Политика обработки и защиты персональных данных пользователей

1. Общие положения 1.1. Настоящая Политика в отношении -- обработки персональных данных (далее - Политика) составлена в соответствии с п. 2 ст. 18.1 Федерального закона №152-ФЗ от 27.07.2006 «0 персональных данных» и является основополагающим внутренним локальным документом ООО «АССОЛЬ» (далее - Организация или Оператор), определяющим ключевые направления его деятельности в области обработки и защиты персональных данных (далее - ПДн), оператором которых является Организация. 1.2. Политика разработана в целях реализации требований законодательства в области обработки и защиты ПДн и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его ПДн в Организации, в том числе защиты прав на неприкосновенность частной жизни, личной, семейной и врачебной тайн. 1.3. Положения Политики распространяются на отношения по обработке и защите ПДн, полученных Организацией как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите ПДн, полученных до ее утверждения 1.4. Правовым основанием обработки ПДн в ООО «Ассоль» являются: совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку ПДн: Конституция РФ; статьи 86-90 Трудового кодекса РФ; Налоговый кодекс РФ; Гражданский кодекс РФ; Федеральные законы от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в РФ»; от 27.07.2006 №152-ФЗ «0 персональных данных»; от 07.02.1992 № 2300-1 «0 защите прав потребителей»; от 02.05.2006 №59-ФЗ «0 порядке рассмотрения обращений граждан РФ»; от 06.12.2011 №402-ФЗ «0 бухгалтерском учете»; от 15.12.2001 №16б-ФЗ «0 государственном пенсионном обеспечении в РФ»; от 15.12.2001 №167-ФЗ «Об обязательном пенсионном страховании в РФ»; от 01.04.1996 №27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного Пенсионного страхования», от 28.03.1998 №53- ФЗ «0 воинской обязанности и военной службе»; Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизацию»; от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; от 11.05.2023 №736 «Об утверждении правил предоставления медицинскими организациями платных медицинских услуг, внесении изменений в некоторые акты Правительства РФ и признании утратившим силу Постановления Правительства РФ от 04.10.2012 №1006»; уставные документы Оператора; договоры, заключаемые между Оператором и субъектом персональных данных; согласие на обработку ПДн (в случаях, прямо не предусмотренных законодательством РФ, но соответствующих полномочиям Оператора). 1.5. Организация имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики. 1.6. Действующая редакция хранится в месте нахождения Организации по адресу: Нижегородская обл. город Бор, ул. Мичурина дом 15, электронная версия Политики - на сайте по адресу: https://bormedcenter.ru, https://bormeddent.ru 1.7. Настоящей Политикой должны руководствоваться все сотрудники Организации, осуществляющие обработку ПДн или имеющие к ним доступ. 2. Термины и принятые сокращения Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту ПДн); Обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн; Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с персональными данными; Распространение ПДн - действия, направленные на раскрытие ПДн неопределенному кругу лиц; Предоставление ПДн - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц; Блокирование ПДн - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн); Уничтожение ПДн - действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн; Обезличивание ПДн - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн; Автоматизированная обработка ПДн - обработка ПДн с помощью средств вычислительной техники; Информационная система ПДн (ИСПД) - совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств; Пациент - физическое лицо, которому оказывается медицинская помощь или которое обратилось за оказанием. медицинской помощи независимо от наличия у него заболевания и от его состояния; Медицинская деятельность - профессиональная деятельность по оказанию медицинской помощи, проведению медицинских экспертиз, медицинских осмотров и медицинских освидетельствований, санитарно-противоэпидемических (профилактических) мероприятий и профессиональная деятельность, связанная с трансплантацией (пересадкой) органов и (или) тканей, обращением донорской крови и (или) ее компонентов в медицинских целях; Лечащий врач - врач, на которого возложены функции по организации и непосредственному оказанию пациенту медицинской помощи в период наблюдения за ним и его лечения. Сайт - это совокупность текстов, графических элементов, дизайна, изображений, программного кода, фото- и видеоматериалов, и иных результатов интеллектуальной деятельности владельца Сайта, содержащихся в сети Интернет под доменным именем bormedcenter.ru, bormeddent.ru. Телеграм-бот - приложения и сервисы, использующиеся для получения информации об услугах и ценах Оператора ПДн, а также для передачи ПДн, необходимых для записи на прием. Пользователь - лицо, имеющее доступ к Сайту посредством сети Интернет, использующее Сайт, заполнившее поля онлайн-форм на Сайте, а также в Телеграм-бот, принявшее условия Соглашения. 