Политика защиты и обработки персональных данных

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. В целях соблюдения законодательства Российской Федерации, регулирующего отношения, связанные с обработкой и обеспечением безопасности персональных данных, а также поддержания деловой репутации Общества с ограниченной ответственностью «Санкт-Петербургский институт восточных методов реабилитации» (далее – «СПб ИВМР», «Институт») считает своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных, а также обеспечение безопасности процессов их обработки.

1.2. Настоящая Политика в отношении обработки и защиты персональных данных в СПб ИВМР (далее – Политика):

1.2.1. Раскрывает основные категории персональных данных, обрабатываемых СПб ИВМР, цели, способы и принципы обработки персональных данных, права и обязанности СПб ИВМР при обработке персональных данных, права субъектов персональных данных.

1.2.2. Является общедоступным документом, декларирующим концептуальные основы деятельности СПб ИВМР при обработке персональных данных.

 

2. ОСНОВНЫЕ ПОНЯТИЯ, ИСПОЛЬЗУЕМЫЕ В ПОЛИТИКЕ

2.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

2.2. Оператор персональных данных (Оператор) - СПб ИВМР.

2.3. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая:

2.3.1. сбор (получение персональных данных),

2.3.2. запись (внесение персональных данных в автоматизированные системы и материальные носители),

2.3.3. систематизацию (расположение персональных данных в информационных системах и материальных носителях в соответствии с заранее заданной закономерностью),

2.3.4. накопление (получение новых персональных данных в информационных системах и на материальных носителях),

2.3.5. хранение (обеспечение сохранности персональных данных в информационных системах и на материальных носителях),

2.3.6. уточнение (обновление, изменение),

2.3.7. извлечение,

2.3.8. использование,

2.3.9. передачу (распространение - действия, направленные на раскрытие персональных данных неопределенному кругу лиц, предоставление - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц, доступ – право использования в процесс выполнения рудовой функции), обезличивание (действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных),

2.3.11. блокирование (временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных),

2.3.12. удаление,

2.3.13. уничтожение (действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных).

 

3. ОСНОВНЫЕ ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных в СПб ИВМР;

3.2. Субъект персональных данных вправе требовать от СПб ИВМР, который их обрабатывает, уточнения этих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

3.3. Право Субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами;

3.4. Для реализации своих прав и защиты законных интересов Субъект персональных данных имеет право обратиться к СПб ИВМР. Тот рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке;

3.5. Субъект персональных данных вправе обжаловать действия или бездействие СПб ИВМР путем обращения в уполномоченный орган по защите прав субъектов персональных данных (территориальный орган Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций);

3.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

 

4. ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА

4.1. Оператор имеет право:

4.1.1. Самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом.

4.1.2. Поручать обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключенного с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом.

4.1.3. Использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством Российской Федерации.

4.1.4. Отстаивать свои интересы в суде.

4.1.5. Отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством Российской Федерации.

4.2. Оператор обязан:

4.2.1. Принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом и принятыми в соответствии с ним нормативными правовыми актами.

 

5. ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Обработка Оператором персональных данных выполняется в целях соблюдения действующего законодательства при осуществлении Оператором функций работодателя и определенной Уставом деятельности.

5.2. В соответствии с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» Оператор самостоятельно определяет цели обработки персональных данных.

5.3 Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей.

5.4. Оператор не осуществляет обработку персональных данных, несовместимую с определенными целями сбора персональных данных.

5.5. Цели обработки персональных данных приведены в Приложении 1 к настоящей Политике.

