ПОЛОЖЕНИЕ О ЗАЩИТЕ И ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Общие положения
1.1. Настоящее Положение (Политика) является локальным правовым актом ООО «Эндомед - Крым», являющегося оператором персональных данных, и определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и состав обрабатываемых персональных данных, действия и операции, совершаемые с персональными данными, права субъектов персональных данных, а также содержит сведения о реализуемых требованиях к защите персональных данных.
1.2. Настоящее Положение (Политика) разработано в целях:
- регламентации порядка осуществления операций с персональными данными;
- обеспечения требований закона № 152-ФЗ и иных правовых актов, регулирующих правоотношения по обработке персональных данных;
- закрепления прав и обязанностей сотрудников ООО «Эндомед - Крым» по вопросам обработки персональных данных;
- установления механизмов распределения ответственности среди сотрудников (должностных лиц) ООО «Эндомед - Крым» за организацию и исполнение требований локальных актов, а также требований законодательства, регулирующего обработку персональных данных.
1.3. Локальные нормативные акты и иные документы, регламентирующие обработку персональных данных в ООО «Эндомед - Крым», в том числе при их обработке в информационных системах, содержащих персональные данные, разрабатываются с учетом требований настоящего Положения (Политики).
1.4. В Положении (Политике) используются следующие основные термины:
- персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
- оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;
- автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
- распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.5. Настоящее Положение (Политика) вступает в силу в момент его утверждения приказом директора ООО «Эндомед - Крым» и действует бессрочно до замены новым локальным правовым актом аналогичного назначения.
1.6. Все сотрудники (должностные лица) ООО «Эндомед - Крым» должны быть ознакомлены с настоящим Положением (Политикой) под роспись.
1.7. Основные обязанности ООО «Эндомед - Крым» в сфере обработки персональных данных:
1.7.1. сотрудники (должностные лица), в обязанности которых входит обработка запросов и обращений субъектов персональных данных, обязаны в пределах полномочий обеспечить каждому субъекту:
- возможность ознакомления с документами и материалами, содержащими их персональные данные, если иное не предусмотрено законом, в соответствии с регламентом реагирования на запросы субъектов персональных данных.
- не принимать решения, порождающие юридические последствия в отношении субъектов персональных данных или иным образом затрагивающие их права и законные интересы, на основании исключительно автоматизированной обработки.
1.7.2. соблюдение приоритета прав и законных интересов субъектов персональных данных при внедрении мер и механизмов по обработке и защите персональных данных.
1.8. Основным инфраструктурным ресурсом (звеном) ООО «Эндомед - Крым» с помощью которых осуществляются операции по обработке персональных данных являются информационные системы, представляющие собой:
- комплексы автоматизированной обработки персональных данных (позволяющих осуществлять операции с персональными данными в виде файлов, доступ к которым регулируется в соответствии с положениями локальных правовых актов организации, федеральных, региональных и муниципальных НПА);
- документацию на бумажных носителях (доступ к которым также осуществляется в соответствии с положениями локальных правовых актов и законодательства РФ).
2. Критерии отнесения информации (сведений) о субъектах к персональным данным, объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
2.1. Настоящее Положение (Политика) устанавливает, что к персональным данным субъекта относится любая информация о нем, в том числе ФИО, дата рождения, адрес регистрации или проживания, семейное положение, образование, уровень доходов, которые в свою очередь позволяют идентифицировать его.
2.2. Объем персональных данных, обрабатываемых в ООО «Эндомед - Крым», определяется в соответствии с законодательством Российской Федерации, локальными нормативными актами и Уставом организации.
2.3. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в ООО «Эндомед - Крым» не осуществляется.
2.4. В ООО «Эндомед - Крым» обрабатываются персональные данные следующих категорий субъектов:
- сотрудников, родственников сотрудников, лиц, ранее состоявших в трудовых отношениях с ООО «Эндомед - Крым»;
- физических лиц, пациентов, в том числе по договорам гражданско-правового характера;
- контрагентов – физических лиц, представителей и сотрудников контрагентов (юридических лиц).

3. Операции с персональными данными и порядок их осуществления
3.1. В соответствии с настоящим положением в ООО «Эндомед-Крым» осуществляются следующие операции с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), удаление и уничтожение персональных данных.
