Политика обработки персональных данных граждан Российской Федерации


1. Общие положения

1.1. В соответствии с законодательством Российской Федерации в области

персональных данных ООО «Корпоративное Здоровье» (далее – Компания) является оператором

персональных данных. Под персональными данными понимафется любая информация,

относящаяся к прямо или косвенно определенному, или определяемому физическому лицу

(субъекту персональных данных).

1.2. Настоящий документ определяет политику Компании в отношении обработки

персональных данных. Под обработкой персональных данных понимаются любые

действия (операции) или совокупность действий (операций), совершаемых с

использованием средств автоматизации, включая сбор, запись, систематизацию,

накопление, хранение, уточнение (обновление, изменение), извлечение, использование,

передачу (распространение, предоставление, доступ), обезличивание, блокирование,

удаление, уничтожение персональных данных .

Компания осуществляет обработку персональных данных с использованием средств

автоматизации, в том числе в информационно-телекоммуникационных сетях, или без

использования таких средств.

1.3. Компания при осуществлении своей деятельности уделяет приоритетное

внимание к требованиям по защите персональных данных при их обработке в

информационных системах персональных данных и уровню защищенности таких данных.

1.4. Настоящая политика Компании в отношении обработки персональных данных

предоставляет информацию о правовых основаниях, целях, принципах и условиях

обработки персональных данных, о правах субъектов персональных данных и

обязанностях Компании в целом и лица, ответственного за организацию обработки

персональных данных в частности, а также об ответственности за нарушение требований

Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

1.5. Настоящая Политика разработана в соответствии с законодательством

Российской Федерации в области персональных данных с целью защиты прав и свобод

человека и гражданина при обработке его персональных данных.

1.6. Настоящая Политика подлежит пересмотру и, при необходимости,

актуализации в случае изменений законодательства Российской Федерации в области

персональных данных и/или локальных актов Компании локальных актов по вопросам

обработки персональных данных.

1.7. Настоящая Политика является общедоступным документом и опубликована на

сайте Компании https://www.corphealth.ru/.


2. Правовые основания для обработки персональных данных

1) Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;

2) Трудовой кодекс Российской Федерации;

3) ст. 946 Гражданского кодекса Российской Федерации;

7) Закон РФ № 1032-1 «О занятости населения в российской Федерации», п. 2 ст. 25;

8) Федеральный закон от 06.12.2011 N 402-ФЗ «О бухгалтерском учете»;

9) Налоговый кодекс Российской Федерации от 31 июля 1998 года № 146-ФЗ;

10) Федеральный закон от 15 декабря 2001 года № 167-ФЗ «Об обязательном пенсионном

страховании в Российской Федерации»;

11) Федеральный закон от 01.04.1996 № 27-ФЗ (ред. от 24.02.2021) «Об индивидуальном

(персонифицированном) учете в системе обязательного пенсионного страхования»;

12) Приказ Минздравсоцразвития России от 12.04.2011 N 302н (ред. от 13.12.2019) «Об

утверждении перечней вредных и (или) опасных…»;

13) Федеральный закон от 29.12.2006 № 255-ФЗ «Об обязательном социальном

страховании на случай временной нетрудоспособности и в связи с материнством»;

14) Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;

17) Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации

(отмыванию) доходов, полученных преступным путем и финансированию

терроризма»;

21) Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в

РФ»;

22) Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном

страховании в Российской Федерации».

23) Устав ООО «Корпоративное Здоровье»;


3. Цели обработки персональных данных

Обработка персональных данных может быть осуществлена Компанией, в том числе

для достижения следующих целей:

1) исполнение норм международных договоров Российской Федерации или законов;

2) осуществление и выполнение возложенных законодательством Российской Федерации

на Компанию функций, полномочий и обязанностей;

3) обеспечение участие субъекта персональных данных и/или Компании в

конституционном, гражданском, административном, уголовном судопроизводстве,

судопроизводстве в арбитражных судах;

4) исполнение судебного акта, акта другого органа или должностного лица, подлежащих

исполнению в соответствии с законодательством Российской Федерации об

исполнительном производстве;

