8(84552) 3-65-55, 8-927-140-41-50

ООО «Агидель»

Политика конфиденциальности

1. Основные понятия, термины, определения и сокращения

Для целей настоящей политики используются следующие основные понятия:

1.1. Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому или юридическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

1.2. Субъект - физическое или юридическое лицо, по которому проводится сбор информации, включающей персональные данные.

1.3. Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

1.4. Информационная система персональных данных (далее - ИСПДн) - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

1.5. Обработка персональных данных без использования средств автоматизации (неавтоматизированная) - обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

1.6. Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных.

1.7. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

1.8. Уполномоченное оператором лицо – лицо, которому на основании договора оператор поручает обработку персональных данных.

1.9. Общество – ООО «Агидель»

1.10. Клиенты - физические или юридические лица, с которыми у Общества установлены в настоящее время или были установлены гражданско-правовые отношения, либо которые своими действиями выражают намерение установить такие отношения.

1.11. Посетители – физические лица, в отношении которых осуществляются мероприятия по контролю доступа на защищаемые объекты доступа Общества.

1.12. Сотрудник – штатные Работники Общества, с которыми заключен трудовой договор с ООО «Агидель». Перечень обрабатываемых персональных данных, подлежащих защите в ООО «Агидель», формируется в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», Уставом и внутренними нормативными документами Общества.

1.13. Используемые сокращения - ИСПДн - информационная система персональных данных - ПДн - персональные данные клиентов.

1.14. Специальные категории ПДн Запрещается обрабатывать ПДн о политических, религиозных и философских убеждениях, а также об интимной жизни клиента Общества. Указанные специальные категории ПДн в деятельности Общества не используются и не обрабатываются. Общество не вправе производить обработку данных о судимости клиента, за исключением в случаях и в порядке, которые определяются в соответствии с Федеральными законами. Данные о здоровье обрабатываются только в том случае, если эти данные прямо относятся к возможности Клиента исполнять свои обязательства перед Обществом либо используются в целях исполнения требований действующего законодательства, например, в соответствии с законодательством о транспортной безопасности, обязательных видов страхования, со страховым законодательством. Сведения о расовой и национальной принадлежности Клиентов общества не обрабатываются. Фотографии, находящиеся в документах, удостоверяющего личность клиента Общества, и иные аналогичные данные не относятся к сведениям о расовой и национальной принадлежности. В случае если обработка специальных категорий ПДн Клиента Общества необходима по действующему законодательству или для осуществления деятельности Общества, то такая обработка осуществляется с письменного согласия клиента, за исключением случаев, предусмотренных законодательством Российской Федерации в области ПДн.

1.15. Биометрические ПДн Общество не обрабатывает сведения, которые характеризуют физиологические особенности клиентов и на основе которых можно установить их личность. В соответствии с требованиями ГОСТ Р ИСО/МЭК 19794-5-2006 «автоматическая идентификация. Идентификация биометрическая. Данные изображения лица» система охранного видеонаблюдения, используемая в Обществе, не обрабатывает биометрические ПДн, на основании которых, возможно идентифицировать личность клиента Общества. Сканирование фотографий в документах, идентифицирующих личность клиентов (например паспорт, водительские права, удостоверения личности, удостоверение врача, удостоверение пенсионера и ветерана труда, инвалида) в обществе не осуществляется. Передаваемые в рамках договоров копии документов клиентов не соответствуют требованиям, предъявляемым к форматам записи изображения, установленным ГОСТ Р ИСО/МЭК 19794-5-2006. В случае обработки биометрических ПДн клиента Общества необходима по действующему законодательству или для осуществления деятельности Общества, то такая обработка осуществляется с письменного согласия клиента, за исключением случаев, предусмотренных законодательством Российской Федерации в области ПДн.

1.16. Общедоступные ПДн В целях информационного обеспечения могут создаваться общественные общедоступные источники ПДн (в том числе справочники, адресные книги). В общедоступные источники ПДн с письменного согласия клиента могут включаться его фамилия, имя, отчество, год и место рождения, адрес, включая адрес электронной почты, клиентский номер,IP-адрес, сведения о профессии и иные ПДн, сообщаемые субъектом ПДн или находящиеся в Перечне ПДн. Сведения о клиенте Общества должны быть в любое время исключены из общедоступных источников ПДн по запросу клиента либо по решению суда или иных уполномоченных государственных органов. В случае обработки общедоступных ПДн клиента обязанность доказывания того, что обрабатываемые ПДн являются общедоступными, возлагается на общество.

