Яндекс.Облако ООО «Яндекс.Облако»	АКТ классификации информационной системы персональных данных № 1-ПДн от 09 июля 2020 года	Класс ИСПДн К3

5.7. Обществом на основании Акта проверки ИСПДн и в соответствии с нормативно-методическим документом ФСТЭК России «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» разработан и внедрен комплекс мер по защите и обеспечению безопасности ПДн «План мероприятий по обеспечению безопасности ПДн».

5.8. Обществом используется технические средства и программное оборудование для обработки и защиты ПДн. Также ведется журнал учета средств защиты ПДн и журнал учета и хранения съемных носителей информации.

5.9. Технические средства ИСПДн размещаются в офисе и помещениях Общества.

5.10. Обеспечение конфиденциальности ПДн, обрабатывающихся Обществом, является обязательным требованием для всех лиц, которым ПДн стали известны

5.11. ПДн субъектов на бумажных носителях, обрабатываемые Обществом, хранятся в отделах (у работников Общества), имеющих допуск к обработке соответствующих ПДн.

5.12. Документов и информационных носителей, содержащих ПДн хранятся в специальных отведенных помещениях и сейфах, которые запираются на ключ.

5.13. Особенности обработки ПДн, содержащихся на бумажных носителях, без использования средств автоматизации (при составлении документов не используется ЭВМ) установлены в соответствии с Постановлением Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

5.14. В целях защиты ПДн при неавтоматизированной обработке ПДн Общество соблюдает следующие условия:

• При неавтоматизированной обработке различных категорий ПДн используются отдельный материальный носитель для каждой категории ПДн.
• Не допускается фиксация на одном бумажном носителе ПДн, цели обработки которых заведомо не совместимы;
• ПДн обособляются от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);

5.15. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн (далее — типовые формы), должны соблюдаться следующие условия:

• Типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели неавтоматизированной обработки ПДн, имя (наименование) и адрес Общества, фамилию, имя, отчество и адрес субъекта ПДн, источник получения ПДн, сроки обработки ПДн, перечень действий с ПДн, которые будут совершаться в процессе их обработки, общее описание используемых Обществом способов обработки ПДн;
• Типовая форма должна предусматривать поле, в котором субъект ПДн может поставить отметку о своем согласии на неавтоматизированную обработку ПДн, — при необходимости получения письменного согласия на обработку ПДн;
• Типовая форма должна быть составлена таким образом, чтобы каждый из субъектов ПДн, содержащихся в документе, имел возможность ознакомиться со своими ПДн, содержащимися в документе, не нарушая прав и законных интересов иных субъектов ПДн;
• Типовая форма должна исключать объединение полей, предназначенных для внесения ПДн, цели обработки которых заведомо не совместимы.

5.16. Офис, помещения Общества, по окончании рабочего дня и отсутствия сотрудников в офисе помещениях, должны запираться, окна должны быть закрыты, должна быть включена сигнализация (при наличии).

5.15. Сетевое оборудование, серверы следует располагать в местах, недоступных для посторонних лиц (в специальных помещениях, шкафах, коробах).

5.16. Уборка помещений и обслуживание технических средств ИСПДн должна осуществляться под контролем ответственных за данные помещения и технические средства работников Общества с соблюдением мер, исключающих несанкционированный доступ к ПДн, носителям информации, программным и техническим средствам обработки, передачи и защиты информации ИСПДн.

5.17. Обществом для подержания функционирования технических средств ИСПДн из числа работников Общества назначаются администраторы ИСПДн. В обязанность администраторов ИСПДн входит:

• управление учетными записями пользователей ИСПДн;
• поддержание штатной работы ИСПДн;
• обеспечение резервного копирования данных;
• установка и конфигурирование аппаратного и программного обеспечения ИСПДн, не связанного с обеспечением безопасности ПДн в ИСПДн;
• обеспечение соответствия порядка обработки и обеспечения безопасности ПДн в ИСПДн требованиям по конфиденциальности, целостности и доступности ПДн, предъявляемых к конкретной ИСПДн, и общим требованиям по безопасности ПДн, установленных федеральным законодательством;
• установка, конфигурирование и администрирование аппаратных и программных средств защиты информации ИСПДн;
• учет и хранение машинных носителей ПДн;
• периодический аудит журналов безопаснос;
• анализ защищенности ИСПДн;
• участие в служебных расследованиях фактов нарушения установленного порядка обработки и обеспечения безопасности ПДн.

5.18. В целях обеспечения распределения полномочий, реализации взаимного контроля и недопущения сосредоточения, критичных для безопасности ПДн, полномочий у одного лица не допускается совмещение ролей пользователя ИСПДн и администратора ИСПДн в лице одного работника Общества.