3. Основные права субъекта ПДн и обязанности и права Оператора 3.1. Основные права субъекта ПДн Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей: подтверждение факта обработки ПДн оператором; правовые основания и цели обработки ПДн; цели и применяемые оператором способы обработки ПДн; наименование и место нахождения оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании. Договора с оператором или на основании федерального закона; обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; сроки обработки ПДн, в том числе сроки их хранения; порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом «0 персональных данных»; информацию об осуществленной или о предполагаемой трансграничной передаче данных; наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка поручена или будет поручена такому лицу; иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами. Субъект ПДн вправе требовать от оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке. 3.2. Обязанности и права Оператора Оператор ПДн обязан: при сборе ПДн субъекта предоставить информацию об обработке его ПДн; в случаях если ПДн были получены не от субъекта ПДн уведомить субъекта; предоставлять субъекту ПД информацию о том, какие данные о нем он будет обрабатывать, если эти ПДн получены не от субъекта ПД; при отказе в предоставлении ПДн субъекту разъясняются последствия такого отказа; опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн; принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн; давать ответы на запросы и обращения субъектов ПДн, их представителей и уполномоченного органа по защите прав субъектов ПДн; обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и информировать Роскомнадзор о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПДн; уведомлять Роскомнадзор в течение 24 часов о факте неправомерной или случайной передачи ПДн, повлекшей нарушение прав субъектов ПДн, а также о предполагаемых причинах и вреде, нанесенном правам субъектов ПДн, о принятых мерах по устранению последствий инцидента; в течение 72 часов уведомлять Роскомнадзор о результатах внутреннего расследования по поводу инцидента и сообщить о лицах, действия которых стали причиной утечки ПДн. Оператор ПДн вправе: отстаивать свои интересы в суде; предоставлять ПДн субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.); отказывать в предоставлении ПДн в случаях, предусмотренных законодательством; использовать ПДн субъекта без его согласия в случаях, предусмотренных законодательством. 4. Цели сбора ПДн 4.1. Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка Пдн, несовместимая с целями сбора ПДн. 4.2. Цели обработки ПДн Оператора происходят во исполнение обязательств и компетенций в соответствии с нормативно-правовыми актами, указанными в п.1.4 данной Политики. 4.3. К целям обработки ПДн в ООО «Ассоль» относятся: 4.3.1 Обеспечение соблюдения трудового законодательства РФ; 4.3.2 Подготовка, заключение и исполнение гражданско-правового договора; 4.3.3 Подбор персонала (соискателей) на вакантные должности Оператора; 4.3.4 Ведение кадрового делопроизводства в соответствии с архивным законодательством по лицам, уволенным с занимаемой должности; 4.3.5 Заключение и исполнение договоров с контрагентом - индивидуальным предпринимателем и осуществления расчётов с ним; 4.3.6. Взаимодействие с родственниками сотрудников; 4.3.7. Рассмотрение обращений работника/ физического лица (пациента), законного представителя пациента, представителя пациента по доверенности; 4.3.8. Исполнение обязанностей, возложенных законодательством РФ, в том числе связанных с представлением ПДн в налоговые органы, Социальный Фонд РФ, а также в иные государственные органы, в том числе и по лицам, уволенным с занимаемой должности; 4.3.9 Заполнение первичной статистической документации в соответствии с трудовым, налоговым законодательством и иными федеральными законами. 5. Субъекты и категории обработки ПДн 5.1. Обеспечение соблюдения трудового законодательства РФ 5.1.1. Субъекты, ПДн которых обрабатывается - работники оператора, соискатели, родственники работников, уволенные работники. 5.1.2. ПДн, которые обрабатываются: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; имущественное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; данные документа, удостоверяющего личность; данные водительского удостоверения; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; сведения о социальных льготах; данные полиса обязательного медицинского страхования; сведения медицинских заключений, предъявляемых работником при заключении трудового договора или в период его действия; номер расчетного счета; сведения, содержащиеся в медицинском заключении установленной формы об отсутствии у гражданина заболевания, препятствующего трудоустройству; фотографии. 5.2. Обеспечение соблюдения законодательства РФ в сФере здравоохранения. 5.2.1. Субъекты, ПДн которых обрабатывается - пациенты (клиенты), выгодоприобретатели по договорам, законные представители, представители по доверенности. 