 

6. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Правовыми основаниями обработки персональных данных, на основании которых допускается обработка персональных данных, с учетом определенных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» условий, являются:

- согласие субъекта персональных данных на обработку его персональных данных, надлежащим образом оформленное с учетом требований законодательства для соответствующей категории персональных данных;

- положения нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, включая, но не ограничиваясь: Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ; Налоговый кодекс Российской Федерации от 31.07.1998 № 146-ФЗ; Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»; Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»; ФЗ от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»; Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»; Федеральный закон от 17.12.2001 № 173-ФЗ «О трудовых пенсиях в Российской Федерации»; Федеральный закон от 24.11.1995 № 181-ФЗ «О социальной защите инвалидов в Российской Федерации»; Федеральный закон от 24.07.1998 № 125- ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»; Федеральный закон от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования»;

- судебные акты, акты другого органа или должностного лица, подлежащие исполнению Обществом в соответствии с положениями законодательства Российской Федерации об исполнительном производстве;

- договор, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, если обработка персональных данных необходима для заключения указанного договора или исполнения обязательств по договору;

- обеспечение и/или осуществление защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

- права и законные интересы Оператора, третьих лиц, иных лиц либо достижение общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

- обработка персональных данных в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных.

 

7. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным Оператором целям обработки персональных данных, определенным в соответствии с Разделом 5 настоящей Политики.

7.2. В соответствии с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» Оператор самостоятельно определяет для каждой определенной цели соответствующие категории и перечень обрабатываемых персональных данных, а также категории субъектов персональных данных.

7.3. Категории субъектов персональных данных, перечень обрабатываемых категорий персональных данных в соответствии с заявленными целями обработки персональных данных приведены в Приложении 1 к настоящей Политике.

 

8. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. В зависимости от целей обработки персональных данных такая обработка может включать в себя, в частности, совершение всех или некоторых из следующих действий (операций) с использованием средств автоматизации или без использования таких средств с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

8.2. Оператор, получая доступ к персональным данным, обязан не раскрывать и не распространять третьим лицам персональные данные без согласия субъекта персональных данных, за исключением случаев, предусмотренных действующим законодательством Российской Федерации.

8.3. Специальные категории персональных данных и биометрические персональные данные обрабатываются в соответствии со ст. 10 и ст. 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», а также подзаконных актов.

8.4. Обрабатываемые персональных данных не должны быть избыточными по отношению к заявленным целям их обработки.

 

9. ПЕРЕДАЧА И ПОРУЧЕНИЕ ОБРАБОТКИ ДАННЫХ

9.1. Оператор в ходе своей деятельности может предоставлять персональные данные субъектов третьим лицам в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». При этом обязательным условием предоставления персональных данных третьему лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению безопасности персональных данных при их обработке.

9.2. В случае, если Оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. При этом Оператор устанавливается обязанность лиц, которым поручает обработку персональных данных, по запросу в течение срока действия поручения на обработку персональных данных, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие этими лицами мер и соблюдение в целях исполнения поручения Оператора, установленных требований по обеспечению конфиденциальности и безопасности персональных данных. Договоры, заключаемые Оператором, включают в себя условия, касающиеся соблюдения конфиденциальности и обеспечения безопасности передаваемых персональных данных, а также иные условия, предусмотренные законодательством Российской Федерации в области обработки персональных данных.

9.3. Оператор обязан передавать персональные данные уполномоченным органам власти Российской Федерации в случаях, предусмотренных действующим законодательством Российской Федерации.

 

10. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. При обработке персональных данных Оператор предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от других неправомерных действий в отношении персональных данных, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и подзаконными актами в области защиты персональных данных. Оператор соблюдает обязанности, установленные статьями №№ 18-19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». У Оператора определены и реализуются следующие требования законодательства в области защиты персональных данных:

- требования о соблюдении конфиденциальности персональных данных;

- требования к защите от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

- требования об обязанности Оператора при сборе персональных данных, установленных ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» Оператор определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством в области персональных данных, в частности:

- у Оператора назначены ответственные за обработку и защиту персональных данных;

- проводятся мероприятия в целях обнаружения фактов несанкционированного доступа к персональным данным и принятия соответствующих мер реагирования в соответствии с действующим законодательством Российской Федерации;

- проводится ознакомление работников, допущенных к обработке персональных данных субъектов персональных данных, с требованиями, установленными действующим законодательством Российской Федерации в области персональных данных, настоящей Политикой, а также локальными нормативными актами Оператора;

- организована надлежащая обработка персональных данных, осуществляемая с использованием средств автоматизации.

