Политика конфиденциальности по работе с персональными данными

1. Общие положения

1.1. Политика конфиденциальности по работе с персональными данными (далее по тексту – Политика конфиденциальности) устанавливает порядок обращения с персональными данными сотрудников, контрагентов ООО «МЕДИПАЛ» (далее по тексту - Общество), пользователей сайта www.medipal.ru и иных субъектов персональных данных и определяет основные меры ее защиты с целью предотвращения незаконной передачи, разглашения и иных незаконных действий и нанесения ущерба субъекту персональных данных вследствие неправомерного использования конфиденциальной информации.

1.2. Настоящая Политика конфиденциальности разработана в соответствии с положениями Конституции Российской Федерации, Гражданского кодекса Российской ФедерацииФедерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального законаот 27.07.2006 № 152-ФЗ «О персональных данных», иными нормативно-правовыми актами Российской Федерации в области информационной безопасности.

1.3. Политика является основополагающим локальным актом, регламентирующим деятельность Общества в сфере защиты персональных данных. Требования Политики обязательны для выполнения всеми сотрудниками Общества и его контрагентами и/или иными лицами, в пользовании или в распоряжении которых находятся персональные данные.

1.4. Руководители структурных подразделений Общества несут персональную ответственность за обеспечение режима конфиденциальности на участке деятельности подразделения, организуют выполнение установленных Политикой режимных требований, принимают меры по соблюдению требований, установленных настоящей Политикой.

1.5. Настоящая Политика конфиденциальности вступает в силу с момента ее утверждения, действует бессрочно, до вступления в силу Политики конфиденциальности в новой редакции или до внесения изменений.

1.6. Общество вправе в любое время вносить изменения в Политику конфиденциальности. При изменении Политики конфиденциальности Общество размещает обновленную редакцию Политики на сайте по адресу www.medipal.ru. Предыдущие редакции Политики конфиденциальности хранятся в архиве документации Общества.

2. Термины и определения

Персональные данные (далее - ПДн) - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных). К такой информации, в частности, можно отнести любую предоставленную пользователем информацию: фамилия, имя, отчество, номер телефона, электронная почта, а также другую информацию.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. При этом передача осуществляется в соответствии с законными предписаниями уполномоченных органов или в соответствии с условиями договора, при подписании которого Пользователь дает свое согласие на такую обработку.

Конфиденциальность персональных данных – требования и правила, обязательные для соблюдения сотрудниками Компании, допущенными к обработке персональных данных пользователей, при обработке, хранении ПДн, в том числе требование о недопустимости распространения ПДн без согласия субъекта или иного законного основания, а также обеспечение Компанией необходимого режима сохранности персональных данных пользователя.

Использование персональных данных - действия (операции) с персональными данными, направленные на идентификацию Пользователя с целью предоставления доступа к Сайту и получение подтверждения достоверности указанной Пользователем информации.

Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в автоматизированной системе регистрации и учета Компании или уничтожение материальных носителей персональных данных. Уничтожение данных осуществляется в отношении Заказчиков, с которыми нет действующих договоров и истек срок хранения их данных, или по запросу Заказчика, отзывающего свое согласие на обработку персональных данных.

Информация - сведения (сообщения, данные) независимо от формы их представления.

Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Оператор – ООО «МЕДИПАЛ», самостоятельно или совместно с другими лицами организующее обработку персональных данных, а также определяющее цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Пользователь сайта (далее - Пользователь) – лицо, имеющее доступ к Сайту, посредством сети Интернет и использующее Сайт, субъект персональных данных.

Контрагент — это физическое лицо или индивидуальный предприниматель, с которым Оператор заключил гражданско-правовой договор.

Согласие на обработку персональных данных – письменный или цифровой документ, который подтверждает добровольное решение гражданина передать оператору свою личную информацию для определенных целей или добровольное совершение конклюдентных действий Пользователем при осуществлении обращения на Сайте, а именно проставление отметки в соответствующей графе, которая предусмотрена для выражения Пользователем согласия с обработкой предоставленных им персональных данных (далее – ПДН) и безусловного принятия (акцепта) порядка и условий Пользовательского соглашения и настоящей Политики конфиденциальности по работе с ПДН.

