I. Общие положения
Настоящая Политика обработки персональных данных (далее – Политика) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и устанавливает цели, основные принципы, правила и правовые основания обработки персональных данных, а также меры по их защите в ООО «Планета Красоты» (наименование «Эстетик Холл»). Политика направлена на обеспечение защиты прав и свобод субъектов персональных данных, а также выполнение требований законодательства РФ в области обработки и защиты персональных данных. Действие Политики распространяется на все персональные данные, обрабатываемые ООО «Планета Красоты» (наименование «Эстетик Холл»), независимо от формы их представления и способа обработки. Персональные данные обрабатываются только на территории РФ, без трансграничной передачи.
II. Основные понятия
В настоящей Политике используются следующие основные термины: Персональные данные – любая информация, относящаяся к прямо или косвенно определяемому физическому лицу (субъекту персональных данных). Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными. Оператор – ООО «Планета Красоты» (наименование «Эстетик Холл»), самостоятельно или совместно с другими лицами организующее обработку персональных данных. Конфиденциальность персональных данных – обязательное для соблюдения ООО «Планета Красоты» (наименование «Эстетик Холл») требование не раскрывать персональные данные третьим лицам без согласия субъекта, если иное не предусмотрено законодательством РФ.
III. Цели обработки персональных данных Персональные данные в ООО «Планета Красоты» (наименование «Эстетик Холл») обрабатываются в следующих целях:
Подбор персонала – обеспечение эффективного подбора сотрудников для замещения вакантных должностей в клинике.
Оказание медицинских услуг – соблюдение законодательства РФ в сфере здравоохранения, заключение договоров с пациентами и ведение их медицинской документации.
Обработка данных пользователей сайта – обеспечение работы сайта, аналитика посещаемости, оптимизация пользовательского опыта.
Ведение кадрового учета – документальное сопровождение трудовых отношений, формирование базы данных работников и учет кадровой документации.
IV. Категории персональных данных Обрабатываемые персональные данные включают:
Фамилия, имя, отчество
Дата рождения, пол
Контактные данные (номер телефона, адрес электронной почты)
Паспортные данные, СНИЛС, ИНН
Медицинские данные (история болезни, диагнозы, рецепты, страховой полис)
IP-адрес, файлы cookie (при использовании сайта)
Данные о профессиональной деятельности (стаж, квалификация, место работы)
V. Правовые основания обработки персональных данных ООО «Планета Красоты» (наименование «Эстетик Холл») осуществляет обработку персональных данных на основании:
Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»
Трудового кодекса Российской Федерации
Договора с субъектом персональных данных
Согласия субъекта персональных данных
VI. Перечень действий с персональными данными В рамках обработки персональных данных ООО «Планета Красоты» (наименование «Эстетик Холл») осуществляет следующие действия:
Сбор, запись, систематизация
Накопление, хранение, уточнение (обновление, изменение)
Извлечение, использование, передача (распространение, предоставление, доступ)
Обезличивание, блокирование, удаление, уничтожение
VII. Способы обработки персональных данных Обработка персональных данных осуществляется смешанным способом – с использованием средств автоматизации и без них. Обработка персональных данных пациентов ведется с использованием медицинской информационной системы. Данные сайта обрабатываются с использованием аналитических сервисов с учетом требований законодательства о защите персональных данных.
VIII. Обеспечение безопасности персональных данных Для защиты персональных данных ООО «Планета Красоты» (наименование «Эстетик Холл») применяет:
Антивирусную защиту Kaspersky Small Office Security 21
Криптографические средства защиты информации КриптоПро CSP 5.0
Ограничение доступа сотрудников к персональным данным
Физическую защиту серверов
Хранение данных только на территории Российской Федерации
IX. Сроки хранения и прекращение обработки персональных данных Персональные данные хранятся в течение 25 лет, если иное не предусмотрено законодательством. В случае поступления письменного заявления субъекта персональных данных о прекращении обработки его данных, уничтожение производится в течение 3 рабочих дней с составлением соответствующего акта.
X. Ответственность и заключительные положения Лица, виновные в нарушении требований законодательства РФ в области обработки и защиты персональных данных, несут ответственность в соответствии с действующим законодательством. Данная Политика размещена в открытом доступе на официальном сайте ООО «Планета Красоты» (https://estetikholl.com/pnd).
XI. Перечень целей обработки персональных данных, состав персональных данных и категории субъектов
Обеспечение соблюдения законодательства РФ в сфере здравоохранения
Категории персональных данных: Фамилия, имя, отчество; год, месяц, дата рождения; место рождения; пол; адрес электронной почты; адрес места жительства; адрес регистрации; СНИЛС; ИНН; данные документа, удостоверяющего личность; данные свидетельства о рождении; профессия; должность; сведения, собираемые посредством метрических программ.
Специальные категории ПД: Сведения о состоянии здоровья; медицинские диагнозы; результаты лабораторных и инструментальных исследований; сведения о назначенных медикаментах; данные о хронических заболеваниях; сведения о проведенных медицинских манипуляциях; информация о страховом полисе; данные о прививках.