3.2. В ООО «Эндомед-Крым» категорически запрещено требовать и обрабатывать персональные данные, отражающие личные аспекты жизни, религиозные, политические, философские взгляды.
3.3. Обработка персональных данных осуществляться только на основании письменного согласия субъекта персональных данных за исключением случаев, предусмотренных п.п. 2-11 ч. 1 ст. 6 закона от 27.07.2006 «О персональных данных» № 152-ФЗ.
3.4. Выбор средств и способов передачи персональных данных осуществляется с учетом специфики конкретной информационной системы, а также волеизъявления субъекта персональных данных.
3.5. Если используется цифровая ИС (предназначенная для автоматизированной обработки персональных данных), то передача данных осуществляется в соответствии с действующим законодательством.
3.6. Если используется ИС на основе бумажных носителей, то передача данных осуществляется посредством перемещения или копирования содержимого данных носителей при участии сотрудников (должностных лиц) ООО «Эндомед-Крым», имеющих доступ к соответствующей ИС.
4. Организация доступа к персональным данным
4.1. Доступ к персональным данным сотрудников (должностных лиц) ООО «Эндомед-Крым» не требующий подтверждения и не подлежащий ограничению, имеют:
- директор;
- сотрудники (должностные лица) имеющие доступ на основании приказа;
- субъект персональных данных.
4.2. Доступ к персональным данным для иных лиц может быть разрешен только в случаях, прямо предусмотренных законодательством, а также на основании приказов/распоряжений директора.
5. Информационные системы (ИС), их характеристика,
объем обрабатываемых персональных
5.1. ИС №1 «Кадры»:
Состав и объем персональных данных указанных субъектов определяется в соответствии с требованиями действующего законодательства, в т.ч. трудового.
Перечень действий с ПД:
сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), удаление и уничтожение персональных данных.
Цели обработки персональных данных в ИС:
– ведение кадровой работы и учета, в т.ч. в части выполнения требований трудового законодательства;
– учет рабочего времени работников;
– учет заработной платы работников;
– ведение налогового учета;
– ведение воинского учета;
– предоставление в государственные органы регламентированной отчетности;
– обязательное и добровольное медицинское страхование работников;
– архивное хранение данных;
– содействие работнику в трудоустройстве, обучении, продвижении по службе, пользовании различных льгот.
Получение и обработка персональных данных должны осуществляться исключительно в указанных целях.
Полученные персональные данные, необходимые для достижения вышеуказанных целей, отражаются в личном деле работника в соответствии с требованиями трудового законодательства и внутренних нормативных документах ООО «Эндомед-Крым», регламентирующих кадровое делопроизводство и учет.
Получение персональных данных (документов, на которых они зафиксированы) осуществляется непосредственно от сотрудника ООО «Эндомед-Крым». В случае если предоставление соответствующих данных возможно только от третьих лиц, то сотрудник должен дать письменное согласие на это.
Обрабатываемые в ИС персональные данные относятся к категории общедоступных.
При приеме на работу обрабатываются следующий перечень персональных (анкетные и биографические данные) данных сотрудника:
– общие сведения (Ф.И.О. работника, дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, состав семьи, паспортные данные, адрес места жительства);
– сведения о воинском учете;
– другие данные, необходимые при приеме на работу в соответствии с требованиями трудового законодательства.
Ограничение несанкционированного доступа к персональным данным обеспечивается ООО «Эндомед - Крым» и снимается в момент их обезличивания, а также по истечении 75 лет их хранения, если иное не установлено законом.
Достоверность персональных данных работников ООО «Эндомед-Крым» устанавливается на основании сведений, содержащихся в следующих документах:
- паспорт или иной источник, удостоверяющий личность работника;
- трудовая книжка (за исключением тех случаев, когда ООО «Эндомед-Крым» является для сотрудника первым работодателем, либо участвует в восстановлении утерянной трудовой книжки);
- свидетельство пенсионного страхования;
- военный билет и иные документы воинского учета;
- диплом об образовании;
- свидетельство о наличии ИНН.
Отдельным приказом директора могут быть определены иные документы, которые рассматриваются как носители достоверных персональных данных.
