Политика в отношении обработки персональных данных.

1. Общие положения.

1.1. Настоящая Политика определяет принципы, порядок и условия обработки персональных данных для защиты прав и свобод человека и гражданина, обеспечения безопасности и соблюдения конфиденциальности при обработке персональных данных, а также устанавливает ответственность лиц, имеющих доступ к персональным данным, за невыполнение требований по защите персональных данных.
Настоящая Политика вступает в действие с момента ее утверждения и действует бессрочно до принятия ее в новой редакции.
Настоящая Политика служит основой для разработки локальных нормативных актов, регламентирующих обработку персональных данных в ООО «Северное сияние».
1.2. Термины и определения:
 -  персональные данные (далее ПД) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 30.12.2020 №519-ФЗ; 
 -  оператор персональных данных (далее Оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
 -  обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
 -  автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
 -  распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
 -  предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
 -  блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
 -  уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
 -  обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
 -  информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
 -  трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2. Правовые основания обработки персональных данных.

Обработка персональных данных осуществляется на основании:
 -  Конституции Российской Федерации;
 - Трудового кодекса Российской Федерации;
 - Гражданского кодекса Российской Федерации;
 - Федерального Закона от 27.04.2006г. №152-ФЗ «О персональных данных»;
 - Федеральным Законом от 27.07.2006г. №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
 - Федерального Закона от 06.04.2011г. №63-ФЗ «Об электронной подписи»;
 - Федерального Закона от 08.08.2001г. №129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей»;
 - Федерального Закона от 01.04.1996г. №27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
 - Федерального Закона от 08.08.1998г. №14-ФЗ «Об обществах с ограниченной ответственностью»;
 - Федерального Закона от 21.11.2011г. №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
 - Закона Российской Федерации от 07.02.1992г. №2300-1 «О защите прав потребителя»;
 - Уставных документов компании и иных локальных нормативных актов и документов.

3.    Цели обработки персональных данных.

3.1. Соблюдение трудового законодательства РФ и иных нормативно-правовых актов при осуществлении трудовых отношений с работниками, бывшими работниками и кандидатами на вакантные должности; содействие работникам в трудоустройстве, обучении и продвижении по службе; оформление ОМС и иных видов страхования; выплата и перечисление заработной платы и дивидендов; исчисление и уплата предусмотренных законодательством РФ налогов, сборов и взносов, выплаты по исполнительным документам; ведение кадрового и бухгалтерского учета, формирование отчетности в отношении физических лиц, предоставление справок, уведомлений и других сведений в случаях предусмотренных законодательством РФ.
3.2. Реализация прав граждан на обращение в медицинские организации; обеспечение исполнения договорных обязательств при оказании платных медицинских услуг; ведение и хранение медицинской документации.
3.3. Заключение договоров гражданско-правового характера на выполнение работ, оказание услуг.

4. Субъекты и категории персональных данных.

4.1. Субъекты персональных данных:   
- работник (бывший работник, кандидат на вакантную должность);                         -  пациент, представитель пациента;                                                            
- контрагент-физическое лицо, представитель контрагента.
4.2. Категории персональных данных.
4.2.1. Персональные данные работника (бывшего работника, кандидата на вакантную     должность):
- фамилия, имя, отчество (прежние фамилия, имя, отчество (в случае изменения), дата, причина изменения);
- пол;
- дата и место рождения;
- гражданство;                                                                                                               - сведения об образовании (наименование образовательной организации, год окончания, уровень профессионального образования, реквизиты документов об образовании, направление подготовки, специальность и квалификация по документу об образовании, ученая степень, ученое звание (дата присвоения, реквизиты диплома, аттестата);
 - сведения о дополнительном профессиональном образовании (профессиональной переподготовке, повышении квалификации), наименование образовательной и/или научной организации, год окончания, реквизиты документа о переподготовке (повышении квалификации), квалификация и специальность по документу о переподготовке (повышении квалификации), наименование программы обучения, количество часов обучения;
- сведения о семейном положении, о составе семьи;
- адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
- реквизиты свидетельств государственной регистрации актов гражданского состояния и содержащиеся в них сведения;
- вид, серия, номер документа, удостоверяющего личность гражданина Российской Федерации, наименование органа и код подразделения органа (при наличии), выдавшего его, дата выдачи;
- идентификационный номер налогоплательщика;
- документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;
- номер телефона;
- отношение к воинской обязанности, сведения о воинском учете, реквизиты документа воинского учета, а также сведения, содержащиеся в документах воинского учета (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на воинскую службу);
- сведения, внесенные в трудовую книжку, в том числе о трудовом стаже, предыдущих местах работы;
- сведения о заработной плате работника;
- банковский счет/ номер банковской карты;
- результаты обязательных предварительных (при поступлении на работу) и периодических медицинских осмотров (обследований), а также обязательного психиатрического освидетельствования;
- сведения об инвалидности, сроке действия установленной;
- информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности в ООО «Северное сияние».
4.2.2. Персональные данные пациента:
- фамилия, имя, отчество;
- дата рождения;
- адрес и место жительства;
- вид, серия, номер документа, удостоверяющего личность, наименование органа и код подразделения органа (при наличии), выдавшего его, дата выдачи;
- номер телефона;
- пол;
- сведения о состоянии здоровья;
- другая информация о пациенте, полученная при обследовании и оказании медицинской помощи.
4.2.3. Персональные данные контрагента-физического лица, представителя контрагента:
- фамилия, имя, отчество;
- вид, серия, номер документа, удостоверяющего личность, наименование органа и код подразделения органа (при наличии), выдавшего его, дата выдачи;
- ИНН;
- ОГРНИП;
- банковские реквизиты;
- адрес места осуществления деятельности;
- номер телефона;
- адрес электронной почты.

