1. Общие положения

1.1. Назначение политики

Настоящий документ (далее – Политика) определяет цели и общие принципы обработки персональных данных (далее ПДн), а также реализуемые меры защиты персональных данных в Обществе с ограниченной ответственностью «ДЕМЕД» (Далее ООО «ДЕМЕД» или Общество). Общество является оператором персональных данных. Политика является общедоступным документом Общества и предусматривает возможность ознакомления с ней любых лиц, а также подлежит опубликованию на официальном сайте ООО «ДЕМЕД» в сети интернет. Все вопросы, связанные с обработкой и защитой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.

1.2. Основные понятия

автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

безопасность персональных данных – состояние защищённости персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных;

блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий, и технических средств;

конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;

несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам;

обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

персональные данные – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных);

персональные данные, разрешённые субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путём дачи согласия на обработку персональных данных, разрешённых субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»;

предоставление персональных данных – действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц;

распространение персональных данных – действия, направленные на раскрытие персональных данных неопределённому кругу лиц;

технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приёма и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации;

трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных;

уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

1.3. Основные права Общества

Обработка персональных данных осуществляется на законной и справедливой основе, а также с соблюдением принципов и правил, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ) на основании согласия субъекта персональных данных на обработку его персональных данных, кроме случаев, предусмотренных Федеральным законом № 152-ФЗ.

Общество оставляет за собой право проверить полноту и точность предоставленных персональных данных (далее также – ПДн), их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. В случае выявления ошибочных или неполных ПДн, Общество имеет право прекратить все отношения с субъектом ПДн.

В случае получения согласия на обработку ПДн от представителя субъекта ПДн, полномочия данного представителя на дачу согласия от имени субъекта ПДн проверяются Обществом.

Обществом могут быть получены ПДн от лица, не являющегося субъектом ПДн, при условии предоставления Обществом подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона № 152-ФЗ.

В случае отзыва субъектом ПДн согласия на обработку своих ПДн, Общество вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона № 152-ФЗ.

Общество вправе поручить обработку ПДн другому (третьему) лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом соглашения (договора), либо путём принятия соответствующего акта (далее – поручение Общества). В случаях, когда Общество поручает обработку ПДн третьему лицу, ответственность перед субъектом ПДн за действия указанного лица несёт Общество. Лицо, осуществляющее обработку ПДн по поручению Общества, несёт ответственность перед Обществом.

2. Цели сбора персональных данных

Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн. Обработке подлежат только те ПДн, которые отвечают целям их обработки и не должны быть избыточными по отношению к заявленным целям.

Цели обработки персональных данных
№ 1:
Цель обработки данных: Продвижение товаров, работ, услуг на рынке.
Категории персональных данных

Персональные данные фамилия, имя, отчество; адрес электронной почты; номер телефона;

Категории субъектов, персональные данные которых обрабатываются:

Клиенты; Посетители сайта.

Правовое основание обработки персональных данных:

обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных; обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

Перечень действий:

сбор; хранение; удаление; уничтожение;

Способы обработки: смешанная; с передачей по внутренней сети юридического лица; без передачи по сети Интернет;

3. Правовые основания обработки персональных данных

Обработка персональных данных в Обществе осуществляется на следующих основаниях:

- Конституция Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
- Федеральный закон от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;
- Федеральный закон от 25.12.2008 № 273-ФЗ «О противодействии коррупции»;
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – 152-ФЗ);
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 № 187-ФЗ;
- Федеральный закон от 06.12.20И №402-ФЗ «О бухгалтерском учете»;
- Федеральный закон «Об электронной подписи» от 06.04.2011 N 63- ФЗ; - Указ Президента Российской Федерации от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации»;
- Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Постановление Правительства РФ от 15 июля 2022 г. №1272 «Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации)»;
- Приказ Росархива от 20.12.2019 № 236.
- Письмо Минздрава России от 07.12.2015 N 13-2/1538
- внутренние документы в области защиты персональных данных;
- защита жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- исполнение договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также заключение договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- письменное согласие субъекта персональных данных;
- согласие субъекта персональных данных;
- ст. 86-90 Трудового кодекса РФ.

4. Порядок и условия обработки персональных данных

4.1 Принципы обработки персональных данных:

Обработка персональных данных осуществляется Учреждением в соответствии со следующими принципами:

- обработка персональных данных осуществляется на законной и справедливой основе;
- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей; не допускается обработка персональных данных, несовместимая с целями сбора персональных данных; не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой: обработке подлежат только персональные данные, которые отвечают целям их обработки;
- содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки; обрабатываемые персональные данные не избыточны по отношению к заявленным целям их обработки; - при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных; - учреждение принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных, или неточных данных;
- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; - обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4.2. Условия обработки персональных данных.

