ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

ТЕРМИНЫ И СОКРАЩЕНИЯ
Персональные данные - любая информация, относящаяся к прямо или косвенно
определенному или определяемому физическому лицу (субъекту персональных данных).
Общедоступные персональные данные - персональные данные, доступ неограниченного
круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в
соответствии с федеральными законами не распространяется требование соблюдения
конфиденциальности.
Оператор персональных данных - государственный орган, муниципальный орган,
юридическое или физическое лицо, самостоятельно или совместно с другими лицами
организующие и (или) осуществляющие обработку персональных данных, а также определяющие
цели обработки персональных данных, состав персональных данных , подлежащих обработке,
действия (операции), совершаемые с персональными данными.
Обработка персональных данных - любое действие (операция) или совокупность
действий (операций), совершаемых с использованием средств автоматизации или без
использования таких средств с персональными данными, включая сбор, запись, систематизацию,
накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу
(распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение
п е р с о н а л ь н ы х д а н н ы х.
Автоматизированная обработка персональных данных - обработка персональных
д а н н ы х с п о м о щ ь ю средств вычислительной техники.
Распространение персональных данных - действия, направленные на раскрытие
персональных данных неопределенному кругу лиц.
Предоставление персональных данных - действия, направленные на раскрытие
персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных - временное прекращение обработки персональных
данных (за исключением случаев, если обработка необходима для уточнения
персональных данных).
Уничтожение персональных данных - действия, в результате которых становится
невозможным восстановить содержание персональных данных в информационной системе
персональных данных и (или) в результате которых уничтожаются материальные носители
п е р с о н а л ь н ы х д а н н ы х.
Конфиденциальность персональных данных - обязательное для соблюдения оператором
или иным получившим доступ к персональным данным лицом требование не допускать их
распространения без согласия субъекта персональных данных или наличия иного законного
о с н о в а н и я .
Информационная система персональных данных (ИСПДн) - совокупность
содержащихся в базах данных персональных данных и обеспечивающих их обработку
информационных технологий и технических средств.
Трансграничная передача персональных данных - передача персональных данных на
территорию иностранного государства органу власти иностранного государства, иностранному
физическому лицу или иностранному юридическому лицу.
Работник - физические лицо , субъект трудового права, работающее в ООО «Медицинская
компания ЛабСтори» по трудовому договору.
Близкий родственник работника - супруга (супруг), ребенок, родители и иные
родственники работника ООО «Медицинская компания ЛабСтори».
Кандидат на трудоустройство - физическое лицо по своей воле, самостоятельно или с
использованием сервисов рекрутинговых агентств, предоставившее резюме (на бумажном
носителе, с использованием сервисов корпоративной электронной почты или сервисов,
предоставляемых рекрутинговым агентством) на замещение вакантной должности в ООО
«Медицинская компания ЛабСтори» в свободной форме.
Пациент - физическое лицо, которому оказывается медицинская помощь или которое
обратилось за оказанием медицинской помощи независимо от наличия у него заболевания и от его
состояния;
Третье лицо - любое лицо (государственный орган, муниципальный орган, юридическое
или физическое лицо), не являющееся субъектом персональных данных или ООО «Медицинская
компания ЛабСтори».


1. ОБЩИЕ СВЕДЕНИЯ
1.1. Настоящая «Политика обработки персональных» (далее - Политика) разработана в
соответствии с требованиями Федерального закона от 27.07.2006 г . Nº152-Ф3 « О персональных
данных» и содержит общие сведения об обрабатываемых персональных данных, способах их
обработки, используемых средствах и мерах по защите, а также определяет принципы, условия
обработки персональных данных в Обществе с ограниченной ответственностью «Медицинская
компания ЛабСтори », адрес местонахождения: 191119, Санкт-Петербург, улица Достоевского, дом
40-44 литер а , часть пом 9 н ( пом 17) (далее - Учреждение ).
1.2. Учреждение является оператором персональных данных в соответствии с
положениями Федерального закона от 27 июля 2006 года Nº152-Ф3 « О персональных данных».
1.3. Требования настоящей Политики действуют в отношении всех персональных данных,
обработка которых осуществляется в информационных системах персональных данных,
приведенных в Приложении 1. Учреждения, и являются обязательными для выполнения всеми
работниками Учреждения в процессе реализации процессов, связанных с обработкой
п е р с о н а л ь н ы х д а н н ы х.
2. СВЕДЕНИЯ ОБ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. В Учреждении осуществляется обработка персональных данных следующих
категорий субъектов:
- субъекты, не являющиеся сотрудниками Оператора;
- субъекты, являющиеся сотрудниками Оператора;
- другие субъекты персональных данных (для обеспечения реализации целей обработки).