Отдел кадров ООО «Эндомед-Крым» обеспечивает проверку вышеперечисленных документов, содержащих персональные данные сотрудников, на предмет подлинности, а также обеспечивает при необходимости их временное хранение в установленном порядке.
5.2. ИС №2 «Персональные данные физических лиц по договорам гражданско-правового характера; контрагентов – физических лиц и представителей, и работников контрагентов (юридических лиц).»:
Состав и объем персональных данных указанных субъектов определяется в соответствии с внутренними нормативными документами, регламентирующими деятельность по реализации уставных целей, осуществление сделок в соответствии с законодательством Российской Федерации, на основании утвержденных форм документов (договоров/анкет и заявок).
Перечень действий с ПД:
сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), удаление и уничтожение персональных данных.
Цели обработки персональных данных указанных субъектов:
– реализация уставных целей;
– осуществление сделок в соответствии с законодательством Российской Федерации.
Получение и обработка персональных данных должны осуществляться исключительно в указанных целях.
Обрабатываемые в ИС персональные данные относятся к категории общедоступных.
При заключении договоров гражданско-правового характера обрабатываются следующий перечень персональных (анкетных и биографических) данных:
- фамилия, имя, отчество; пол; адрес; место рождения; дата рождения; ИНН; тип документа, удостоверяющего личность; данные документа, удостоверяющего личность; паспортные данные, контактные телефоны.
5.3. ИС №3 «Оказание медицинской помощи»
Состав и объем персональных данных указанных субъектов определяется в соответствии с требованиями действующего законодательства (Федеральный закон "Об основах охраны здоровья граждан в Российской Федерации" от 21.11.2011 N 323-ФЗ).
Перечень действий с ПД:
сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), удаление и уничтожение персональных данных.
Цели обработки персональных данных указанных субъектов:
– реализация прав граждан на медицинскую помощь;
Получение и обработка персональных данных должны осуществляться исключительно в указанных целях.
Обрабатываемые в ИС персональные данные относятся к категории специальных.
Перечень сведений, составляющих ПД:
фамилия, имя, отчество; профессия; адрес проживания; дата рождения; месяц рождения; год рождения; ИНН, паспортные данные, контактные телефоны.
5.4. ИС №4 «Обращения граждан»
Состав и объем персональных данных указанных субъектов определяется в соответствии с требованиями действующего законодательства (Федеральный закон "О порядке рассмотрения обращений граждан Российской Федерации" от 02.05.2006 N 59-ФЗ).
Цели обработки персональных данных указанных субъектов:
– реализация прав граждан в соответствии с нормами действующего законодательства;
Получение и обработка персональных данных должны осуществляться исключительно в указанных целях.
Обрабатываемые в ИС персональные данные относятся к категории общедоступных.
Перечень сведений, составляющих ПД:
фамилия, имя, отчество; адрес проживания; паспортные данные, контактные телефоны.
6. Вопросы правового регулирования отношений, связанных с персональными данными и порядок ознакомления работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных
6.1. Основные нормативно-правовые акты, регулирующие вопросы обработки персональных данных и их краткое описание их требований.
6.1.1. Федеральный закон от 27.07.2006 г. N 152-ФЗ «О персональных данных» - устанавливает основные требования, условия, права и обязанности участников правоотношений, связанных с обработкой персональных данных.
6.1.2. Указ Президента Российской Федерации от 6 марта 1997 г. N 188 «Об утверждении Перечня сведений конфиденциального характера» - – устанавливает перечень сведений конфиденциального характера, к которым отнесены (в том числе) сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность.
6.1.3. Постановление Правительства Российской Федерации от 1 ноября 2012 г. N1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» - устанавливает требования к защите персональных данных при их обработке в информационных системах персональных данных.
6.2. Согласно законодательства под обработкой персональных данных подразумеваются действия по сбору, систематизации, накоплению, хранению, уточнению, использованию, передаче, обезличиванию, блокированию и уничтожению персональных данных.
6.3. Законодательство устанавливает требование в части обработки сведений, составляющих персональные данные:
- обработка осуществляется при наличии согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством;
- обработка осуществляется исключительно в объёмах достаточных для достижения цели их обработки.