Согласие субъекта персональных данных на обработку его персональных данных. 4.2.1. При необходимости обеспечения условий обработки персональных данных субъекта может предоставляться согласие субъекта персональных данных на обработку его персональных данных.
4.2.2. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в 152-ФЗ.
4.2.3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство выполнения альтернативных условий обработки персональных данных возлагается на Общество.
4.2.4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом; 9) подпись субъекта персональных данных.
4.2.5. Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством Российской Федерации.
4.2.6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.
4.2.7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
4.2.8. Персональные данные могут быть получены Обществом от лица, не являющегося субъектом персональных данных, при условии предоставления Обществу подтверждения наличия альтернативных условий обработки информации.

4.3. Условия обработки персональных данных, отличные от получения согласия субъекта персональных данных на обработку его персональных данных:

4.3.1. Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных;
4.3.2. Общество вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

4.4. Конфиденциальность персональных данных

4.4.1 Сотрудники Общества, получившие доступ к персональным данным, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Кроме того, сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну.

4.5. Общедоступные источники персональных данных.

4.5.1. Общество создает общедоступные источники персональных данных на странице https://demed.ru в сети интернет.

5. Меры по обеспечению безопасности персональных данных при их обработке

Общество, при обработке ПДн, принимает необходимые правовые, организационные и технические меры, и обеспечивает их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

Обеспечение безопасности ПДн достигается Обществом, в частности, следующими мерами:
1. оценка вреда, который может быть причинён субъектам персональных данных в случае нарушения закона «О персональных данных», соотношение указанного вреда и принимаемых защитных мер;

2. осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных закону «О персональных данных» и внутренним документам Общества по вопросам обработки персональных данных;

3. ознакомление работников, осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, политикой Общества в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;

4. издание политики Общества в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных;

5. учёт машинных носителей персональных данных;

6. восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

7. назначение ответственного за организацию обработки персональных данных;

8. применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации (сертифицированные СЗИ);

9. определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

10. оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

11. установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учёта всех действий, совершаемых с персональными данными в информационной системе персональных данных;

12. обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

13. контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищённости информационных систем персональных данных.

Базы ПДн Общества находятся полностью в пределах территории Российской Федерации.

Трансграничную передачу персональных данных Общество не осуществляет.

Сроки обработки ПДн.

Персональные данные субъектов, обрабатываемые Обществом, подлежат уничтожению либо обезличиванию в случае:
1. достижения целей обработки ПДн или утраты необходимости в достижении этих целей;

2. отзыва субъектом ПДн согласия на обработку его ПДн, при условии, что действующим законодательством не предусмотрена обязанность Общества по хранению персональных данных в течение определенного срока;

3. истечение срока действия согласия субъекта ПДн на обработку его ПДн при условии, что действующим законодательством не предусмотрена обязанность Общества по хранению персональных данных в течение определенного срока;

4. отсутствия возможности обеспечить правомерность обработки ПДн;

5. прекращения деятельности Общества.

Условия обработки ПДн без использования средств автоматизации.

При обработке ПДн, осуществляемой без использования средств автоматизации, Общество выполняет требования, установленные постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Персональные данные при такой их обработке обособляются от иной информации, в частности, путём фиксации их на отдельных материальных носителях ПДн, в специальных разделах или на полях форм (бланков).

Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.

6. Регламент реагирования на запросы, обращения субъектов персональных данных и их представителей

При устном обращении либо письменном запросе субъекта ПДн или его представителя на доступ к ПДн субъекта, Общество руководствуется требованиями статей 14, 18 и 20 Федерального закона № 152-ФЗ.

Субъект ПДн или его представитель может воспользоваться формами запросов (заявлений) или отзывом согласия, приведенные в приложениях к настоящей Политике.

Сведения о наличии и обработке ПДн предоставляются субъекту ПДн или его представителю Обществом при обращении либо при получении запроса от субъекта ПДн или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Обществом, подпись субъекта ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

Доступ субъекта ПДн или его представителя к ПДн субъекта Общество предоставляет только под контролем ответственного за организацию обработки ПДн (далее – Ответственный) Общества.

Ответственный Общества принимает решение о предоставлении доступа субъекту ПДн или его представителю к ПДн указанного субъекта.

В случае, если данные, предоставленные субъектом ПДн или его представителем не достаточны для установления его личности или предоставление ПДн нарушают конституционные права и свободы других лиц, Ответственный Общества подготавливает мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона № 152 или иного федерального закона, являющийся основанием для такого отказа, в срок, не превышающий 30 дней со дня обращения субъекта ПДн или его представителя либо от даты получения запроса субъекта ПДн или его представителя.

Для предоставления доступа субъекту ПДн или его представителя к ПДн субъекта, Ответственный Общества привлекает работников структурного подразделения, обрабатывающих ПДн субъекта, по согласованию с руководителем этого структурного подразделения.

Общество предоставляет безвозмездно субъекту ПДн или его представителю возможность ознакомления с ПДн, относящиеся к этому субъекту ПДн.

Сведения о наличии ПДн Общество предоставляет субъекту ПДн или его представителю в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн. Контроль предоставления сведений субъекту ПДн или его представителю осуществляет Ответственный Общества.

Сведения о наличии ПДн должны быть предоставлены субъекту ПДн или его представителю при ответе на запрос или при обращении в течение 30 дней от даты получения запроса (обращения) субъекта ПДн или его представителя.