5.2.2. ПДн, которые обрабатываются: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, содержащиеся в свидетельстве о рождении; место работы; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); данные полиса добровольного медицинского страхования; 5.2.3. Специальные категории ПДн - сведения о состоянии здоровья. 5.3. Подбор персонала (соискателей) на вакантные должности оператора. 5.3.1. Субъекты, ПДн которых обрабатывается - соискатели. 5.3.2. ПДн, которые обрабатываются: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; данные документа, удостоверяющего личность; данные водительского удостоверения; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; квалификация, информация о характере, репутации и личных качествах. 5.4. Ведение кадрового и бvхгалтерского учета. 5.4.1. Субъекты, ПДн которых обрабатывается -работники, соискатели, родственники работников, уволенные работники, контрагенты, клиенты. 5.4.2. ПДн, которые обрабатываются: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; данные документа, удостоверяющего личность; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; данные водительского удостоверения; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; фото-видео изображение лица; 5.5. Заключение и исполнение договоров с контрагентом - индивидуальным предпринимателем и осуществления расчётов с ним. 5.5.1. Субъекты, ПДн которых обрабатывается - контрагенты. 5.5.2. ПДн, которые обрабатываются: фамилия, имя, отчество; адрес электронной почты; адрес регистрации; номер телефона; ИНН; данные документа, удостоверяющего личность; Основной государственный регистрационный номер индивидуального предпринимателя (ОГРНИП); 5.6. Взаимодействие с родственниками сотрудников. 5.6.1. Субъекты, ПДн которых обрабатывается - родственники работников. 5.6.2. ПДн, которые обрабатываются: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; семейное положение; 5.7. Рассмотрение обращения работника/ Физического лица (пациента), законного представителя пациента, представителя пациента по доверенности. 5.7.1. Субъекты, ПДн которых обрабатывается - работники, клиенты, выгодоприобретатели по договорам, законные представители, представители клиентов по доверенности. 5.7.2. ПДн, которые обрабатываются: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения ; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; данные документа, удостоверяющего личность; данные документа, содержащиеся в свидетельстве о рождении; 5.8. Исполнение обязанностей, возложенных законодательством РФ, в том числе связанных с представлением Пдн в налоговые органы, Социальный Фонд РФ, а также в иные государственные органы, в том числе и по лицам, уволенным с занимаемой должности. 5.8.1. Субъекты, ПДн которых обрабатывается - работники, уволенные работники. 5.8.2. ПДн, которые обрабатываются: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; имущественное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, содержащиеся в свидетельстве о рождении; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете. 5.9. Добровольное медицинское страхование 5.9.1. Субъекты, ПДн которых обрабатывается - пациенты (клиенты). 5.9.2. ПДн, которые обрабатываются: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, содержащиеся в свидетельстве о рождении; место работы; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); данные полиса добровольного медицинского страхования; 5.9.3. Специальные категории ПДн - сведения о состоянии здоровья. 5.10. Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, допускается: в случае, если субъект ПДн дал согласие в письменной форме на обработку своих ПДн; в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством РФ. 6. Порядок и условия обработки ПДн 6.1. Оператор осуществляет обработку ПДн - операции, совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн. 6.2. Обработка ПДн осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом "О персональных данных". 6.3. Обработка ПДн оператором ограничивается достижением конкретных, заранее определенных и законных целей. Обработке подлежат только ПДн, которые отвечают целям их обработки. Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. 6.3.1. Обработка ПДн осуществляется: с добровольного письменного (или постановкой галочки, если данное согласие дается на сайте), согласия субъекта ПДн на обработку его ПДн; в случаях, когда обработка ПДн необходима для осуществления и выполнения возложенных законодательством РФ функций, полномочий и обязанностей; в случаях, когда осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе (далее - ПДн, сделанные общедоступными субъектом ПДн). 6.3.2. Доступ Работников к обрабатываемым ПДн осуществляется в соответствии с их должностными обязанностями и требованиями внутренних регулятивных документов Организации. 6.3.3. Допущенные к обработке ПДн Работники под роспись знакомятся с документами организации, устанавливающими порядок обработки ПДн, включая документы, устанавливающие права и обязанности конкретных Работников. 6.3.4. Организацией производится устранение выявленных нарушений законодательства об обработке и защите ПДи. 6.4. Получение ПДн 6.4.1. Все ПДн получаются от самого субъекта ПДн. Если ПДн субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено согласие. 