Политика в области обработки и обеспечения безопасности персональных данных

1. Общие положения

1. Настоящий документ определяет политику ООО «Премьер Эстетик» (далее — Общество), разработан в соответствии с Конституцией Российской Федерации, международными стандартами защиты персональных данных и регулирует порядок обработки персональных данных гражданами и организациями, взаимодействующими с Обществом.
2. Настоящая Политика в области обработки и обеспечения безопасности персональных данных (далее – Политика) обязательна для ознакомления и исполнения всеми лицами, допущенными к обработке персональных данных в Обществе, а также лицами, участвующими в организации процессов обработки и обеспечения безопасности персональных данных в Обществе.
3. Настоящая Политика составлена в соответствии с действующей редакцией Федерального закона РФ «О персональных данных» № 152-ФЗ от 27 июля 2006 года, с учетом последних изменений и дополнений, введенных Правительством Российской Федерации, а также других федеральных законов и нормативных актов Российской Федерации, регулирующих порядок обращения с персональными данными.
4. Обработка сведений, составляющих врачебную тайну, которые включают в себя персональные данные, осуществляется Обществом с соблюдением требований Федерального закона от 21.11.2011 №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» и иных нормативных правовых актов в сфере здравоохранения.
5. Настоящая Политика подлежит актуализации в случае изменения законодательства РФ о персональных данных.
6. Настоящая Политика подлежит размещению на официальном сайте Общества.
7. С целью поддержания деловой репутации и обеспечения выполнения норм федерального законодательства Общество считает важнейшей задачей обеспечение законности и безопасности обработки персональных данных субъектов в бизнес-процессах Общества.
8. Для решения данной задачи в Обществе введена, функционирует и проходит периодический пересмотр (контроль) система защиты персональных данных.
9. Обработка персональных данных в Обществе основана на следующих принципах:
   • законности целей и способов обработки персональных данных и добросовестности;
   • соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Общества;
   • соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
   • достоверности персональных данных, их актуальности и достаточности для целей обработки, недопустимости обработки избыточных по отношению к целям сбора персональных данных;
   • соответствия принимаемых организационных и технических мер уровню современных угроз безопасности персональных данных;
   • непрерывности повышения уровня знаний работников Общества в сфере обеспечения безопасности персональных данных при их обработке;
   • стремления к постоянному совершенствованию системы защиты персональных данных.
10. Действие настоящей Политики распространяется на все операции, совершаемые в Обществе с персональными данными с использованием средств автоматизации или без таковых.
11. Локальные акты и другие документы, регламентирующие обработку персональных данных в Обществе, разрабатываются с учетом положений настоящей Политики.

2. Основные понятия, используемые в Политике

В настоящем документе используются следующие понятия:

1. Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
2. Субъект персональных данных — физическое лицо, которое прямо или косвенно определено, или определяемо с помощью персональных данных.
3. Общество — юридическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В данной Политике под оператором понимается Общество.
4. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
5. Автоматизированная обработка персональных данных — обработка персональных данных с использованием средств компьютерной техники, осуществляемая в режиме реального времени или периодическими интервалами для формирования базы данных, анализа информации и подготовки отчётности.
6. Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
7. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
8. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
9. Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
10. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
11. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
12. Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
13. Врачебная тайна — сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении.
14. Биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.
15. Персональные данные, разрешенные субъектом для распространения — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом № 152-ФЗ.
16. Открытые источники персональных данных — социальные сети и иные интернет-ресурсы, в которых непосредственно субъектом персональных данных или третьим лицом размещены персональные данные субъекта.
17. Общедоступные источники персональных данных — справочники, адресные книги и иные источники персональных данных, в которые с письменного согласия субъекта персональных данных включены его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные.

3. Цели обработки персональных данных

1. Основная цель обработки персональных данных заключается в ведении кадрового учёта, выполнении налоговых обязательств, подготовке отчётности и управлении информацией о клиентах и сотрудниках Общества.
2. В рамках указанных целей Общество вправе определить и отразить в согласиях на обработку персональных данных направления обработки для обеспечения информированности субъекта о том, каким образом будут обрабатываться его данные в рамках цели.
3. Общество вправе определять иные цели обработки персональных данных, которые на момент вступления в силу настоящей Политики не были определены, они могут закрепляться в локальных нормативных актах Общества, а также непосредственно в согласиях на обработку персональных данных.

