Политика обработки персональных данных

1. ОБЩИЕ ПОЛОЖЕНИЯ.

1.1. Правила обработки персональных данных в ООО «Санаторий «Русь» (ИНН 2626039150, Ставропольский край, г. Ессентуки, ул. Пушкина, д. 16), (далее - Правила, Санаторий) устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных, а также определяют для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований.

1.2. Настоящие Правила определяют политику Санатория как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.

1.3. Субъектами персональных данных в Санатории являются:

1.3.1. Кандидаты для приема на работу в Санаторий.

1.3.2. Работники Санатория.

1.3.3. Бывшие работники Санатория.

1.3.4. Члены семей работников Санатория - в случаях, когда согласно законодательству сведения о них предоставляются работником.

1.3.5. гости Санатория, получающие санаторно-курортные услуги.

1.3.6. Иные лица, персональные данные которых Санаторий обязан обрабатывать в соответствии с законодательством Российской Федерации.

1.4. Обработка персональных данных в Санатории осуществляется с соблюдением принципов и условий, предусмотренных настоящими Правилами и законодательством Российской Федерации в области персональных данных.

2. УСЛОВИЯ И ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В СВЯЗИ

С РЕАЛИЗАЦИЕЙ ТРУДОВЫХ ОТНОШЕНИЙ

2.1. Персональные данные субъектов персональных данных, указанных в пункте 3 настоящих Правил, обрабатываются в целях применения и исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ними отношений, в том числе:

- при содействии в трудоустройстве;

- ведении кадрового и бухгалтерского учета;

- содействии работникам в получении образования и продвижении по службе;

- оформлении награждений и поощрений;

- предоставлении со стороны Организации установленных законодательством условий труда, гарантий и компенсаций;

- заполнении и передаче в уполномоченные органы требуемых форм отчетности;

- обеспечении личной безопасности работников и сохранности имущества;

- осуществлении контроля за количеством и качеством выполняемой работы.

2.2. В целях, указанных в пункте 5 настоящих Правил, обрабатываются следующие категории персональных данных работников Санатория и членов их семей, граждан, претендующих на замещение вакантных должностей в Санатории, и членов их семей:

1) фамилия, имя, отчество (при наличии) (в том числе прежние фамилии, имена и (или) отчества, дата, место и причина изменения в случае их изменения);

2) число, месяц, год рождения;

3) место рождения;

4) сведения о гражданстве (в том числе предыдущие гражданства, иные гражданства);

5) сведения об образовании (когда и какие образовательные, научные и иные организации окончил, номера документов об образовании, направление подготовки или специальность по документу об образовании, квалификация);

6) сведения об ученой степени, ученом звании;

7) сведения о профессиональной переподготовке и (или) повышении квалификации;

8) сведения о владении иностранными языками, степень владения;

9) сведения о наличии или отсутствии судимости;

10) сведения о трудовой деятельности (включая работу по совместительству, предпринимательскую и иную деятельность), военной службе;

11) сведения о государственных наградах, иных наградах и знаках отличия;

12) сведения о семейном положении, составе семьи и о лицах, состоящих в близком родстве или свойстве (в том числе бывших);

13) отношение к воинской обязанности, сведения о воинском учете и реквизиты документов воинского учета;

14) адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;

15) номер контактного телефона или сведения о других способах связи;

16) вид, серия, номер документа, удостоверяющего личность, дата выдачи, наименование органа, выдавшего его;

17) реквизиты паспорта гражданина Российской Федерации, удостоверяющего личность гражданина Российской Федерации за пределами территории Российской Федерации (серия, номер, когда и кем выдан);

18) реквизиты страхового свидетельства обязательного пенсионного страхования;

19) идентификационный номер налогоплательщика;

20) реквизиты страхового медицинского полиса обязательного медицинского страхования;

21) реквизиты свидетельств государственной регистрации актов гражданского состояния;

22) сведения об отсутствии у гражданина заболевания, препятствующего поступлению на работу в Санатории;

24) личная фотография;

25) сведения о прохождении гражданской службы (работы), в том числе: дата, основания поступления на гражданскую службу (работу) и назначения на должность гражданской службы, дата, основания назначения, перевода, перемещения на иную должность гражданской службы (работы), наименование замещаемых должностей гражданской службы с указанием структурных подразделений, размера денежного содержания (заработной платы), результатов аттестации на соответствие замещаемой должности гражданской службы, а также сведения о прежнем месте работы;

26) сведения, содержащиеся в трудовом договоре, дополнительных соглашениях к трудовому договору;

27) сведения о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;

28) номер расчетного счета (номера расчетных счетов);

29) номер банковской карты (номера банковских карт);

30) иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 5 настоящих Правил.