5) исполнение договора, стороной которого либо выгодоприобретателем или

поручителем, по которому является субъект персональных данных, а также для

заключения договора по инициативе субъекта персональных данных или договора, по

которому субъект персональных данных будет являться выгодоприобретателем или

поручителем;

6) для защиты жизни, здоровья или иных жизненно важных интересов субъекта

Персональных данных, если получение согласия субъекта персональных данных

невозможно;

7) осуществление прав и законных интересов Компании или третьих лиц, либо

достижение общественно значимых целей, если при этом не нарушаются права и

свободы субъекта персональных данных;

8) в статистических или иных исследовательских целях, за исключением целей,

указанных в ст. 15 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных

данных», при условии обязательного обезличивания персональных данных;

9) опубликование или обязательное раскрытие персональных данных в соответствии с

федеральным законом;

10) целей, зафиксированных в согласии субъекта персональных данных на обработку его

персональных данных.


4. Принципы обработки персональных данных

4.1. Обработка персональных данных осуществляется на законной и справедливой

основе.

4.2. Обработка персональных данных ограничивается достижением конкретных,

заранее определенных и законных целей. Не допускается обработка персональных данных,

несовместимая с целями их сбора.

4.3. Не допускается объединение баз данных, содержащих персональных данных,

обработка которых осуществляется в целях, несовместимых между собой.

4.4. Обрабатываются только персональные данные, которые отвечают целям их

обработки.

4.5. Содержание и объем обрабатываемых персональных данных соответствуют

заявленным целям обработки. Обрабатываемые персональных данных не должны быть

избыточными по отношению к заявленным целям их обработки.

4.6. При обработке персональных данных обеспечивается точность персональных

данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям

обработки персональных данных. Неполные или неточные данные удаляются или

уточняются.

4.7. Хранение персональных данных осуществляться в форме, позволяющей

определить субъекта персональных данных, не дольше, чем этого требуют цели обработки

персональных данных, если срок хранения персональных данных не установлен

федеральным законом, договором, стороной которого, выгодоприобретателем или

поручителем, по которому является субъект персональных данных. По достижении целей

обработки или в случае утраты необходимости в достижении этих целей, обрабатываемые

персональные данные уничтожаются либо обезличиваются, если иное не предусмотрено

федеральным законом.

5. Условия обработки персональных данных

5.1. Обработка персональных данных осуществляется в соответствии с целями,

заранее определенными Компанией и заявленными при сборе персональных данных, а

также полномочиями, функциями и обязанностями Компании, определенными

действующим законодательством Российской Федерации и договорными отношениями с

клиентами.

5.2. Обработка персональных данных в случаях, предусмотренных Федеральным

законом от 27.07.2006 № 152-ФЗ «О персональных данных», осуществляется с письменного

согласия субъекта персональных данных или при наличии иных оснований, установленных

ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Равнозначным содержащему собственноручную подпись субъекта персональных данных

согласию в письменной форме на бумажном носителе признается согласие в форме

электронного документа, подписанного электронной подписью, в соответствии с

Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи».

5.3. Право доступа к персональным данным субъектов персональных данных на

бумажных и электронных носителях имеют только работники Компании в пределах

полномочий, установленных их должностными обязанностями.

5.4. Передача персональных данных субъектов персональных данных третьим

лицам осуществляется в соответствии с требованиями действующего законодательства

Российской Федерации.

5.5. Компания вправе поручить обработку персональных данных другому лицу с

согласия субъекта персональных данных, если иное не предусмотрено федеральным

законом, на основании заключаемого с этим лицом договора, в том числе государственного

или муниципального контракта (далее - поручение). Лицо, осуществляющее обработку

персональных данных по поручению Компании, обязано соблюдать принципы и правила

обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 №

152-ФЗ «О персональных данных», соблюдать конфиденциальность персональных данных,

принимать необходимые меры, направленные на обеспечение выполнения обязанностей,

предусмотренных названным Федеральным законом. В поручении должны быть

определены перечень персональных данных, перечень действий (операций) с

персональными данными, которые будут совершаться лицом, осуществляющим обработку

персональных данных, цели их обработки, должна быть установлена обязанность такого