Сайт - веб-сайт, расположенный по адресу: https://www.medipal.ru, собственник Сайта – Общество с ограниченной ответственностью «МЕДИПАЛ», зарегистрированное по адресу: Россия, 105082, Москва, ул. Ф. Энгельса, д. 75, стр. 21.

«Cookies» — небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу сайта www.medipal.ru.

«IP-адрес» — уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP.

3. Состав конфиденциальной информации

3.1. Настоящая Политика конфиденциальности устанавливает обязательства по неразглашению и обеспечению режима защиты конфиденциальности персональных данных, находящиеся в обработке Оператора.

3.2. Персональные данные, разрешенные к обработке в рамках настоящей Политики конфиденциальности, предоставляются:

  • сотрудниками Оператора;
  • контрагентами;
  • Пользователем сайта;
  • иным субъектом персональных данных.

3.3. Персональные данные, обрабатываемые Оператором, включают в себя следующую конфиденциальную информацию:

  • фамилия, имя, отчество (в т. ч. предыдущие);
  • паспортные данные и/или данные документа, удостоверяющего личность, в том числе загранпаспорта;
  • дата рождения, место рождения, пол, гражданство;
  • анкетные и автобиографические сведения;
  • биометрические персональные данные (в том числе в форме фотографий, видеозаписи и т. п.);
  • адрес места жительства (по регистрации и фактический), дата регистрации по указанному месту жительства;
  • адрес личной электронной почты;
  • номер телефона (домашний, мобильный);
  • данные свидетельства о постановке на учет в налоговом органе физического лица по месту жительства на территории РФ (ИНН);
  • данные страхового свидетельства государственного пенсионного страхования;
  • данные страхового медицинского полиса обязательного страхования граждан;
  • данные страхового номера индивидуального лицевого счёта (СНИЛС), в том числе в целях оформления электронной подписи при исполнении трудовых обязанностей и служебных заданий;
  • отношение к воинской обязанности и иные сведения военного билета и приписного удостоверения, а также информация о документе, подтверждающем постановку на воинский учет;
  • информация о наличии водительского удостоверения и идентификационные данные водительского удостоверения; регистрационные и идентификационные данные принадлежащего транспортного средства;
  • данные документов о профессиональном образовании, в том числе номер, серия, дата выдачи документа, подтверждающего получение среднего, среднего профессионального, высшего и т.п. образования; профессиональной переподготовке, повышении квалификации, стажировке, а также данные и реквизиты документа, подтверждающего повышение квалификации и профессиональную переподготовку;
  • данные документов о подтверждении специальных знаний;
  • данные документов о присвоении ученой степени, ученого звания, списки научных трудов и изобретений и сведения о наградах и званиях;
  • данные и информация о владении (знании) иностранных языков;
  • сведения о социальных льготах, пенсионном обеспечении и страховании;
  • данные документов об инвалидности (при наличии), а также сведения об инвалидности ближайших родственников для предоставления льгот, предусмотренных федеральным законодательством РФ и внутренними локальными актами;
  • данные медицинского заключения (при необходимости);
  • семейное положение и данные о составе и членах семьи, в том числе данные о детях, о своей (своем) супруге; близких родственниках (родственниках по прямой восходящей и нисходящей линии (родителях и детях, дедушке, бабушке и внуках), полнородных и неполнородных (имеющих общих отца или мать) братьях и сестрах), а также реквизиты документов, предоставляемых на указанных лиц;
  • стаж работы и другие данные трудовой книжки и вкладыша к трудовой книжке, данные и информация о трудовой деятельности, в том числе о предыдущих местах работы (наименовании организаций, занимаемые должности, сведения о периоде и сроке работы на предыдущих местах; выполняемом функционале, достижениях и иных данных, указанных мной при заполнении анкеты и/или указанных в резюме);
  • данные о юридических лицах, учредителем, участником, акционером, членом, партнером в которых являюсь;
  • место работы по совместительству, если таковое имеется, в том числе наименование организации (индивидуального предпринимателя), занимаемая должность и иные данные, необходимые в соответствии с действующим трудовым законодательством
  • сведения о работе за рубежом (когда, в какой стране, выполняемые функции);
  • сведения о заработной плате (доходах), банковских счетах, картах в целях использования данных счета для перечисления заработной платы, компенсаций и иных выплат и перечислений в соответствии с законодательством, трудовым договором, локальными актами;
  • сведения о последнем месте государственной или муниципальной службы; сведения о работе в качестве медицинского и/или фармацевтического работника; сведения о родственниках, занимающих или занимавших должности государственного или муниципального служащего, являющимися или являвшимся медицинскими или фармацевтическими работниками;
  • сведения о государственных наградах, иных наградах и знаках отличия (кем награжден и когда);
  • классный чин федеральной государственной гражданской службы и (или) гражданской службы субъекта РФ и (или) муниципальной службы, дипломатический ранг, воинское и (или) специальное звание, классный чин правоохранительной службы (кем и когда присвоены);
  • данные о наличии судимостей; данные о существующих (неисполненных) финансовых обязательствах (закладные, ссуды, кредиты и т. п.)
  • информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности;
  • сведения о доходах, в том числе содержание декларации, подаваемой в налоговую инспекцию;
  • сведения о деловых и иных личных качествах, носящих оценочный характер;
  • данные, пересылаемые между серверами Сайта и абонентским устройством Пользователя (ПК, смартфон и т.п.) пользователя (Куки (Cookie));
  • IP-адрес;
  • дополнительные персональные данные субъекта, предоставленные по личной инициативе без истребования таковых Оператором;
  • и иные персональные данные, переданные Оператору на законных основаниях.