2.3. Обработка персональных данных и биометрических персональных данных работников Санатория, и членов их семей, а также граждан, претендующих на замещение вакантных должностей в Санатории, и членов их семей осуществляется исключительно с письменного согласия указанных граждан в рамках целей, определенных пунктом 5 настоящих Правил.

2.4. Обработка персональных данных и биометрических персональных данных работников Санатория, и членов их семей, а также граждан, претендующих на замещение вакантных должностей в Санатории, и членов их семей осуществляется Службой персонала Санатория.

Обработка персональных данных в Санатории включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу, корректировку (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.5. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных работников Санатория и членов их семей, граждан, претендующих на замещение вакантных должностей в Санатории, и членов их семей, осуществляется путем:

1) непосредственного получения подлинников необходимых документов (заявление, трудовая книжка, анкета, иные документы, предоставляемые в кадровую службу);

2) копирования подлинников документов;

3) внесения сведений в учетные формы (на бумажных и электронных носителях);

4) формирования персональных данных в ходе кадровой работы;

5) формирования и обработки персональных данных в ходе реализации полномочий в сфере противодействия коррупции;

2.6. В случае возникновения необходимости получения персональных данных работников Санатория и членов их семей у третьей стороны следует известить об этом работников Санатория заранее, получить их письменное согласие и сообщить им о целях, предполагаемых источниках и способах получения персональных данных.

2.7. Запрещается получать, обрабатывать и приобщать к личному делу работников Санатория и членов их семей персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, частной жизни.

2.8. При сборе персональных данных работник Санатория обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные.

2.9. Передача (распространение, предоставление) и использование персональных данных работников Санатория, и членов их семей, граждан, претендующих на замещение вакантных должностей в Санатории, и членов их семей, осуществляется в соответствии с Федеральным законом "О персональных данных".

3. УСЛОВИЯ И ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ОТДЫХАЮЩИХ (ГОСТЕЙ) В СВЯЗИ С ОКАЗАНИЕМ ИМ САНАТОРНО-КУРОРТНЫХ УСЛУГ.

3.1. В Санатории осуществляется обработка персональных данных отдыхающих (гостей) в связи с оказанием им санаторно-курортных услуг.

3.2. Перечень персональных данных, подлежащих обработке в связи с оказанием санаторно-курортных услуг, включает в себя:

1) фамилию, имя, отчество (при наличии);

2) вид, серию, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дату выдачи;

3) адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;

4) сведения о составе семьи (если отдыхающий прибыл на лечение с семьей);

5) иные сведения, содержащие персональные данные, необходимые в связи с оказанием санаторно-курортных услуг.

3.3. Обработка персональных данных отдыхающих (гостей) в связи с оказанием им санаторно-курортных услуг, в частности сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных, осуществляется должностными лицами Службы приема и размещения (СПиР) Санатория, и Отделом бронирования Санатория путем:

1) получения подлинников необходимых документов;

2) предоставления заверенных копий документов.

3.4. Передача (распространение, предоставление) и использование персональных данных отдыхающих (гостей), полученных в связи с оказанием им санаторно-курортных услуг, осуществляется в случаях и в порядке, предусмотренных законодательством Российской Федерации.

4. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В АВТОМАТИЗИРОВАННЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ

4.1. Должностным лицам Службы приема и размещения (СПиР) Санатория, Службы персонала Санатория, и Отдела бронирования Санатория, имеющим право осуществлять обработку персональных данных в информационных системах Санатория, (далее – должностные лица, имеющие право осуществлять обработку персональных данных), предоставляется уникальный логин и пароль для доступа к соответствующей информационной системе. Доступ предоставляется к прикладным программным подсистемам в соответствии с функциями, предусмотренными должностными регламентами должностных лиц, имеющих право осуществлять обработку персональных данных.