6.4.2. Оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения ПДн, характере подлежащих получению ПДн, перечне действий с ПДн, сроке, в течение которого действует согласие и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение 6.4.3. С целью осуществления записи на прием к врачу при личном обращении, посредством телефонной связи и в случае записи на прием с использованием Сайта, Приложений и используемых сервисов Оператора, которое допускается только при условии предварительного согласия субъекта ПДн. Все лица, заполнившие сведения, составляющие ПДн на Сайте, в Приложениях и сервисах Оператора, а также разместившие иную информацию, обозначенными действиями (в том числе, проставление галочки) подтверждают свое согласие на обработку ПДн (ФИО, номер телефона, адрес электронной почты) и их передачу Оператору обработки ПДн. 6.5. Обработка метрических данных 6.5.1. На сайтах Организации https://bormedcenter.ru, https://bormeddent.ru применяются следующие инструменты веб-аналитики: ЯндексМетрика (ООО "Яндекс", 119021, город Москва, ул. Льва Толстого, д, 16). Инструменты веб-аналитики отечественные и применяются в целях анализа использования сайта и улучшения его работы. 6.5.2. Обработка файлов cookie Оператором осуществляется в обобщенном виде и никогда не соотносится с личными сведениями Пользователей. На сайтах Организации отображается предупреждение, информирующее пользователей об обработке метрических данных. 6.5.3. При посещении сайтов пользователь дает согласие Оператору на обработку указанных данных с использованием метрических сервисов для анализа использования, измерения и повышение уровня производительности сайта Оператора. Согласие действует с момента его предоставления и в течение всего периода использования сайта Пользователем. 6.5.4. В случае отказа от обработки файлов cookie Пользователю необходимо прекратить использование сайтов Оператора или отключить использование файлов cookie в настройках браузера, при этом некоторые функции сайтов Оператора могут стать недоступны. 6.5.5. Сайт https://bormedcenter.ru расположен на территории РФ, на мощностях ООО «Алроникс», адрес юридический и фактический: 424020, Республика Марий Эл, г.Йошкар-Ола, ул. Свердлова, 46, помещение 1. Почтовый адрес: 424000, Республика Марий Эл. г. Йошкар-Ола, а/я 3, 6.5.6. Сайт https://bormeddent.ru расположен на территории РФ, на облачной платформе Рег.ру (включена в реестр российского ПО Запись №23682 от 29.08.2024). 6.6. Документы, содержащие ПДн, создаются путем: копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство и др.); внесения сведений в учетные формы; получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.) 6.7. Оператор вправе поручить обработку ПДн другому лицу на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта. Лицо, осуществляющее обработку ПДн по поручению оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные Федеральным законом "О персональных данных" 6.8. Оператор при обработке ПДн принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн. 7. Хранение ПДн 7.1. ПДн субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде. 7.2. ПДн, зафиксированные на бумажных носителях, хранятся в запираемых шкафах, либо в запираемых помещениях с ограниченным правом доступа (бухгалтерия, регистратура, архив). 7.3. ПДн субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках (вкладках). В электронном виде документы, содержащие ПДн, разрешается хранить в специализированных базах данных или в специально отведенных для этого директориях с ограничением и разграничением доступа. Копирование таких данных запрещено. 7.4. Не допускается хранение и размещение документов, содержащих ПДн, в открытых электронных каталогах (файлообменниках) в ИСПД. 7.5. Хранение ПДн в форме, позволяющей определить субъекта ПДн, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении, если иное не предусмотрено федеральным законом. 8. Передача ПДн 8.1. Передача (распространение, предоставление, доступ) ПДн, разрешенных субъектом ПДн для распространения, должна быть прекращена в любое время по требованию субъекта ПДн. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПДн, а также перечень ПДн, обработка которых подлежит прекращению. Указанные в данном требовании ПДн могут обрабатываться только оператором, которому оно направлено. 8.2. Организация передает ПДн третьим лицам в следующих случаях: 8.2.1. субъект выразил свое согласие на такие действия; 8.2.2. передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры. 8.3. Перечень лиц, которым передаются ПДн 8.3.1. Третьи лица, которым передаются ПДн: 8.3.2. Налоговые органы РФ (на законных основаниях); 8.3.3. Социальный Фонд РФ (на законных основаниях); 8.3.4. страховые медицинские организации по добровольному медицинскому страхованию (на законных основаниях); 8.3.5. банки для начисления заработной платы (на основании договора); 8.3.6. судебные и правоохранительные органы в случаях, установленных законодательством; 8.3.7. бюро кредитных историй (с согласия субъекта); 8.3.8. юридические фирмы, работающие в рамках законодательства РФ, при неисполнении обязательств по договору займа (с согласия субъекта). 