Категории субъектов: Клиенты; законные представители.
Правовое основание: ФЗ № 323ФЗ от 21.11.2011; ФЗ № 152ФЗ от 27.07.2006.
Перечень действий: Сбор; запись; систематизация; накопление; хранение; уточнение; извлечение; использование; передача; удаление; уничтожение.
Способы обработки: Смешанная; внутренняя сеть; Интернет.
Срок хранения: 25 лет или до отзыва согласия.
Обеспечение эффективного подбора персонала
Категории ПД: ФИО; год, месяц, дата рождения; место рождения; семейное и социальное положение; пол; адрес электронной почты; адрес проживания; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные паспорта; данные свидетельства о рождении; реквизиты банковской карты; номера расчетного и лицевого счетов; профессия; должность; сведения о трудовой деятельности.
Специальные категории ПД: Сведения о состоянии здоровья; сведения о судимости.
Категории субъектов: Соискатели.
Правовое основание: ТК РФ; ФЗ № 152ФЗ.
Перечень действий: Сбор; запись; систематизация; накопление; хранение; уточнение; использование; удаление; уничтожение.
Способы обработки: Смешанная; без внутренней передачи; Интернет.
Срок хранения: 3 года с момента завершения отбора или до отзыва согласия.
Обеспечение функционирования и оптимизации работы сайта
Категории ПД: ФИО; год, месяц, дата рождения; номер телефона; метрики посещаемости; IP-адрес; файлы cookie; данные о местоположении; сведения о поведении пользователя; информация об устройстве и браузере.
Категории субъектов: Посетители сайта.
Правовое основание: ФЗ № 152ФЗ.
Перечень действий: Сбор; запись; систематизация; накопление; хранение; уточнение; использование; блокирование; удаление; уничтожение; распространение.
Способы обработки: Автоматизированная; внутренняя сеть; Интернет.
Срок хранения: До достижения целей обработки или удаления файлов cookie.
Обеспечение соблюдения трудового законодательства РФ
Категории ПД: ФИО; год, месяц, дата рождения; место рождения; пол; адрес проживания; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные паспорта; данные свидетельства о рождении; реквизиты банковской карты; номера расчетного и лицевого счетов; профессия; должность; сведения о трудовой деятельности.
Специальные категории ПД: Сведения о состоянии здоровья.
Категории субъектов: Работники; уволенные работники.
Правовое основание: ТК РФ; ФЗ № 152ФЗ.
Перечень действий: Сбор; запись; систематизация; накопление; хранение; уточнение; использование; блокирование; удаление; распространение.
Способы обработки: Смешанная; внутренняя сеть; Интернет.
Срок хранения: В течение трудовых отношений и 75 лет после увольнения.
Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона « Оперсональных данных»: Разработано и утверждено Положение об обработке персональных данных. Обязательство о неразглашении конфиденциальной информации, должностные инструкции, согласие на обработку ПД. Назначено лицо, ответственное за организацию обработки персональных данных. Опубликован и размещен на стенде, сайте организации документ, определяющий политику в отношении обработки персональных данных. Разработаны локальные акты по вопросам обработки персональных данных. Осуществляется внутренний контроль соответствия обработки персональных данных Федеральному закону от 27.07.2006 Nº 152-Ф3 « О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных. Работники, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику организации в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных. Разработана модель угроз безопасности в информационной системе . Обеспечивается учет машинных носителей персональных данных. Обеспечивается восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним. Разработаны правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивается регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных. Локальные акты, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Утверждена оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей. средства обеспечения безопасности: Электронная цифровая подпись; антивирусные средства защиты информации; идентификация и проверка подлинности пользователя при входе в информационную систему по паролю условно-постоянного действия.
Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ : Определены места хранения персональных данных (материальных носителей). Определен перечень лиц , осуществляющих обработку персональных данных и имеющих к ним доступ. Обеспечено раздельное хранение персональных данных (материальных носителей ), обработка которых осуществляется в различных целях. Обеспечен учет материальных носителей. Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах, учтены в соответствующих журналах. Исключена возможность неконтролируемого проникновения или пребывания посторонних лиц в помещения, где ведется работа с персональными данными. Обеспечена сохранность носителей персональных данных и средств защиты информации. Лица, осуществляющие обработку ПДн без использования средств автоматизации проинформированы о факте обработки ими персональных данных, а так же об особенностях и правилах осуществления такой обработки, доступ к конфиденциальной информации ограничен. Персональные данные доступны для строго определенного круга сотрудников, в здании установлены охранная и пожарная сигнализации, сведения на бумажных носителях хранятся в сейфах или запирающихся металлических шкафах, определены места хранения персональных данных, физическая охрана информационной системы (технических средств и носителей информации), предусматривающая контроль доступа в помещения информационной системы посторонних лиц , наличие надежных препятствий для несанкционированного проникновения в помещения информационной системы и хранилище носителей информации; учет всех защищаемых носителей информации
Порядок уничтожения персональных данных, предусмотренных для всех целей обработки
Порядок уничтожения персональных данных, предусмотренных для всех целей обработки
Основания для уничтожения персональных данных
Персональные данные, обрабатываемые в ООО «Планета красоты», подлежат уничтожению в следующих случаях:
при достижении целей обработки персональных данных (в том числе по истечении установленных сроков хранения);
в случае отзыва субъектом согласия на обработку своих персональных данных, если это согласие является обязательным условием обработки;
при невозможности устранения нарушений, допущенных при обработке персональных данных;
при выводе из эксплуатации машинных носителей информации;
в случае получения предписания от Роскомнадзора о прекращении обработки (уничтожении) персональных данных.