2. Общие положения

2.1. Настоящий документ определяет политику ООО «Агидель» в отношении обработки персональных данных клиентов – представителей физических и юридических лиц, которые могут быть получены от субъекта либо представителя субъекта персональных данных, являющегося стороной по гражданско-правовому договору с обществом, либо от юридического лица, вступившего с ООО «Агидель» в гражднско – правовые отношения, от субъекта персональных данных, являющегося посетителем ООО «Агидель». Настоящая Политика устанавливает требования к обеспечению безопасности персональных данных при их обработке в ИСПДн, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием и без использования средств автоматизации в ООО «Агидель».

2.3. Настоящая Политика в отношении персональных данных разработана в соответствии с частью 2 статьи 18.1Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» Политика конфиденциальности ООО «Агидель» определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

2.4. Действие политики распространяется на все персональные данные субъектов, обрабатываемые ООО «Агидель» с применением средств автоматизации и без применения таких средств.

2.5. Для регламентирования процедур и процессов обработки ПДн ООО «Агидель» вправе издавать внутренние нормативные документы, содержащие требования по защите и порядку обработки ПДн.

2.6. Настоящая политика вводится в действие приказом директора ООО «Агидель».

3. Условия обработки персональных данных

3.1.Условия обработки персональных данных ООО «Агидель» подготовлены на основании: - Постановления Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», - Постановления Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

3.2. Обработка персональных данных в ООО «Агидель» осуществляется на основе принципов: - законности целей и способов обработки ПДн; - соответствия целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн, а также полномочиям Общества; - соответствия объема и характера обрабатываемых ПДн, способов обработки ПДн целям обработки ПДн; - достоверности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн; - недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем ПДн.

3.3. хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели их обработки.

3.4. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3.5. Субъект ПДн является собственником своих и самостоятельно решает вопрос передачи Обществу своих ПДн.

3.6. Держателем ПДн является Общество, которому субъект ПДн передает во владение свои ПДн. Общество выполняет функцию владения этими данными и обладает полномочиями распоряжения ими в пределах, установленных законодательством.

3.7. Обработка ПДн клиентов осуществляется с их согласия, также в иных случаях, предусмотренных частью 2 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Согласие на обработку ПДн может быть дано клиентом или его законным представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку ПДн от представителя клиента полномочия данного представителя проверяются Обществом. Форма согласия может быть в письменной, конклюдентной или иной форме, предусмотренной действующим законодательством. При недееспособности клиента письменное согласие на обработку его ПДн дает его законный представитель.

3.8. Конклюдентная форма согласия. В соответствии со статьей 158 Гражданского кодекса Российской Федерации конклюдентное или подразумеваемое согласие – это действия лица, выражающие его волю установить правоотношение (например, совершить сделку), но не в форме устного или письменного волеизъявления, а поведением, по которому можно сделать заключение о таком намерении. Клиенты Общества дают конклюдентное согласие на обработку их ПДн в том числе в следующих случаях: заполнение «Книги отзывов и предложений», заполнение анкет, в том числе на Web-сайте Общества. Цель обработки Предоставление информации об услугах, которые могут представлять интерес Обществу: исследование индекса удовлетворенности потребителей качеством предоставляемых услуг, рейтинговая оценка сотрудников. При этом обрабатываются ПДн: фамилия, имя, отчество, телефон, адрес электронной почты клиента.

3.9. Общество вправе выступать агентом по обработке персональных данных по поручению Оператора – юридического лица на основании заключенного с Оператором договора. В данных конкретных случаях Оператором являются страховые компании (ДМС). Общество, при осуществлении обработки ПДн по поручению оператора, обязано выполнять требования Оператора и соблюдать принципы и правила обработки ПДн. Предусмотренные Федеральным законом «О персональных данных» и не обязательно получать согласие субъекта ПДн на обработку его ПДн.