4. Мероприятия по защите конфиденциальной информации

4.1. Под защитой персональных данных понимается комплекс мер (организационно-распорядительных, технических и иных), направленных на предотвращение неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий. Порядок проведения организационно - распорядительных и технических мер отражены в локально-нормативном акте – «Политике ООО «МЕДИПАЛ» в отношении обработки и защиты персональных данных».

4.2. Защита персональных данных осуществляется за счёт Оператора в порядке, установленном законодательством РФ.

4.3. Компания при защите персональных данных принимает все необходимые организационно - распорядительные и технические меры, в том числе:

  • антивирусная защита;
  • аудит (мониторинг) защищённости/уязвимости;
  • управление доступом к сети, управление локальной сетью, контроль за помещениями Оператора, где хранятся персональные данные;
  • регистрация и учет персональных данных;
  • обеспечение хранение информации, содержащей персональные данные, исключающее доступ к ним третьих лиц;
  • общий контроль за соблюдением сотрудниками мер по защите персональных данных;
  • защита персональных данных, хранящихся в электронных базах данных Оператора, от несанкционированного доступа, искажения, передачи и уничтожения информации, а также от иных неправомерных действий;
  • передача данных по защищенным каналам связи. Интерфейсы информационных систем защищены по протоколу HTTPS с использованием сертификатов шифрования конечных данных при передаче между сервером хранения и рабочей станции, для передачи информации на оборудование используется обезличенная форма, содержащая только IP-адреса и другие технические атрибуты предоставляемых услуг.
  • лица, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;
  • назначено ответственное лицо за организацию обработки персональных данных;
  • разработаны модели угроз безопасности персональным данным в информационных системах;
  • обеспечивается учет машинных носителей персональных данных;
  • обеспечивается возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • разработаны правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивается регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных.
  • осуществляется внутренний контроль соответствия обработки персональных данных требованиям Федерального закона РФ № 152 «О персональных данных» и принятым в соответствии с ним нормативно правовым актам;
  • исключена возможность неконтролируемого проникновения или пребывания посторонних лиц в помещения, где ведется работа с персональными данными;
  • обеспечена сохранность носителей персональных данных и средств защиты информации.
  • для обеспечения безопасности персональных данных применяются программно-технические средства, прошедшие в установленном порядке процедуру оценки соответствия.

5. Порядок допуска сотрудника к конфиденциальной информации и прекращение допуска

5.1. Основанием для допуска сотрудника Оператора к конфиденциальной информации, содержащей персональные данные, является приказ о допуске к работе с персональными данными.

5.2. До момента издания приказа сотрудник Оператора предоставляет Обязательство о неразглашении информации, содержащей персональные данные.