5. Условия и порядок обработки персональных данных.               

5.1. Обработка ПД должна ограничиваться достижением конкретных, заранее определенных и законных целей для осуществления и выполнения возложенных законодательством РФ на Оператора функций, полномочий и обязанностей; необходима для заключения и исполнения договора стороной которого является субъект ПД. 
5.2. Обработка ПД осуществляется с письменного согласия субъекта ПД кроме случаев, когда обработка ПД необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД или других лиц и получение согласия субъекта ПД невозможно.
5.3. Оператор обеспечивает соответствие содержания и объема обрабатываемых ПД заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности.
5.4. Обработка специальных категорий ПД, касающихся расовой, национальной принадлежности, политических взглядов, религиозных либо философских убеждений, интимной жизни, оператором не осуществляется.
5.5. Перечень действий с ПД: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, уничтожение.
5.6. Способы обработки ПД: неавтоматизированная, автоматизированная, смешенная.
5.7. Защита ПД: комплекс мер (организационно-распорядительных, технических, юридических), необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных нормативно-правовыми актами.
Меры принятые для защиты ПД:
- назначение Оператором ответственного за организацию обработки ПД;
- издание локальных актов по вопросам обработки ПД, выявления и предотвращения нарушений законодательства Российской Федерации, устранения их последствий;
- осуществление внутреннего контроля соответствия обработки ПД нормативно-правовым актам, требованиям к защите ПД, данной Политике, локальным актам;
- ознакомление работников Оператора, непосредственно осуществляющих обработку ПД, с положениями законодательства Российской Федерации о ПД, документами, определяющими политику Оператора в отношении обработки ПД, локальными актами по вопросам обработки ПД;
- использование средств защиты от несанкционированного доступа к электронным базам данных в том числе: установка паролей доступа на ПЭВМ, разграничение прав доступа к информации, криптографическая защита, использование программ, не допускающих несанкционированный вход в локальную сеть, использование лицензированных антивирусных программ;
- ограничение доступа к местам хранения информации;
- определение перечня лиц осуществляющих обработку ПД и имеющих доступ к ним, определение порядка хранения материальных носителей ПД.  
5.8. Сроки обработки ПД определяются в соответствии с Приказом Минкультуры РФ от 25.08.2010г. №558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», сроком исковой давности, а также иными требованиями законодательства Российской Федерации.                        
5.9. Условием прекращения обработки ПД может являться достижение целей обработки ПД, истечение срока действия согласия или отзыв согласия субъекта ПД на обработку его ПД, а также выявление неправомерной обработки ПД.

6.  Актуализация, исправление и уничтожение персональных данных, ответы на запросы субъектов персональных данных.

6.1. В случае обнаружения факта неточности ПД или неправомерности их обработки ПД подлежат их актуализации Оператором или их обработка должна быть прекращена. Факт неточности ПД или неправомерности их обработки может быть установлен субъектом ПД либо органами государственной власти Российской Федерации.                                 
6.2. По письменному запросу субъекта ПД или его представителя оператор обязан сообщить информацию об осуществляемой им обработке ПД указанного субъекта. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПД и его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПД в отношениях с Оператором (номер договора, дата его заключения, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПД Оператором, подпись субъекта ПД или его представителя. Запрос может быть отправлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ. Если в запросе субъекта ПД не отражены все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
6.3. Субъект ПД вправе требовать от Оператора уточнения его ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.4. Не допускается раскрытие третьим лицам и распространение ПД без согласия субъекта ПД, кроме случаев предусмотренных федеральным законом.

7. Заключительные положения.

7.1. Настоящая политика предназначена для размещения в информационных ресурсах общего пользования.
7.2. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите ПД.
7.3. Контроль за выполнением требований настоящей Политики осуществляется ответственным за организацию обработки ПД.
7.4. Ответственность должностных лиц, имеющих доступ к ПД, за невыполнение требований норм, регулирующих обработку и защиту ПД, определяется в соответствии с законодательством Российской Федерации и локальными документами.