Информация может вноситься как в автоматическом режиме, так и в ручном режиме при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.

4.2. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных Санатория, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:

1) определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных Санатория;

2) применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Санатория;

3) применение прошедших в установленном законодательством Российской Федерации порядке процедур оценки соответствия средств защиты информации;

4) оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учет машинных носителей персональных данных;

6) обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер по их предотвращению и недопущению таких фактов в дальнейшем;

7) восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;

8) установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных Санатория, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных Санатория;

9) контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

5. РАБОТА С ОБЕЗЛИЧЕННЫМИ ДАННЫМИ В СЛУЧАЕ ОБЕЗЛИЧИВАНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Обезличивание персональных данных проводится с целью ведения статистического учета и отчетности, снижения уровня защищенности автоматизированных информационных систем, если иное не предусмотрено законодательством Российской Федерации.

5.2. Обезличивание персональных данных осуществляется в соответствии с приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 5 сентября 2013 г. N 996 "Об утверждении требований и методов по обезличиванию персональных данных" (зарегистрирован Минюстом России 10 сентября 2013 г., регистрационный N 29935).

5.3. Обезличенные персональные данные не подлежат разглашению.

5.4. Обезличенные персональные данные могут обрабатываться с использованием и без использования средств автоматизации.

6. СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Обработка персональных данных работников Санатория и членов их семей осуществляется в течение всего периода работы в Санатории.

6.2. Сроки хранения документов на бумажных и/или электронных носителях, содержащих персональные данные работников Санатория и членов их семей, а также отдыхающих (гостей) прибывших на лечение в Санатории составляют три года, для граждан, претендующих на замещение вакантных должностей в Санатории и членов их семей – один год.

6.3. Персональные данные, полученные Санаторием на бумажном и/или электронном носителях, хранятся в соответствующих структурных подразделениях Санатория.

6.4. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

6.5. Необходимо обеспечивать раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных настоящими Правилами.

6.6. Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют Руководитель Службы приема и размещения Санатория, Руководитель Службы персонала Санатория, Руководитель отдела бронирования.

6.7. Срок хранения персональных данных, внесенных в информационные системы, должен соответствовать сроку хранения бумажных подлинников.

7. ПОРЯДОК УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Документы, содержащие персональные данные, сроки хранения которых истекли, подлежат уничтожению в порядке, установленном Правилами организации хранения, комплектования, учета и использования документов Архивного фонда Российской Федерации.

7.2. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удаления с электронных носителей методами и средствами гарантированного удаления остаточной информации.

8. РАССМОТРЕНИЕ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ ИЛИ ИХ ПРЕДСТАВИТЕЛЕЙ

8.1. Субъекты персональных данных имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных в Санатории;

2) правовые основания и цели обработки персональных данных;

3) применяемые в Санатории способы обработки персональных данных;

4) наименование и место нахождения Санатория, сведения о гражданах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких персональных данных не предусмотрен законодательством Российской Федерации;

6) сроки обработки персональных данных, в том числе сроки их хранения в Санатории;

7) порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации в области персональных данных;

8) информация об осуществленной или предполагаемой трансграничной передаче персональных данных;

9) наименование организации или фамилию, имя, отчество (при наличии) и адрес лица, осуществляющего обработку персональных данных по поручению Санатория, если обработка поручена или будет поручена такой организации или лицу;

10) иные сведения, предусмотренные законодательством Российской Федерации в области персональных данных.