2.2. Состав обрабатываемых персональных данных для каждой из категорий субъектов,
приведенных в п . 2.1, формируется в соответствии с требованиями российского и международного
законодательства в зависимости от реализуемых Учреждением видов деятельности в соответствии
с Уставом с учетом целей обработки персональных данных.
3. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. До начала обработки персональных данных Учреждение обязано уведомить
уполномоченный орган по защите прав субъектов персональных данных о своём намерении
осуществлять обработку персональных данных.
3.2. Обработка персональных данных в Учреждении осуществляется на основе
принципов:
3.2.1. законности целей и способов обработки персональных данных и добросовестности;
соответствия целей обработки персональных данных целям, заранее определенным и заявленным
при сборе персональных данных;
3.2.2. соответствия объема и характера обрабатываемых персональных данных, способов
обработки персональных данных целям обработки персональных данных;
3.2.3. недопустимости объединения созданных для несовместимых между собой целей
баз данных, содержащих персональные данные;
3.2.4. достоверности персональных данных, их достаточности для целей обработки,
недопустимости обработки персональных данных, избыточных по отношению к целям,
заявленным при сборе персональных данных.
3.3. Обработка персональных данных осуществляется Учреждением исключительно для
целей и в объеме , необходимом для выполнения требований международного и российского
законодательства, а также осуществления прав и законных интересов Учреждения.
5
3.4. Учреждение осуществляет обработку персональных данных субъектов только при
наличии хотя бы одного из следующих условий:
3.4.1. Обработка персональных данных осуществляется с согласия субъекта персональных
данных на обработку его персональных данных.
3.4.2. Обработка персональных данных необходима дЛя достижения целей,
предусмотренных законодательством РФ .
3.4.3. Обработка персональных данных необходима для исполнения договора, стороной
которого либо выгодоприобретателем или поручителем, по которому является субъект
персональных данных, а также для заключения договора по инициативе субъекта персональных
данных или договора, по которому субъект персональных данных будет являться
выгодоприобретателем или поручителем.
3.4.4. Осуществляется распространение персональных данных в с о о т в е т с т в и и с
Федеральным законом от 27.07.2006 г . Nº152-Ф3 « О персональных данных».
3.5. Когда согласие необходимо, Учреждение его получает в любой позволяющей
подтвердить факт его получения форме, за исключением случаев, когда в соответствии с
требованиями законодательства РФ обработка персональных данных осуществляется только с
согласия в письменной форме.
3.6. В целях внутреннего информационного обеспечения Учреждение может создавать
внутренние справочные материалы, в которые с письменного согласия субъекта персональных
данных, если иное не предусмотрено законодательством Российской Федерации, могут
включаться его фамилия, имя, отчество, место работы, должность, год и место рождения, адрес
электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.
3.7. Обработка персональных данных в Учреждении осуществляется не дольше, чем этого
требуют цели обработки персональных данных, если срок хранения персональных данных не
установлен федеральным законом, договором, стороной которого, выгодоприобретателем или
поручителем по которому является субъект персональных данных.
3.8. По достижении целей обработки или в случае утраты необходимости в достижении
этих целей, если иное не предусмотрено законодательством РФ , обрабатываемые персональные
д а н н ы е п о д л е ж а т у н и ч т о ж е н и ю.
4. ОРГАНИЗАЦИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Доступ к обрабатываемым в Учреждении персональным данным предоставляется
исключительно работникам Учреждения, занимающим должности, функциональные обязанности
которых предусматривают обработку соответствующих персональных данных.
4.2. Персонал Учреждения осуществляет обработку, включая сбор накопление, хранение,
систематизацию, уточнение, извлечение и передачу персональных данных субъектов, а также
обеспечивает их защиту от несанкционированного доступа, неправомерного использования,
утраты и уничтожения.
4.3. Обработка персональных данных в Учреждении осуществляется :
- в электронном виде в информационных системах персональных данных, защищенных
по требованиям безопасности в соответствии с нормативными и методическими документами
ФСТЭК и ФСБ России.
4.4. Персональные данные субъектов не раскрываются третьим лицам и не
распространяются иным образом без согласия субъекта персональных данных, если иное не
предусмотрено международным и российским законодательством. Трансграничная передача
6
персональных данных может осуществляться Учреждением исключительно в соответствии с
требованиями законодательства РФ .
4.5. Учреждение вправе поручить обработку персональных данных другому лицу с
согласия субъекта персональных данных на основании заключаемого с этим лицом договора.
Договор должен содержать перечень действий (операций) с персональными данными, которые
будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки,
обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать
безопасность персональных данных при их обработке, а также требования к защите
обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона
«О персональных данных».
5. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ
ДАННЫХ
5.1. Безопасность персональных данных, обработка которых осуществляется в
Учреждении, обеспечивается за счет реализации системы защиты персональных данных,
включающей организационные и технические меры по защите, необходимые и достаточные для
обеспечения выполнения требований нормативных правовых актов в области обработки и защиты
п е р с о н а л ь н ы х д а н н ы х.
5.2. В Учреждении обеспечивается применение следующих основных организационных и
технических мер, направленных на обеспечение выполнения Учреждением обязанностей ,
предусмотренных Nº152-Ф 3 от 27.06.2007 г . « О персональных данных », требований подзаконных
нормативных правовых актов, а также документов уполномоченных федеральных органов
исполнительной власти в сфере защиты информации:
5.2.1. назначение должностных лиц, ответственных за организацию обработки и защиты
персональных данных;
5.2.2. ограничение состава работников, имеющих доступ к персональным данным;
5.2.3. ознакомление работников с требованиями федерального законодательства и
нормативных документов Учреждения, регламентирующих порядок и правила обработки и
з а щ и т ы п е р с о н а л ь н ы х д а н н ы х ;
5.2.4. регистрация и учёт действий пользователей информационных систем персональных
д а н н ы х ,
5.2.5. защита персональных данных, обрабатываемых в информационных системах
персональных данных, от несанкционированного доступа;
5.2.6. осуществление антивирусного контроля;
5.2.7. применение средств межсетевого экранирования и обнаружения вторжений;
5.2.8. применение средств резервного копирования и восстановления информации ;
5.2.9. ограничение физического доступа в помещения , в которых осуществляется
обработка персональных данных.
6. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Субъекты персональных данных имеют право на:
6.1.1. получение полной информации об обрабатываемых персональных данных и порядке
их обработки ( в т . ч . автоматизированной), свободного бесплатного доступа к своим персональным
данным, включая право на получение копий любой записи, содержащей персональные данные за
исключением случаев, п р е д у с м о т р е н н ы х законодательством;
6.1.2. отзыв ранее данного согласия на обработку персональных данных;
6.1.3. требование об исключении или исправлении неверных или неполных персональных
данных, обработанных с нарушением требований законодательства РФ ;
7
6.1.4. требование об извещении Учреждением всех лиц , которым ранее были сообщены
• неверные или неполные персональные данные, обо всех произведенных в них исключениях,
и с п р а в л е н и я х или д о п о л н е н и я х ;
6.1.5. защиту своих прав и законных интересов, в том числе на возмещение убытков и
(или) компенсацию морального вреда в судебном порядке;
6.1.6. обжалование в уполномоченный орган по защите прав субьектов персональных
данных или в судебном порядке любых неправомерных действий Учреждения при обработке и
з а щ и т е е г о п е р с о н а л ь н ы х д а н н ы х.
6.2. Субъект персональных данных имеет право на получение информации, касающейся
обработки его персональных данных, в том числе содержащей:
6.2.1. подтверждение факта обработки персональных данных ;
6.2.2. правовые основания и цели обработки персональных данных ;
6.2.3. применяемые Учреждением способы обработки персональных данных ;
6.2.4. наименование и место нахождения Учреждения, сведения о лицах ( за исключением
работников Учреждения), которые имеют доступ к персональным данным или которым могут
быть раскрыты персональные данные на основании договора с Учреждением или на основании
федерального закона;
6.2.5. обрабатываемые персональные данные, относящиеся к соответствующему субъекту
персональных данных, источник их получения, если иной порядок представления таких данных не
предусмотрен федеральным законом;
6.2.6. сроки обработки персональных данных, в том числе сроки их хранения;
6.2.7. информацию об осуществленной или о предполагаемой трансграничной передаче
д а н н ы х ; 6.2.8. наименование или фамилию, имя , отчество и адрес л и ц а , о с у щ е с т в л я ю щ е г о
обработку персональных данных по поручению Учреждения.
6.2.9. Субъект вправе отправить запрос :
6.2.10. по адресу : 191119, Санкт-Петербург, улица Достоевского, дом 40-44 литер а , часть
пом 9 н (пом 17).
7. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
7.1. Настоящая Политика является общедоступным документом и подлежит размещению
в электронном виде в открытом разделе на официальном Интернет-сайте Учреждения.
7.2. Контроль исполнения требований настоящей Политики осуществляется лицом ,
назначенным ответственным за организацию обработки персональных данных в Учреждении.
7.3. Ответственность должностных лиц Учреждения, имеющих доступ к персональным
данным , за невыполнение требований норм, регулирующих обработку и защиту персональных
данных , определяется в соответствии с законодательством Российской Федерации и внутренними
нормативными документами Учреждения.
7.4. Настоящая Политика подлежит обязательному пересмотру в случаях изменения
нормативных правовых актов и методических документов РФ в области обработки и защиты
персональных данных и Устава Учреждения, но не реже, чем один раз в два года.