Если уничтожение персональных данных в указанные сроки невозможно, ООО «Планета красоты» обязано уничтожить персональные данные в срок, не превышающий шести месяцев с даты возникновения основания для их уничтожения. Обоснование невозможности уничтожения персональных данных в установленные сроки должно быть документально оформлено.
Персональные данные в ООО «Планета красоты» могут содержаться в следующих хранилищах:
на съемных машинных носителях;
в базах данных сервисов и информационных систем персональных данных;
на бумажных (материальных) носителях.
Порядок выявления неправомерной обработки персональных данных установлен в следующих документах:
Политика обработки персональных данных ООО «Планета красоты»;
Порядок проведения проверок по обработке и защите персональных данных в ООО «Планета красоты»;
Положение о порядке взаимодействия с субъектами персональных данных по вопросам обработки персональных данных в ООО «Планета красоты».
Достижение цели обработки персональных данных
При достижении целей обработки персональных данных ООО «Планета красоты» уничтожает персональные данные или обеспечивает их уничтожение (если обработка осуществлялась другим лицом по поручению оператора) на ежегодной основе.
В начале каждого года сотрудник, ответственный за организацию обработки персональных данных, организовывает инвентаризацию документов, информационных ресурсов и носителей информации с целью выделения к уничтожению.
Цели обработки персональных данных определены в документах, регулирующих обработку персональных данных в ООО «Планета красоты».
Отзыв субъектом согласия на обработку персональных данных
В случае отзыва субъектом персональных данных согласия на их обработку ООО «Планета красоты» уничтожает персональные данные или обеспечивает их уничтожение в срок, не превышающий 30 дней с даты поступления указанного отзыва.
Процедура обработки обращений об отзыве согласия определена в документе «Положение о порядке взаимодействия с субъектами персональных данных в ООО «Планета красоты».
Невозможность устранения нарушений, допущенных при обработке
Если устранение нарушений, допущенных при обработке персональных данных, невозможно, ООО «Планета красоты» уничтожает персональные данные или обеспечивает их уничтожение в срок, не превышающий 10 рабочих дней с момента выявления факта неправомерной обработки.
Получение предписания о прекращении обработки персональных данных от Роскомнадзора
В случае получения предписания о прекращении обработки (уничтожении) персональных данных от Роскомнадзора, ООО «Планета красоты» уничтожает персональные данные или обеспечивает их уничтожение в срок, не превышающий 10 рабочих дней с даты получения предписания.
Уничтожение персональных данных в электронной форме
Уничтожение персональных данных в ООО «Планета Красоты» проводится ежегодно и подтверждается комиссией в составе не менее 3 человек.
В состав комиссии включаются:
гланый врач медицинского учереждния;
сотрудник, ответственный за организацию обработки персональных данных;
сотрудник, ответственный за безопасность персональных данных.
Уничтожение информации на выведенных из эксплуатации машинных носителях выполняется уполномоченным сотрудником, ответственным за безопасность персональных данных, в течение 10 рабочих дней с момента вывода из эксплуатации. Уничтожение осуществляется физическим или с использованием специализированного программного обеспечения.
Уничтожение персональных данных на съемных и эксплуатируемых машинных носителях выполняется путем надежного стирания соответствующих файлов (например, средствами WIPE или sdelete).
Уничтожение персональных данных в базах данных информационных систем должно предусматривать:
удаление записей в основной базе данных;
удаление записей в резервных (тестовых) копиях базы данных;
удаление снапшотов виртуальных машин, дисковых томов.
Удаление данных исключает возможность их восстановления и дальнейшего доступа.
Уничтожение данных в резервных копиях должно выполняться в соответствии с внутренними регламентами безопасности.
По результатам уничтожения персональных данных составляется акт уничтожения в зависимости от типа носителя.
Уничтожение документов, содержащих персональные данные
Документы на бумажных носителях, содержащие персональные данные, подготавливаются к уничтожению ответственным сотрудником и представляются руководителю подразделения не реже 1 раза в год.
По факту уничтожения составляется Акт об уничтожении документов с истекшим сроком хранения, который подписывают:
сотрудник, ответственный за обработку персональных данных;
руководитель подразделения.
Акты об уничтожении документов с истекшим сроком хранения хранятся постоянно у руководителя подразделения.
В случае необходимости частичного уничтожения персональных данных (при возможности сохранения иных данных на материальном носителе) допускается избирательное удаление.
Бумажных документов уничтожаются при помощи шредеров 4 уровня сокрытия.