8.2. Субъекты персональных данных вправе требовать от Санатория уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

8.3. Информация, предусмотренная пунктом 33 настоящих Правил, должна быть предоставлена субъекту персональных данных оператором в доступной форме, и в ней не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

8.4. Информация, предусмотренная пунктом 33 настоящих Правил, предоставляется субъекту персональных данных или его представителю Руководителем структурного подразделения Санатория (Руководителем Службы персонала Санатория, Руководителем Службы приема и размещения Санатория, Руководителю Отдела бронирования Санатория), осуществляющего обработку соответствующих персональных данных, при обращении либо при получении запроса субъекта персональных данных или его представителя, содержащего:

1) номер, серию документа, удостоверяющего личность субъекта персональных данных или его представителя, дату выдачи, наименование органа, выдавшего его;

2) информацию, подтверждающую факт обработки персональных данных субъекта персональных данных в Санатории.

Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

8.5. В соответствии с частью 4 статьи 14 Федерального закона "О персональных данных" в случае если информация, предусмотренная пунктом 33 настоящих Правил, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных, субъект персональных данных вправе повторно обратиться в Санатории лично или направить повторный запрос, в целях получения указанной информации и ознакомления с персональными данными, не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен законодательством Российской Федерации или договором, стороной которого либо выгодоприобретателем, либо поручителем по которому является субъект персональных данных.

8.6. Субъект персональных данных вправе повторно обратиться в Санатории лично или направить повторный запрос в целях получения информации, предусмотренной пунктом 33 настоящих Правил, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 37 настоящих Правил, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 39 настоящих Правил, должен содержать обоснование направления повторного запроса.

8.7. Санатории вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 37 и 38 настоящих Правил, в соответствии с частью 6 статьи 14 Федерального закона "О персональных данных". Такой отказ должен быть мотивированным.

8.8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона "О персональных данных", в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

9. ПОРЯДОК ДОСТУПА В ПОМЕЩЕНИЯ, В КОТОРЫХ ВЕДЕТСЯ ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Нахождение в помещениях, в которых ведется обработка персональных данных, лиц, не являющихся работниками Санатория, уполномоченными на обработку персональных данных, возможно в присутствии работника, уполномоченного на обработку персональных данных, на время, ограниченное необходимостью решения вопросов, связанных с предоставлением персональных данных.

9.2. Ответственность за соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных, возлагается на Руководителя Службы приема и размещения (СПиР) Санатория, Руководителя Службы персонала Санатория и Руководителя отдела бронирования Санатория.

10. ЛИЦО, ОТВЕТСТВЕННОЕ ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. Лицо, ответственное за организацию обработки персональных данных в Санатории (далее - ответственный за обработку персональных данных), назначается приказом директора Санатория.

10.2. Ответственный за обработку персональных данных в своей работе руководствуется законодательством Российской Федерации в области персональных данных и настоящими Правилами.

10.3. Ответственный за обработку персональных данных обязан:

1) организовывать принятие правовых, организационных и технических мер для обеспечения защиты персональных данных, обрабатываемых в Санатории, от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;

2) осуществлять внутренний контроль за соблюдением работниками, уполномоченными на обработку персональных данных, требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;

3) доводить до сведения работников, уполномоченных на обработку персональных данных, положения законодательства Российской Федерации в области персональных данных, настоящие Правила, требования к защите персональных данных;

4) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов в Санатории;

5) в случае нарушения в Санатории требований к защите персональных данных принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.

46. Ответственный за обработку персональных данных вправе:

1) иметь доступ к информации, касающейся обработки персональных данных в Санатории и включающей:

цели обработки персональных данных;

категории обрабатываемых персональных данных;

категории субъектов персональных данных, персональные данные которых обрабатываются;

правовые основания обработки персональных данных;

перечень действий с персональными данными, общее описание используемых в Санатории способов обработки персональных данных;

описание мер, предусмотренных статьями 18.1 и 19 Федерального закона "О персональных данных", в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

дату начала обработки персональных данных;

срок или условия прекращения обработки персональных данных;

сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных при их обработке в информационных системах персональных данных, установленными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257);

2) привлекать к реализации мер, направленных на обеспечение безопасности персональных данных, обрабатываемых в Санатории, иных работников Санатория.

10.4. Ответственный за обработку персональных данных несет ответственность за ненадлежащее выполнение функций по организации обработки персональных данных в Санатории в соответствии со статьей 24 Федерального закона "О персональных данных".