5.19. Квалификационные требования и детальный перечень прав и обязанностей администраторов ИСПДн закрепляются в соответствующих должностных инструкциях, с которыми работники, назначаемые на данные роли, ознакомлены под роспись.

5.20. Организация внутреннего контроля процесса обработки ПДн работниками Общества осуществляется Генеральным директором Общества в целях изучения и оценки фактического состояния защищенности ПДн, своевременного реагирования на нарушения установленного порядка их обработки, а также в целях совершенствования этого порядка и обеспечения его соблюдения.

5.21. Мероприятия по осуществлению внутреннего контроля обработки и обеспечения безопасности ПДн направлены на решение следующих задач:

• Обеспечение соблюдения работниками Общества требований настоящего Положения и нормативно-правовых актов, регулирующих сферу ПДн.
• Оценка компетентности работников Общества, задействованного в обработке ПДн.
• Обеспечение работоспособности и эффективности технических средств ИСПДн и средств защиты ПДн, их соответствия требованиям уполномоченных органов исполнительной власти по вопросам безопасности ПДн.
• Выявление нарушений установленного порядка обработки ПДн и своевременное предотвращение негативных последствий таких нарушений.
• Принятие корректирующих мер, направленных на устранение выявленных нарушений, как в порядке обработки ПДн, так и в работе технических средств ИСПДн.
• Разработка рекомендаций по совершенствованию порядка обработки и обеспечения безопасности ПДн по результатам контрольных мероприятий
• Осуществление внутреннего контроля за исполнением рекомендаций и указаний по устранению нарушений.

6. ПОЛУЧЕНИЕ СОГЛАСИЯ НА ОБРАБОТКУ ПДН

6.1.Субъект ПДн принимает решение о предоставлении своих ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПДн должно быть конкретным, информированным и сознательным. Согласие на обработку ПДн (акцепт) может быть дано субъектом ПДн или его представителем посредством фактических (конклюдентных) действий в соответствии с п.3 ст.438 Гражданского кодекса РФ, а именно путем проставления отметок («галочек» или «сдвиг переключателя») об ознакомлении и согласии на обработку ПДн в сервисе «Hello, Doc!» акцептования в любой позволяющей подтвердить факт его получения форме, если иное не установлено законодательством РФ. В случае получения согласия на обработку ПДн от представителя субъекта ПДн полномочия данного представителя на дачу согласия от имени субъекта ПДн проверяются Обществом.

6.2. Получение письменного согласия на обработку ПДн осуществляется работником Общества, при получении ПДн от субъекта ПДн, путем оформления письменного согласия по форме, установленной Обществом.

7. ПРАВА СУБЪЕКТА В ОТНОШЕНИИ ПДН, ОБРАБАТЫВАЕМЫХ ОБЩЕСТВОМ

7.1. Субъект ПДн имеет право:

• на получение информации от Общества указанной в разделе 9_ настоящего Положения. Сведения должны быть предоставлены субъекту ПДн Обществом в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн. Перечень сведений и порядок получения сведений предусмотрен действующим законодательством РФ;
• требовать от Общества уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством РФ меры по защите своих прав;
• обжаловать действия или бездействие Общества в уполномоченный орган по защите прав субъектов ПДн (Роскомнадзор) или в судебном порядке.

8. ПРАВА И ОБЯЗАННОСТИ ОБЩЕСТВА

8.1. Общество вправе:

• Поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта.
• В случае отзыва субъектом ПДн согласия на обработку ПДн, продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в законодательстве РФ.
• Отказать субъекту ПДн в выполнении повторного запроса сведений, не соответствующего условиям, предусмотренным законодательством РФ. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Обществе.
• Самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей Общества, предусмотренных законодательством РФ.

8.2. Общество обязано:

• Общество до начала обработки ПДн обязан уведомить уполномоченный орган по защите прав субъектов ПДн о своем намерении осуществлять обработку ПДн, за исключением случаев, предусмотренных законодательством РФ.
• При получении доступа к ПДн не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.
• Представить доказательство получения согласия субъекта ПДн на обработку его ПДн или доказательство наличия законных оснований, обработки ПДн без согласия субъекта ПДн.
• Прекратить по требованию субъекта ПДн обработку его ПДн, в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи.
• Опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн.
• При осуществлении сбора ПДн с использованием информационно-телекоммуникационных сетей, опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки ПДн, и сведения о реализуемых требованиях к защите ПДн, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
• Представить документы и локальные акты, предусмотренные законодательством РФ, и/или иным образом подтвердить принятие мер, необходимых и достаточные для обеспечения выполнения обязанностей Общества, по запросу уполномоченного органа по защите прав субъектов ПДн.
• При обработке ПДн принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
• Сообщить в порядке, предусмотренном законодательством РФ, субъекту ПДн или его представителю информацию безвозмездно о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также предоставить возможность ознакомления с этими ПДн при обращении субъекта ПДн или его представителя либо в течение тридцати дней с даты получения запроса субъекта ПДн или его представителя.
• В случае отказа в предоставлении информации о наличии ПДн о соответствующем субъекте ПДн или ПДн субъекту ПДн или его представителю при их обращении либо при получении запроса субъекта ПДн или его представителя Общество обязанп дать в письменной форме мотивированный ответ, содержащий ссылку на положение законодательства РФ, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта ПДн или его представителя либо с даты получения запроса субъекта ПДн или его представителя.
• В срок, не превышающий семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, Общество обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Общество обязано уничтожить такие ПДн. Общество обязано уведомить субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы.
• Сообщить в уполномоченный орган по защите прав субъектов ПДн по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.
• В случае выявления неправомерной обработки ПДн, осуществляемой Обществом или лицом, действующим по поручению Общества, Общество в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению Общества. В случае если обеспечить правомерность обработки ПДн невозможно, Общество в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПДн, обязано уничтожить такие ПДн или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении ПДн Общество обязано уведомить субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган.
• В случае достижения целей обработки ПДн Общество обязано прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) и уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн, иным соглашением между Обществом и субъектом ПДн либо если Общество не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных законодательством РФ.
• В случае отзыва субъектом ПДн согласия на обработку его ПДн, прекратить их обработку или обеспечить прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Общества) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Обществом и субъектом ПДн либо если Общество не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных законодательством РФ.
• Назначить лицо, ответственное за организацию обработки ПДн.

9. ПОРЯДОК РЕАГИРОВАНИЯ НА ЗАПРОСЫ СУБЪЕКТОВ ПДН

9.1. При направлении субъектом ПДн запроса информации, касающейся обработки его ПДн (предусмотренных частью 7 Ст. 14 ФЗ № 152-ФЗ «О персональных данных»), а именно:

• о подтверждении факта обработки ПДн Обществом;
• о наличии правовых оснований и о целях обработки ПДн;
• о применяемых Обществом способах обработки ПДн;
• наименовании и месте нахождения Общества, сведений о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании федерального закона;
• о перечне обрабатываемых ПДн, источниках их получения;
• сроках обработки ПДн, в том числе сроках их хранения;
• информации об осуществленной или о предполагаемой трансграничной передаче данных;
• наименовании или фамилии, имени, отчества и адреса лица, осуществляющего обработку ПДн по поручению Общества, если обработка поручена или будет поручена такому лицу;
• иные сведения, предусмотренные Федеральным законом № 152-ФЗ «О персональных данных» или другими федеральными законами,

лицом, ответственным за обработку ПДн должен быть подготовлен ответ по существу запроса в адрес субъекта персональных данных. Каждое такое обращение должно регистрироваться в отдельном журнале учета обращений субъектов ПДн. Отметка об ответе на обращение регистрируется в журнале учета обращений субъектов в отдельной графе.

10. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НАСТОЯЩЕГО ПОЛОЖЕНИЯ

10.1. Общество несет ответственность за необеспечение конфиденциальности ПДн и несоблюдение прав и свобод субъектов ПДн в отношении их ПДн, в том числе прав на неприкосновенность частной жизни, личную и семейную тайну.

10.2. Работники Общества несут персональную ответственность за несоблюдение требований по обработке и обеспечению безопасности ПДн, установленных настоящим Положением, в соответствии с законодательством Российской Федерации.

10.3. Работник Общества может быть привлечен к ответственности в случаях:

• Умышленного или неосторожного раскрытия ПДн
• Утраты материальных носителей ПДн;

Нарушения требований настоящего Положения и других нормативных документов Общества в части вопросов доступа и работы с ПДн.10.4. В случаях нарушения установленного порядка обработки и обеспечения безопасности ПДн, несанкционированного доступа к ПДн, раскрытия ПДн и нанесения Обществу, его работникам, клиентам и контрагентам материального или иного ущерба виновные лица несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

11. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

11.1. Настоящее Положение вступает в силу с момента утверждения и вводится в действие приказом генерального директора Общества.

11.2. Требования настоящего Положения распространяются на всех работников Общества, имеющих доступ к персональным данным;

11.3. Общество вправе вносить изменения и дополнения в настоящее Положение. Работники должны быть поставлены в известность о вносимых изменениях и дополнениях посредством издания работодателем приказа и ознакомления с ним всех работников.