4. Категории обрабатываемых персональных данных

1. Общество осуществляет обработку различных категорий персональных данных:
   • специальные категории персональных данных;
   • персональные данные, разрешённые субъектами для опубликования (распространения);
   • иные персональные данные, которые в соответствии с действующим законодательством не отнесены к специальным категориям персональных данных, биометрическим персональным данным, данным, разрешённым субъектом для опубликования (распространения).
2. Общество в своей деятельности не осуществляет обработку биометрических персональных данных, за исключением случаев наличия у Общества правовых оснований для соответствующей обработки.
3. Обществом может осуществляться трансграничная передача персональных данных с согласия субъекта персональных данных на такую передачу.
4. Персональные данные, разрешённые субъектом для опубликования, обрабатываются на основании согласия субъекта.
5. Общество вправе обрабатывать персональные данные, разрешённые субъектом для распространения, только в целях, указанных в согласии субъекта на распространение персональных данных, либо в случаях получения дополнительного согласия от субъекта.

5. Субъекты персональных данных

1. Обществом осуществляется обработка персональных данных следующих категорий субъектов:
   • работники;
   • родственники работников;
   • уволенные работники;
   • выгодоприобретатели по договорам;
   • контрагенты;
   • представители контрагентов;
   • законные представители;
   • клиенты (пациенты);
   • лица, которым в интересах пациента может быть передана информация о состоянии его здоровья;
   • посетители сайта;
   • участники мероприятий.
2. Цели обработки персональных данных, состав и категории обрабатываемых персональных данных, сроки обработки и хранения для каждой категории субъектов персональных данных определены (изложены) в Приложении №1 к настоящей Политике.
3. Субъект персональных данных имеет право:
   1. Свободно, своей волей и в своем интересе предоставлять свои персональные данные и давать согласие на их обработку.
   2. Отозвать свое согласие на обработку персональных данных.
   3. Получать информацию, касающуюся обработки своих персональных данных, в том числе содержащую:
      • подтверждение факта обработки персональных данных Обществом;
      • правовые основания и цели обработки персональных данных;
      • цели и применяемые Обществом способы обработки персональных данных;
      • наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании законодательства Российской Федерации;
      • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;
      • сроки обработки персональных данных, в том числе сроки их хранения;
      • информацию об отсутствии трансграничной передачи данных;
      • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества;
      • информацию о мерах, направленных на обеспечение выполнения оператором обязанностей, предусмотренных Федеральным законом «О персональных данных» № 152-ФЗ;
      • иные сведения, предусмотренные законодательством Российской Федерации.
   4. Требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
   5. Требовать прекращения обработки своих персональных данных.
   6. Требовать прекращения обработки своих персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с помощью средств связи.
   7. Обжаловать действия или бездействие Общества в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
   8. На защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
4. Сведения, указанные в п. 5.3.3 настоящей Политики, предоставляются субъекту персональных данных или его представителю Обществом в течение 10 (десяти) рабочих дней с момента обращения либо получения Обществом запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Обществом в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