- организован надлежащий порядок работы с персональными данными, осуществляемый без использования средств автоматизации (в том числе, организация надлежащего хранения документов, содержащих персональные данные, установление порядка уничтожения либо обезличивания персональных данных, обрабатываемых без использования средств автоматизации);

- доступ работников к информации, содержащей персональные данные субъектов персональных данных, организован в соответствии с их должностными (функциональными) обязанностями;

- осуществляется внутренний контроль и (или) аудит соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике, локальным актам Оператора;

- осуществляется проверка провайдера на соответствие требованиям безопасности. В том числе анализ договора с облачным провайдером на предмет защиты данных;

- осуществляется контроль за соблюдением провайдером обязательств по защите данных и регулярная проверка условий хранения данных в облаке.

 

11. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.

При осуществлении хранения персональных данных Оператор использует базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Обработка персональных данных, осуществляемая без использования средств автоматизации, проводится таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей персональных данных) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

Оператор обеспечивает раздельное хранение персональных данных (материальных носителей персональных данных), используемых для различных целей обработки, осуществляемой без использования средств автоматизации.

При хранении материальных носителей персональных данных соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются Оператором.

 

12. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

В случае подтверждения факта неточности персональных данных они подлежат их актуализации Оператором.

Обработка персональных данных прекращается в случае выявления и подтверждения факта неправомерности их обработки.

Персональные данные подлежат уничтожению в случаях достижения целей обработки персональных данных, а также надлежащим образом оформленного отзыва субъектом персональных данных согласия на их обработку.

При этом в случае получения Оператором отзыва субъектом персональных данных согласия на их обработку Оператор вправе продолжить такую обработку если она предусмотрена договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных или обработка персональных данных требуется для исполнения требований действующего законодательства Российской Федерации.

Уничтожение персональных данных производится с соблюдением Требований к подтверждению уничтожения персональных данных, которые утверждены Приказом Роскомнадзора от 28.10.2022 № 179.

 

13. ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

Оператор осуществляет прием и обработку обращений субъектов персональных данных, а также контроль обеспечения такого приема и обработки в целях соблюдения прав и законных интересов субъекта персональных данных.

При рассмотрении обращений либо при получении запросов субъектов персональных данных Оператор руководствуется положениями Федерального закона от 27.07.2006 № 152- ФЗ «О персональных данных».

Оператор, получив обращение либо запрос субъекта персональных данных, содержащие информацию, предусмотренную Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», убедившись в законности такого обращения либо запроса, предоставляет субъекту персональных данных и/или его представителю, обладающему полномочиями на предоставление интересов субъекта персональных данных, сведения, указанные в запросе, в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе, или принимает иные меры в зависимости от специфики (особенностей) обращения либо запроса.

При этом, предоставляемые Оператором сведения не могут содержать персональные данные других субъектов персональных данных, исключение составляют случаи, при которых имеются законные основания для раскрытия персональных данных других субъектов персональных данных.

Оператор вправе отказать субъекту персональных данных в удовлетворении требований, указанных в обращении либо запросе, посредством предоставления мотивированного отказа субъекту персональных данных или его представителю, в случае наличия у Оператора законных оснований.

Процесс обработки запросов субъектов персональных данных или их представителей, запросов уполномоченных органов осуществляется в соответствии с внутренними нормативными документами Оператора.

 

14. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

Подлинник Политики во время срока действия хранится у Оператора.

Настоящая Политика подлежит изменению, дополнению в случае изменения законодательства Российской Федерации.

Контроль за исполнением требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных у Оператора.

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, установленных действующим законодательством Российской Федерации и настоящей Политикой, несут ответственность, предусмотренную законодательством Российской Федерации.

 

Цели обработки и перечень обрабатываемых персональных данных