9. Защита ПДн 9.1. В соответствии с требованиями нормативных документов Организацией создана система защиты ПДн (СЗПД), состоящая из подсистем правовой, организационной и технической защиты. 9.1.1. Подсистема правовой защиты представляет собой комплекс правовых, организационно распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД. 9.1.2. Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами, защиты информации в открытой печати, публикаторской и рекламной деятельности, аналитической работы. 9.1.3. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПДн. 9.2. Основными мерами защиты ПДн, используемыми Организацией, являются: 9.2.1. Назначение лица ответственного за обработку ПДн, которое осуществляет организацию обработки ПДн, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите ПДн; 9.2.2. Назначение лица ответственного за обеспечение безопасности ПДн. 9.2.3. Определение актуальных угроз безопасности ПДн при их обработке в ИСПД, и разработка мер и мероприятий по защите ПДн; 9.2.4. Разработка политики в отношении обработки ПДн; 9.2.5. Установление правил доступа к ПДн, обрабатываемым в ИСПД, а также обеспечения регистрации и учета всех действий, совершаемых с ПДн в ИСПД; 9.2.6. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями; 9.2.7. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, учет машинных носителей ПДн, обеспечение их сохранности; 9.2.8. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами; 9.2.9. Сертифицированное программное средство защиты информации от несанкционированного доступа; 9.2.10. Соблюдение условий, обеспечивающих сохранность ПДн и исключающие несанкционированный к ним доступ, оценка эффективности принимаемых и реализованных мер по обеспечению безопасности ПДн 9.2.11. Установление правил доступа к обрабатываемым ПДн, обеспечение регистрации и учета действий, совершаемых с ПДн, а также обнаружение фактов несанкционированного доступа к персональным данным и принятия мер; 9.2.12. Восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; 9.2.13. Обучение работников Организации непосредственно осуществляющих обработку ПДн, положениям законодательства РФ о ПДн, в том числе требованиям к защите ПДн, документами, определяющими политику Организации в отношении обработки ПДн, локальным актам по вопросам обработки ПДн; 9.3. Осуществление внутреннего контроля и аудита 10. Порядок и условия обработки биометрических ПДн 10.1. К биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн. 10.2. Биометрические ПДн ООО «АССОЛЬ» не обрабатываются. 11. Актуализация, исправление, удаление и уничтожение ПДн, ответы на запросы субъектов на доступ к ПДн 11.1. Оператор обязан сообщить в порядке, предусмотренном статьей 14 Федерального закона "О персональных данных", субъекту ПДн или его представителю информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также предоставить возможность ознакомления с этими ПДн при обращении субъекта ПДн или его представителя либо в течение тридцати дней с даты получения запроса субъекта ПДн или его представителя. 11.2. Оператор обязан предоставить безвозмездно субъекту ПДн или его представителю возможность ознакомления с ПДн, относящимися к этому субъекту ПДн. В срок, не превышающий семи рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие ПДн. Оператор обязан уведомить субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы. Порядок доступа субъекта ПДн к его ПДн, обрабатываемым Организацией, определяется в соответствии с законодательством и определяется внутренними регулятивными документами Организации. 11.3. В случае подтверждения факта неточности ПДн оператор на основании сведений, представленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов обязан уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование ПДн. 11.4. Оператор обязан прекратить обработку ПДн или обеспечить прекращение обработки ПДн лицом, действующим по поручению оператора: 11.4.1. в случае выявления неправомерной обработки ПДн, осуществляемой оператором или лицом, действующим по поручению оператора, в срок, не превышающий трех рабочих дней с даты этого выявления; 11.4.2. в случае отзыва субъектом ПДн согласия на обработку его ПДн; 11.4.3. в случае достижения цели обработки ПДн и уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн. 11.5. В случае отсутствия возможности уничтожения ПДн в течение указанного срока оператор осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами. 11.6. Уничтожение документов (носителей), содержащих ПДн производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера. 11.7. ПДн на электронных носителях уничтожаются путем стирания или форматирования носителя. 11.8. Уничтожение производится комиссией. Факт уничтожения ПДн подтверждается документально актом об уничтожении носителей, подписанным членами комиссии. 12. Ответственность Лица, виновные в нарушении норм, регулирующих обработку и защиту ПДн, несут дисциплинарную, материальную, гражданско- правовую, административную и уголовную ответственность в порядке, установленном законодательством РФ и локальными нормативными актами ООО «Ассоль».