6. Порядок и условия обработки персональных данных

1. Персональные данные обрабатываются Обществом на условиях, определённых действующим законодательством.
2. В случаях, когда для достижения цели обработки персональных данных требуется получение согласия субъекта персональных данных, Общество собирает соответствующие согласия до момента начала соответствующей обработки. Согласие на обработку персональных данных предоставляется субъектом персональных данных в письменной форме, путём заполнения стандартной формы или электронного аналога с соблюдением требований законодательства РФ.
3. Передача персональных данных третьим лицам осуществляется только с согласия субъекта персональных данных, за исключением случаев, предусмотренных федеральным законом.
4. Передача персональных данных или поручение обработки персональных данных третьим лицам осуществляется на основании соглашения, существенными условиями которого являются соблюдение третьим лицом конфиденциальности и обеспечение безопасности персональных данных в соответствии с требованиями законодательства о персональных данных.
5. При передаче персональных данных третьим лицам Общество ограничивает эту информацию только теми персональными данными, которые необходимы для выполнения указанными лицами их функций.
6. Общество осуществляет распространение персональных данных медицинских работников, а именно: фамилия, имя, отчество (при наличии), занимаемая должность, сведения об образовании, квалификации, профессиональном опыте, стаж работы, фотография, график работы и часы приема — с целью предоставления пользователям сайта информации о медицинской организации и ее работниках на основании и с соблюдением требований Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».
7. Обработка персональных данных осуществляется Обществом с использованием средств автоматизации, а также без использования таких средств (на бумажных носителях информации).
8. Персональные данные граждан Российской Федерации обрабатываются с использованием баз данных, находящихся на территории Российской Федерации.
9. Обработка персональных данных может осуществляться работниками Общества, а также иными лицами, привлечёнными Обществом на основании соответствующего соглашения (поручения).
10. Правовыми основаниями обработки персональных данных являются:
    1. Гражданский кодекс Российской Федерации;
    2. Трудовой кодекс Российской Федерации;
    3. Налоговый кодекс Российской Федерации;
    4. Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
    5. Федеральный закон от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью»;
    6. Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
    7. Федеральный закон от 28.12.2003 №426 «О специальной оценке условий труда»;
    8. Постановление Правительства РФ от 27.11.2006 № 719 «Об утверждении Положения о воинском учете»;
    9. Письмо Минфина России от 24.04.2023 №07-01-09/37355;
    10. Устав Общества;
    11. Лицензии, полученные Обществом в установленном законодательством порядке;
    12. Договоры, заключаемые между Обществом и субъектами персональных данных;
    13. Согласие субъектов персональных данных на обработку их персональных данных;
    14. Уведомление об автоматическом сборе технических данных пользователей (посетителей) сайта Общества;
    15. Иные нормативные правовые акты, исполнение требований которых связано с обработкой персональных данных.

7. Конфиденциальность персональных данных

1. Доступ к персональным данным ограничивается в соответствии с законодательством Российской Федерации.
2. Указанный режим конфиденциальности информации применяется к персональным данным вне зависимости от наличия или отсутствия соответствующей маркировки.
3. Доступ к обрабатываемым персональным данным предоставляется только тем работникам Общества, которым он необходим в связи с исполнением ими своих должностных обязанностей.
4. Работники Общества, получившие доступ к персональным данным, принимают на себя обязательства по обеспечению конфиденциальности и безопасности обрабатываемых персональных данных.
5. Общество не раскрывает третьим лицам и не распространяет персональные данные без согласия на это субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
6. Третьи лица, получившие доступ к персональным данным или осуществляющие обработку персональных данных по поручению Общества, обязуются соблюдать требования договоров и соглашений с Обществом в части обеспечения конфиденциальности и безопасности персональных данных.

8. Источники персональных данных

1. Сбор персональных данных Обществом осуществляется:
   • от субъекта персональных данных;
   • от третьих лиц.
2. При получении персональных данных от третьих лиц (включая поставщиков услуг, подрядчиков и т.д.) Общество принимает обязательство проверить законность и обоснованность передачи таких данных, удостоверившись в наличии необходимого согласия субъекта персональных данных.
3. Общество, с согласия субъекта персональных данных, вправе создавать данные, которые будут использоваться для идентификации субъекта в Обществе (идентификаторы, корпоративный адрес электронной почты и др.) для целей обеспечения деятельности субъекта в Обществе, а также защиты данных и систем Общества.

9. Хранение персональных данных

1. Хранение персональных данных в Обществе осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, за исключением случаев, когда срок хранения установлен федеральным законом, договором или требованиями нормативных документов РФ.
2. Общество осуществляет хранение персональных данных следующими способами:
   • на машинных носителях — данные, полученные в электронной форме или преобразованные в электронную форму;
   • на бумажных носителях — данные, полученные в материальной форме или преобразованные в материальную форму;
   • хранение на машинных носителях может осуществляться Обществом систематизировано с использованием информационных систем персональных данных;
   • обработка, в том числе архивное хранение персональных данных уволенных работников, осуществляется в соответствии с законодательством Российской Федерации.

