ПОЛИТИКА В ОБЛАСТИ ОБРАБОТКИ И ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
 

1. ОБЩИЕ ПОЛОЖЕНИЯ
 
1.1. Настоящий документ определяет политику ООО «Эстетическая клиника ЕМС» (далее — Общество) в отношении обработки персональных данных, декларирует систему основных принципов, применяемых в отношении обработки персональных данных в Обществе.
1.2. Настоящая Политика в области обработки и обеспечения безопасности персональных данных (далее – Политика) обязательна для ознакомления и исполнения всеми лицами, допущенными к обработке персональных данных в Обществе, а также лицами, участвующими в организации процессов обработки и обеспечения безопасности персональных данных в Обществе.
1.3. Настоящая Политика составлена в соответствии с положениями законодательства Российской Федерации, в том числе Федерального закона РФ «О персональных данных» № 152-ФЗ от 27 июля 2006 г.
1.4. Настоящая Политика подлежит актуализации в случае изменения законодательства РФ о персональных данных.
1.5. С целью поддержания деловой репутации и обеспечения выполнения норм федерального законодательства Общество считает важнейшей задачей обеспечение законности и безопасности обработки персональных данных субъектов в бизнес-процессах Общества.
1.6. Для решения данной задачи в Обществе введена, функционирует и проходит периодический пересмотр (контроль) система защиты персональных данных.
1.7. Обработка персональных данных в Обществе основана на следующих принципах:
  • законности целей и способов обработки персональных данных и добросовестности; 
  • соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Общества; 
  • соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных; 
  • достоверности персональных данных, их актуальности и достаточности для целей обработки, недопустимости обработки избыточных по отношению к целям сбора персональных данных; 
  • легитимности организационных и технических мер по обеспечению безопасности персональных данных; 
  • непрерывности повышения уровня знаний работников Общества в сфере обеспечения безопасности персональных данных при их обработке; 
  • стремления к постоянному совершенствованию системы защиты персональных данных.
1.8. Действие настоящей Политики распространяется на все операции, совершаемые в Обществе с персональными данными с использованием средств автоматизации или без таковых.
1.9. Локальные акты и другие документы, регламентирующие обработку персональных данных в Обществе, разрабатываются с учетом положений настоящей Политики.
 
2. ОСНОВНЫЕ ПОНЯТИЯ, ИСПОЛЬЗУЕМЫЕ В ПОЛИТИКЕ
 
2.1. В настоящем документе используются следующие понятия:
1) персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
2) субъект персональных данных - физическое лицо, которое прямо или косвенно определено, или определяемо с помощью персональных данных;
3) Общество - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В данной Политике под оператором понимается Общество;
4) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
5) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
6) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
7) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
8) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
9) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
10) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
11) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
12) биометрические персональные данные - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность;
13) персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом № 152-ФЗ;
14) открытые источники персональных данных - социальные сети и иные Интернет- ресурсы, в которых непосредственно субъектом персональных данных или третьим лицом размещены персональные данные субъекта;
15) общедоступные источники персональных данных – справочники, адресные книги и иные источники персональных данных, в которые с письменного согласия субъекта персональных данных включены его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные.
 
3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
 
3.1. Общество определило следующие цели обработки персональных данных:
  • ведение кадрового и бухгалтерского учета;
  • обеспечение соблюдения трудового законодательства РФ;
  • обеспечение соблюдения налогового законодательства РФ;
  • обеспечение соблюдения пенсионного законодательства РФ;
  • подготовка, заключение и исполнение гражданско-правового договора;
  • продвижение товаров, работ, услуг на рынке;
  • подбор персонала (соискателей) на вакантные должности оператора;
  • соблюдение требований законодательства об обществах с ограниченной ответственностью.
3.2. В рамках, указанных целей Общество вправе определить и отразить в согласиях на Обработку персональных данных направления обработки для обеспечения информированности Субъекта о том каким образом будут обрабатываться его данные в рамках цели.
3.3. Общество вправе определять иные цели Обработки персональных данных, которые на момент вступления в силу настоящей Политики не были определены, они могут закрепляться в локальных нормативных актах Общества, а также непосредственно в согласиях на обработку персональных данных.
 
4. КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
 
4.1. Общество осуществляет обработку различных категорий персональных данных:
  • персональные данные, разрешённые субъектами для опубликования (распространения);
  • иные персональные данные, которые в соответствии с действующим законодательством не отнесены к специальным категориям персональных данных, биометрическим персональным данным, данным, разрешённым субъектом для опубликования (распространения).
4.2. Общество в своей деятельности не осуществляет обработку биометрических персональных данных, за исключением случаев наличия у Общества правовых оснований для соответствующей обработки.
4.3. Персональные данные, разрешённые субъектом для опубликования, обрабатываются на основании согласия Субъекта.
4.4. Общество вправе обрабатывать персональные данные, разрешённые Субъектом для распространения, только в целях, указанных в согласии субъекта на распространение персональных данных либо в случаях получения дополнительного согласия от субъекта.
 
5. СУБЪЕКТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
 
5.1. В Компании осуществляется обработка персональных данных следующих категорий субъектов:
  • соискатели на занятие вакантных должностей;
  • работники;
  • родственники работников;
  • уволенные работники;
  • выгодоприобретатели по договорам;
  • контрагенты;
  • представители контрагентов;
  • законные представители;
  • члены органов управления Общества.
  • клиенты.
5.2. Цели обработки персональных данных, состав и категории обрабатываемых персональных данных, сроки обработки и хранения для каждой категории субъектов персональных данных определены (изложены) в Приложении №1 к настоящей Политике.
5.3. Субъект персональных данных имеет право:
5.3.1. Свободно, своей волей и в своем интересе предоставлять свои персональные данные и давать согласие на их обработку;
5.3.2. Отозвать свое согласие на обработку персональных данных;
5.3.3. Получать информацию, касающуюся обработки своих персональных данных, в том числе содержащую:
  • подтверждение факта обработки персональных данных Обществом;
  • правовые основания и цели обработки персональных данных (в том числе, доказательство получения Обществом согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия у Общества иных правовых оснований для обработки персональных данных субъекта);
  • цели и применяемые Обществом способы обработки персональных данных;
  • наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании законодательства Российской Федерации;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; − сроки обработки персональных данных, в том числе сроки их хранения;
  • информацию об отсутствии трансграничной передачи данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;
  • информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Федерального закона РФ «О персональных данных» № 152-ФЗ;
  • иные сведения, предусмотренные законодательством Российской Федерации.
5.3.4. Требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
5.3.5. Требовать прекращения обработки своих персональных данных;
5.3.6. Требовать прекращения обработки своих персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с помощью средств связи;
5.3.7. Обжаловать действия или бездействие Общества в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;
5.3.8. На защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
5.4. Сведения, указанные в п.5.3.3. настоящей Политики предоставляются субъекту персональных данных или его представителю Обществом в течение 10 (десяти) рабочих дней с момента обращения либо получения Обществом запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Обществом в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Общество предоставляет сведения субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращение или запросе.
 
6. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
 
6.1. Персональные данные обрабатываются Обществом на условиях, определённых действующим законодательством.
6.2. В случаях, когда для достижения цели обработки персональных данных требуется получение согласия Субъекта персональных данных, Общество собирает соответствующие согласия до момента начала соответствующей обработки. Согласие может быть получено в любой разрешённой применимым законодательством форме, которая обеспечит возможность сохранения подтверждения получения соответствующего согласия.
6.3. Передача персональных данных субъекта третьему лицу осуществляется только с согласия субъекта персональных данных. В согласии субъекта персональных данных указывается сведения о третьем лице (третьих лицах), которому (которым) передаются персональные данные, а также цель передачи персональных данных.
6.4. Передача персональных данных или поручение обработки персональных данных субъектов третьему лицу осуществляется на основании договора, существенными условиями которого являются соблюдение третьим лицом конфиденциальности и обеспечение безопасности персональных данных в соответствии с требованиями законодательства о персональных данных.
6.5. При передаче персональных данных третьим лицам, которые на основании договоров получают доступ или осуществляют обработку персональных данных, Общество ограничивает эту информацию только теми персональными данными, которые необходимы для выполнения указанными лицами их функций (услуг, работ).
6.6. Обработка персональных данных осуществляется Компанией с использованием средств автоматизации, а также без использования таких средств (на бумажных носителях информации).
6.7. Персональные данные граждан Российской Федерации обрабатываются с использованием баз данных, находящихся на территории Российской Федерации.
6.8. Обработка персональных данных может осуществляться работниками Общества, а также иными лицами, привлечёнными Обществом на основании соответствующего соглашения (поручения).
6.9. Правовыми основаниями обработки персональных данных для достижения целей, указанных в разделе 5 настоящей Политики, является законодательство РФ; Устав Общества; договоры, заключаемые между Обществом и субъектами персональных данных; согласие субъектов персональных данных на обработку их персональных данных; иные нормативные правовые акты, исполнение требований которых связано с обработкой персональных данных.
 
7. КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ
 
7.1. Доступ к персональным данным ограничивается в соответствии с законодательством Российской Федерации.
7.2. Персональные данные во всех случаях, кроме персональных данных, разрешённых для опубликования в общедоступных источниках, классифицируются как строго конфиденциальная информация.
7.3. Указанный режим конфиденциальности информации применяется к персональным данным вне зависимости от наличия или отсутствия соответствующей маркировки.
7.4. Доступ к обрабатываемым персональным данным предоставляется только тем работникам Общества, которым он необходим в связи с исполнением ими своих должностных обязанностей.
7.5. Работники Общества, получившие доступ к персональным данным, принимают на себя обязательства по обеспечению конфиденциальности и безопасности обрабатываемых персональных данных.
7.6. Общество не раскрывает третьим лицам и не распространяет персональные данные без согласия на это субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
7.7. Третьи лица, получившие доступ к персональным данным, или осуществляющие обработку персональных данных по поручению Общества, обязуются соблюдать требования договоров и соглашений с Обществом в части обеспечения конфиденциальности и безопасности персональных данных.
 
8. ИСТОЧНИКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
 
8.1. Сбор персональных данных Обществом осуществляется:
  • от субъекта персональных данных;
  • от третьих лиц.
8.2. При получении персональных данных от третьих лиц (в том числе по договорам) должно соблюдаться одно из следующих условий:
  • субъект персональных данных должен быть уведомлен о такой передаче, а также о её целях и иных условиях, с правом отказа от передачи его данных. Уведомление осуществляется либо Обществом, либо получателем данных, в зависимости от условий письменного соглашения, на основании которого передаются персональные данные;
  • лицо, предоставляющее персональные данные, гарантирует, что сбор, обработка и передача персональных данных соответствуют требованиям применимого законодательства, в частности от субъекта получено соответствующее согласие на передачу его персональных данных Обществу с возможностью последующей обработки, а также освобождает Общество от каких-либо требований и претензий третьих лиц, которые связаны с обработкой переданных персональных данных.
8.3. Общество с согласия субъекта персональных данных вправе создавать данные, которые будут использоваться для идентификации Субъекта в Общества (идентификаторы, корпоративный адрес электронной почты и др.) для целей обеспечения деятельности Субъекта в Общества, а также защиты данных и систем Общества. При этом корпоративные персональные данные, являются собственностью Общества и не должны использоваться для целей, которые не связаны с деятельностью Общества.
 
9. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
 
9.1. Хранение персональных данных в Общества осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, за исключением случаев, когда срок хранения установлен федеральным законом, договором или требованиями нормативных документов РФ.
9.2. Общество осуществляет хранение персональных данных следующими способами:
  • на машинных носителях – данные, полученные в электронной форме или преобразованные в электронную форму;
  • на бумажных носителях – данные, полученные в материальной форме или преобразованные в материальную форму.
  • хранение на машинных носителях может осуществляться Обществом систематизировано с использованием информационных систем персональных данных, формируемых из различных персональных данных, а также в отдельных базах данных (технических решениях, ПО).
  • обработка, в том числе архивное хранение персональных данных уволенных работников, осуществляется в соответствии с законодательством Российской Федерации.

 

10. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
 
10.1. Передача персональных данных Обработчику должна осуществляться на основании и в соответствии с Поручением Общества. В Поручении должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться Обработчиком, цели обработки, обязанность Обработчика соблюдать конфиденциальность персональных данных, а также иные положения, включение которых может потребоваться в соответствии с требованиями действующего законодательства РФ. Обработчик обязан по запросу Общества предоставлять документы и иную информацию, подтверждающую принятие мер и соблюдение в целях исполнения поручения.
10.2. В зависимости от процессов, в рамках которых привлекается Обработчик, а также цели его привлечения, все обработчики подразделяются на процессных и технических.
10.2.1. Процессные Обработчики – лица, привлечённые для обработки персональных данных, для достижения целей, не связанных с техническим обслуживанием применяемого Обществом ПО.
10.2.2. Технические Обработчики – лица, привлечённые Обществом к обработке персональных данных исключительно в связи с необходимостью технического обслуживания и поддержки ПО, и в объёме, который необходим для целей технической поддержки и обслуживания. Условия обработки персональных данных техническими Обработчиками могут определяться условиями соответствующего соглашения на предоставление и техническое обслуживание указанных систем, также в отношениях с ними может применяться типовое поручение по форме Общества.
 
11. БЛОКИРОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
 
11.1. Общество блокирует обрабатываемые персональные данные при выявлении недостоверности обрабатываемых персональных данных или неправомерных действий в отношении субъекта в следующих случаях:.
  • по требованию Субъекта персональных данных;
  • по требованию уполномоченного органа по защите прав Субъектов персональных данных;
  • по результатам внутренних контрольных мероприятий.
11.2. Порядок блокирования определяется в зависимости от вида персональных данных, носителя, объёма, применяемого ПО, а также иных фактических обстоятельств, лицом, ответственным за обеспечение безопасности персональных данных в Общества.
 
12. УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
 
12.1. Общество уничтожает персональные данные в случае:
  • достижения целей обработки персональных данных или утраты необходимости в их достижении;
  • выявления факта неправомерной обработки персональных данных;
  • получения соответствующего запроса от Субъекта, при условии, что данный запрос не противоречит требованиям законодательства РФ;
  • отзыва согласия Субъекта на обработку его персональных данных (если отзыв согласия влечет за собой уничтожение персональных данных);
  • получения соответствующего предписания от уполномоченного органа по защите прав субъектов.
12.2. Способы уничтожения персональных данных определяются внутренними нормативными документами Общества по вопросам обработки и защиты персональных данных в зависимости от способов обработки персональных данных и материальных носителей персональных данных, на которых осуществляется запись и хранение персональных данных.
 
13. ОБЕЗЛИЧИВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
 
13.1. Компания вправе производить обезличивание персональных данных Субъектов в целях их защиты.
13.2. Результатом обезличивания персональных данных могут стать:
  • обезличенные данные, по которым невозможно определить их принадлежность конкретному субъекту персональных данных без использования дополнительной информации, при этом у Организации есть доступ к такой дополнительной информации;
  • обезличенные данные, по которым невозможно определить их принадлежность конкретному субъекту в связи с уничтожением информации, которая могла бы быть использована для определения такой принадлежности.
13.3. На обезличенные данные распространяется режим персональных данных, предусмотренный действующим законодательством и Политикой, при одновременном соблюдении следующих условий:
13.3.1. У Организации имеется юридическая или фактическая возможность расшифровать Обезличенные данные таким образом, что вновь создаётся возможность отнести их к определённому или определяемому лицу;
13.3.2. В отношении Обезличенных данных фактически возможно применить требования режима персональных данных.
 
14. МЕРЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ, РЕАЛИЗУЕМЫЕ В ОБЩЕСТВЕ
 
14.1. Обеспечение безопасности персональных данных при их обработке Обществом осуществляется в соответствии с законодательством Российской Федерации и требованиями уполномоченного органа государственной власти по защите прав субъектов персональных данных, федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации.
14.2. Общество предпринимает необходимые организационные и технические меры для защиты персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.
14.3. Меры защиты, реализуемые Обществом при обработке персональных данных, включают (но не ограничиваются):
  • назначение ответственного за организацию обработки персональных данных;
  • назначение работника, ответственного за обеспечение безопасности персональных данных в Обществе;
  • принятие локальных нормативно-правовых актов по вопросам обработки персональных данных;
  • осуществление внутреннего контроля и аудита соответствия обработки персональных данных требованиям законодательства, защиты персональных данных и политике Общества, а также локальным нормативно-правовым актам оператора;
  • работники, непосредственно осуществляющие обработку персональных данных, ознакомлены с требованиями защиты персональных данных, документами, определяющими политику Общества в отношении обработки персональных данных, локальными нормативно-актами по вопросам обработки персональных данных;
  • обеспечение физической охраны, предусматривающей контроль доступа на территорию и в помещения посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения.
14.4. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Общество обязано с момента выявления такого инцидента Обществом, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
1) в течение 24 (двадцати четырех) часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном на взаимодействие Обществом с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
2) в течение 72 (семидесяти двух) часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
 
С полным текстом Политики можно ознакомиться по ссылке.