6.4. Внутренние локальные нормативные акты по вопросам обработки персональных данных должны быть доведены до сведения сотрудников и всех категорий субъектов персональных данных.
6.5. Для защиты персональных данных от несанкционированного доступа в организации применяются все доступные технические меры, связанные с использованием средств защиты информации.
7. Права работников ООО «Эндомед-Крым» по вопросам обработки их персональных данных
7.1. Работник ООО «Эндомед-Крым», передавший обществу свои персональные данные, имеет право:
- на получение доступа к соответствующим данным в любой момент в целях осуществления необходимых операций с ними;
- на бесплатное получение копий файлов или бумажных носителей, содержащих персональные данные;
- требовать от общества дополнительной обработки, блокирования или ликвидации персональных данных, если операции с ними противоречат интересам работника, осуществляются незаконно, а также в случае, если персональные данные недостоверны;
- получать от общества информацию о лицах, имеющих доступ к персональным данным, а также о статистике обращений к персональным данным с их стороны;
- получать от общества информацию о дополнительной обработке, блокировании или ликвидации персональных данных, осуществленных по инициативе общества.
8. Обязанности сотрудников, имеющих доступ к персональным данным
8.1. Сотрудники ООО «Эндомед-Крым» и другие лица, имеющие доступ к персональным данным, обязаны:
- осуществлять операции с персональными данными при соблюдении норм, установленных настоящим Положением (Политикой), а также действующим законодательством;
- информировать руководителя (ответственное лицо) ООО «Эндомед-Крым» о нештатных ситуациях, связанных с операциями с персональными данными;
- обеспечивать конфиденциальность операций с персональными данными;
- обеспечивать сохранность и неизменность персональных данных в случае, если выполняемая задача не предполагает их корректировки или дополнения;
- обеспечить возможность ознакомления с документами и материалами, содержащими их персональные данные, если иное не предусмотрено законом, в соответствии с Регламентом реагирования на запросы субъектов персональных данных.
8.2. Сотрудники ООО «Эндомед-Крым», имеющие доступ к персональным данным сотрудников предприятия, имеют право:
- на приобретение полномочий, необходимых в целях осуществления операций с персональными данными;
- на получение консультационной поддержки со стороны руководства и других компетентных сотрудников в части осуществления операций с персональными данными;
- на выдачу распоряжений и направление предписаний сотрудникам, передающим персональными данные обществу, связанных с необходимостью предоставления дополнительной или уточняющей информации в целях обеспечения корректного осуществления операций с персональными данными.

9. Ответственность сотрудников за нарушения правил осуществления операций с персональными данными
9.1. Сотрудники ООО «Эндомед-Крым» при осуществлении операций с персональными данными несут дисциплинарную, административную, гражданско-правовую, уголовную ответственность за нарушения правил осуществления операций с персональными данными, установленных настоящим Положением (Политикой), а также нормами действующего законодательства.
9.2. Правовые последствия нарушений правил осуществления операций с персональными данными определяются исходя из локальных норм ООО «Эндомед-Крым», а также положений законодательства РФ.

10. Внутренний контроль (аудит). Цель внутреннего контроля (аудита).
10.1. Внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных осуществляется с целью проверки соответствия обработки персональных данных требованиям к защите персональных данных, установленных №152-ФЗ, принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора.
10.2. Внутренний контроль осуществляется на постоянной основе ответственным за обработку персональных данных.
10.3. С целью достижения максимального результата проведения внутреннего контроля может быть утверждён соответствующий план (программа) мероприятий.
10.4. При проведении внутреннего контроля соответствия обработки персональных данных установленным требованиям обеспечивается полное, объективное и всестороннее изучение следующих вопросов:
1) порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке;
2) порядок и условия применения средств защиты информации;
3) эффективность принимаемых мер по обеспечению безопасности персональных данных;
4) состояние учёта машинных носителей персональных данных;
5) соблюдение правил доступа к персональным данным;
6) наличие (отсутствие) фактов несанкционированного доступа к персональным данным.
10.5. Ответственным за организацию обработки персональных данных в ООО «Эндомед-Крым» является директор, если приказами и распоряжениями не установлено иное.
10.6. В качестве одной из мер внутреннего контроля в случаях неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных является проведение внутреннего расследования.