10. Передача персональных данных

1. Передача персональных данных обработчику должна осуществляться на основании и в соответствии с поручением Общества. В поручении должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться обработчиком, цели обработки, обязанность обработчика соблюдать конфиденциальность персональных данных, а также иные положения, включение которых может потребоваться в соответствии с требованиями действующего законодательства РФ.
2. В зависимости от процессов, в рамках которых привлекается обработчик, а также цели его привлечения, все обработчики подразделяются на процессных и технических:
   • Процессные обработчики — лица, привлечённые для обработки персональных данных для достижения целей, не связанных с техническим обслуживанием применяемого Обществом ПО.
   • Технические обработчики — лица, привлечённые Обществом к обработке персональных данных исключительно в связи с необходимостью технического обслуживания и поддержки ПО, и в объёме, который необходим для целей технической поддержки и обслуживания.

11. Блокирование персональных данных

1. Общество блокирует обрабатываемые персональные данные при выявлении недостоверности обрабатываемых персональных данных или неправомерных действий в отношении субъекта в следующих случаях:
   • по требованию субъекта персональных данных;
   • по требованию уполномоченного органа по защите прав субъектов персональных данных;
   • по результатам внутренних контрольных мероприятий.
2. Порядок блокирования определяется в зависимости от вида персональных данных, носителя, объёма, применяемого ПО, а также иных фактических обстоятельств, лицом, ответственным за обеспечение безопасности персональных данных в Обществе.

12. Уничтожение персональных данных

1. Общество уничтожает персональные данные в случае:
   • достижения целей обработки персональных данных или утраты необходимости в их достижении, за исключением случаев, предусмотренных законодательством Российской Федерации;
   • выявления факта неправомерной обработки персональных данных;
   • получения соответствующего запроса от субъекта, при условии, что данный запрос не противоречит требованиям законодательства РФ;
   • отзыва согласия субъекта на обработку его персональных данных (если отзыв согласия влечет за собой уничтожение персональных данных);
   • получения соответствующего предписания от уполномоченного органа по защите прав субъектов.
2. Способы уничтожения персональных данных определяются внутренними нормативными документами Общества по вопросам обработки и защиты персональных данных в зависимости от способов обработки персональных данных и материальных носителей.

13. Обезличивание персональных данных

1. Общество вправе производить обезличивание персональных данных субъектов в целях их защиты.
2. Результатом обезличивания персональных данных могут стать:
   • обезличенные данные, по которым невозможно определить их принадлежность конкретному субъекту персональных данных без использования дополнительной информации, при этом у Общества есть доступ к такой дополнительной информации;
   • обезличенные данные, по которым невозможно определить их принадлежность конкретному субъекту в связи с уничтожением информации, которая могла бы быть использована для определения такой принадлежности.

14. Меры защиты персональных данных, реализуемые в Обществе

1. Обеспечение безопасности персональных данных при их обработке Обществом осуществляется в соответствии с законодательством Российской Федерации и требованиями уполномоченных органов государственной власти. Общество предпринимает необходимые организационные и технические меры для защиты персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.
2. Меры защиты, реализуемые Обществом при обработке персональных данных, включают (но не ограничиваются):
   • назначение ответственного за организацию обработки персональных данных;
   • назначение работника, ответственного за обеспечение безопасности персональных данных в информационных системах Общества;
   • принятие локальных нормативно-правовых актов по вопросам обработки персональных данных;
   • опубликование документа, определяющего политику ООО «Премьер Эстетик» в отношении обработки персональных данных;
   • осуществление внутреннего контроля и аудита соответствия обработки персональных данных требованиям законодательства;
   • ознакомление работников с требованиями защиты персональных данных и локальными нормативными актами;
   • обеспечение физической охраны, контроля доступа на территорию и в помещения;
   • использование защищенных каналов связи;
   • применение антивирусных средств защиты информации, межсетевого экранирования и иных технических средств защиты;
   • разработка правил доступа к персональным данным, обрабатываемым в информационных системах;
   • обучение работников положениям и требованиям законодательства о персональных данных;
   • определение угроз безопасности персональных данных при их обработке в информационных системах;
   • обеспечение регистрации и учёта всех действий, совершаемых с персональными данными;
   • обеспечение средств резервного копирования и восстановления персональных данных.
3. В случае установления факта неправомерной или случайной передачи персональных данных, повлекшей нарушение прав субъектов персональных данных, Общество обязано уведомить уполномоченный орган по защите прав субъектов персональных данных:
   • в течение 24 часов — о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов, о принятых мерах по устранению последствий;
   • в течение 72 часов — о результатах внутреннего расследования выявленного инцидента, а также сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).