4. Цели и сроки обработки персональных данных

4.1. Общество обрабатывает ПДн с целью осуществления возложенных на Общество законодательством Российской Федерации функций в соответствии с (в том числе, но, не ограничиваясь), Гражданским кодексом Российской Федерации, Налоговым кодексом Российской Федерации, федеральными законами, в частности, «О правах потребителей», «О персональных данных», «О бухгалтерском учете», «О противодействии легализации (отмыванию) доходов, полученных нелегальным преступным путем, и финансированию терроризма», принятыми в их исполнение нормативными актами Правительства России, проведения маркетинговых мероприятий для установления и дальнейшего укрепления отношений путем прямых контактов с клиентом, проведение статистической обработки ПДн для оценки удовлетворенности клиентом качеством и уровнем оказания услуг и в иных целях в рамках действующего законодательства.

4.2. Общество собирает ПДн в объеме необходимом для достижения названных целей, допускаются иные цели, если не противоречат действующему законодательству, но только с письменного согласия клиента.

4.3. Сроки обработки персональных данных определяются в соответствии со сроком действия гражданско – правовых отношений между субъектом ПДн и Обществом, сроком исковой давности, сроками. Указанными в согласии субъекта ПДн, установленными приказами Приказом Минкультуры РФ от 25.08.2010 №558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», а также иными требованиями законодательства РФ и нормативными документами Общества.

4.4. В Обществе создаются и хранятся документы, содержащие сведения о субъектах ПДн. Требования к использованию в Обществе данных типовых форм документов установлены Постановлением Правительства РФ от 15.09.2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

5. Права и обязанности

5.1. Обязанности Общества: - предоставлять субъекту ПДн по его запросу информацию, касающуюся обработки его ПДН, либо на законных основаниях предоставить отказ; - по требованию субъекта ПДн уточнять обрабатываемые персональные данные, блокировать или удалять, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки; - вести Журнал учета обращений субъектов ПДн, в котором должны фиксироваться запросы субъекта ПДн на получение информации о ПДн, а также факты предоставления ПДн по этим запросам; - уведомлять субъекта ПДн об обработке ПДн в том случае, если ПДн были получены не от субъекта ПДн; - в случае достижения цели обработки ПДн незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено законодательством Российской Федерации, и уведомить об этом субъекта ПДн или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган; - в случае отзыва субъектом ПДн согласия на обработку своих ПДн прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено соглашением между Обществом и субъектом ПДн, либо требованиями законодательства Российской Федерации; - уведомить субъекта ПДн об уничтожении его ПДн; - в случае поступления требования субъекта о прекращении обработки ПДн в целях продвижения товаров, работ, услуг на рынке немедленно прекратить обработку персональных данных; - представлять ПДн субъектов государственным и иным уполномоченным органам, если это предусмотрено действующим законодательством РФ (налоговые, правоохранительные органы и др.); - обрабатывать ПДн субъекта без его согласия, в случаях предусмотренных законодательством РФ.

5.2. Права и обязанности субъекта персональных данных Субъект персональных данных имеет право: - требовать уничтожения своих персональных данных, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав; - требовать перечень своих ПДн, обрабатываемых Обществом и источник их получения; - получать информацию о сроках обработки ПДн, в том числе о сроках их хранения; - требовать извещения всех лиц, которым ранее были сообщены неверные или не6полные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях; - обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных; -на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

6. Меры по обеспечению безопасности персональных данных при их обработке

6.1. При обработке ПДн Общество принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, копирования, блокирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении персональных данных;

6.2. Обеспечение безопасности ПДн достигается: - определением угроз безопасности ПДн при их обработке в информационных системах ПДн; - применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных; - Оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы ПДн; - учетом машинных носителей ПДн; - обнаружением фактов несанкционированного доступа к ПДн и принятием мер по исключению в дальнейшем такого доступа; - восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; - установлением правил доступа к персональным данным, обрабатываемым в информационной системе ПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в информационной системе ПДн; - контролем принимаемых мер по обеспечению безопасности ПДн и уровня защищенности информационных систем ПДн.

7. Заключительные положения

7.1. Настоящая политика является общедоступной и подлежит размещению на территории Общества и на интернет – сайте ООО «Агидель», agidel64.ru с указанием даты введения.

7.2. Настоящая политика подлежит изменению, дополнению в случае внесения изменений в действующие законодательные акты, при издании новых законодательных актов и нормативных документов по обработке и защите персональных данных.

7.3 Контроль исполнения требований настоящей политики осуществляется главным врачом, ответственным за организацию обработки персональных данных Общества.

7.4. Ответственность должностных лиц Общества, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации, и внутренними документами Общества.