5.3. Оператор и сотрудник заключают Дополнительное соглашение к трудовому договору, в соответствии с которым сотрудник берет на себя обязательство выполнять требования по обработке персональных данных и обеспечению конфиденциальности персональных данных, установленные локально нормативными актами Оператора - Политикой ООО «МЕДИПАЛ» в отношении обработки и защиты персональных данных, Политикой обработки cookie-файлов, Пользовательским соглашением к сайту, настоящей Политикой конфиденциальности и иными актами, относящиеся к обработке персональных данных, а также выполнять требования Федерального закона РФ № 152 «О персональных данных» и принятым в соответствии с ним нормативно правовым актам.

5.4. Оператор до момента подписания сторонами Дополнительного соглашения к трудовому договору знакомит сотрудника с локальными актами, указанными в п.5.3. настоящей Политики конфиденциальности и предупреждает о дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом и иными федеральными законами.

5.5. Фактический доступ сотрудника к персональным данным в объеме, необходимом для исполнения им должностных обязанностей, организует его непосредственный руководитель.

5.6. Основанием для прекращения доступа к конфиденциальной информации является:

  • приказ о прекращении (расторжении) трудового договора с сотрудником;
  • приказ об отзыве допуска к работе с персональными данными в связи с изменением должностных обязанностей или по иным причинам.

6. Обязанность сотрудника, допущенного к конфиденциальной информации

6.1. Сотрудник, допущенный к работе с персональными данными, обязан:

  • знать и выполнять требования настоящей Политики и других нормативных документов Оператора, регламентирующих вопросы порядка обработки и защиты персональных данных;
  • не разглашать, не передавать персональные данные;
  • соблюдать установленные у Оператора правила работы с персональными данными, порядок их учета, хранения и уничтожения и т.д.;
  • осуществлять работу только с теми персональными данными и информацией, к которым получил допуск в силу своих должностных обязанностей;
  • во время работы с персональными данными принимать меры к исключению возможности ознакомления с ними других лиц, не имеющих к ним прямого отношения;
  • пресекать действия других лиц, которые могут привести к разглашению конфиденциальной информации;
  • предупредить лиц, получающих персональные данные работника, что эта информация может быть использована лишь в целях, для которых она сообщена – более того, работодатель даже может требовать от таких лиц подтверждения того, что это правило соблюдено;
  • документы, содержащие конфиденциальную информацию и находящиеся на исполнении, хранить в соответствии с локально нормативными актами Оператора, определяющими порядок обработки и защиты персональных данных.

6.2. Сотрудникам, допущенным к ПДн, запрещается:

  • передавать ПДн третьим лицам без согласия субъекта персональных данных;
  • работать с документами и иными материалами, содержащими ПДн, вне служебных помещений;
  • обсуждать вопросы, содержащие ПДн в присутствии посторонних лиц;
  • сообщать устно или письменно кому бы то ни было ПДн, если это не обусловлено выполнением служебных обязанностей и отсутствует согласие субъекта персональных данных.

7. Порядок передачи персональных данных третьим лицам

7.1. Оператор вправе осуществлять передачу персональных данных третьим лицам, в том числе в коммерческих целях, только с предварительного письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в других случаях, предусмотренных действующим законодательством Российской Федерации.

7.2. Перед передачей персональных данных Оператор должен предупредить третье лицо о том, что они могут быть использованы только в тех целях, для которых были сообщены субъектом персональных данных третьим лицам. При этом у третьего лица необходимо получить подтверждение того, что такое требование будет им соблюдено.

Не требуется согласие на передачу персональных данных:

  • третьим лицам в целях предупреждения угрозы жизни и здоровью субъекта персональных данных;
  • в Социальный фонд России в объеме, предусмотренном действующим законодательством Российской Федерации;
  • в налоговые органы;
  • в военные комиссариаты;
  • по запросу профессиональных союзов в целях контроля за соблюдением трудового законодательства работодателем;
  • по мотивированному запросу органов прокуратуры;
  • по мотивированному требованию правоохранительных органов и органов безопасности;
  • по запросу от государственных инспекторов труда при осуществлении ими надзорно - контрольной деятельности;
  • по запросу суда;
  • в органы и организации, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом;
  • в случаях, связанных с исполнением сотрудником должностных обязанностей;
  • в кредитную организацию, обслуживающую платежные карты сотрудников.

8. Ответственность за разглашение персональных данных

8.1. Виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующем законодательством Российской Федерации и внутренними локальными актами Компании.

8.2. Оператор несет гражданско-правовую и административную ответственность за нарушение законодательства в области обработки и защиты персональных данных.