лица соблюдать конфиденциальность персональных данных, требования, предусмотренные

ч. 5 ст. 18 и ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных

данных», обязанность по запросу Компании в течение срока действия поручения, в том

числе до обработки персональных данных, предоставлять документы и иную информацию,

подтверждающие принятие мер и соблюдение в целях исполнения поручения требований,

установленных в соответствии со ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О

персональных данных», обязанность обеспечивать безопасность персональных данных при

их обработке, а также должны быть указаны требования к защите обрабатываемых

персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 № 152-

ФЗ «О персональных данных», в том числе требование об уведомлении Компании о

случаях, предусмотренных ч. 3.1 ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О

персональных данных».

5.6. Компанией осуществляется обработка сведений о здоровье, входящих в

специальную категорию ПДн в соответствии с Правилами страхования и о судимости

кандидатов на трудоустройство и кандидатов на прохождение стажировки. При этом

указанная обработка сведений о судимости осуществляется в случаях и в порядке, которые

определяются в соответствии с федеральными законами. Обработка сведений о состоянии

здоровья также осуществляется в соответствии с Трудовым кодексом, Федеральным

законом от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в

Российской Федерации», а также п. 1, п.п. 2.3, п. 8 ч.2 ст.10 Федерального закона от

27.07.2006 № 152-ФЗ «О персональных данных».

5.7. Персональные данные могут быть получены Компанией от лица, не

являющегося субъектом персональных данных , при условии предоставления Компании

подтверждения наличия оснований, указанных в п. 2 - 11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11

Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».


6. Права субъектов персональных данных

6.1. Субъект персональных данных вправе требовать от Компании уточнения его

персональных данных, их блокирования или уничтожения в случае, если персональные

данные являются неполными, устаревшими, неточными, незаконно полученными или не

являются необходимыми для заявленной цели обработки, а также принимать

предусмотренные законом меры по защите своих прав.

6.2. Субъект персональных данных имеет право на получение информации,

касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые способы обработки персональных данных;

4) обрабатываемые персональных данных, относящиеся к соответствующему субъекту

персональных данных, источник их получения, если иной порядок представления таких

данных не предусмотрен федеральным законом;

5) сроки обработки персональных данных, в том числе сроки их хранения;

6) порядок осуществления субъектом персональных данных прав, предусмотренных

Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;

7) иные сведения, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О

персональных данных» или другими федеральными законами.

6.3. Субъект персональных данных обладает также и иными правами,

предусмотренными положениями действующего законодательства Российской Федерации,

включая положения Федерального закона № 152-ФЗ от 27.07.2006 «О персональных

данных».


7. Обязанности Компании

7.1. Компания предоставляет Субъекту персональных данных по его просьбе

информацию, предусмотренную ч.7 ст.14 Федерального закона от 27.07.2006 № 152-ФЗ «О

персональных данных».

7.2. В случае если персональные данные получены не от субъекта персональных

данных, Компания, за исключением случаев, предусмотренных ч.4 ст.18 Федерального

закона от 27.07.2006 № 152-ФЗ «О персональных данных», до начала обработки таких

персональных данных предоставляет субъекту персональных данных следующую

информацию:

1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных

данных» права субъекта персональных данных;

5) источник получения персональных данных.

7.3. Компания принимает меры, необходимые и достаточные для обеспечения

выполнения обязанностей, предусмотренных Законодательством Российской Федерации в

области защиты персональных данных. К таким мерам относятся:

1) назначение ответственного за организацию обработки персональных данных;

2) издание политики в отношении обработки персональных данных, локальных актов по

вопросам обработки персональных данных, а также локальных актов,

устанавливающих процедуры, направленные на предотвращение и выявление

нарушений законодательства Российской Федерации, устранение последствий таких

нарушений;

3) применение правовых, организационных и технических мер по обеспечению

безопасности персональных данных в соответствии со статьей 19 Федерального закона

от 27.07.2006 № 152-ФЗ «О персональных данных»;

4) осуществление внутреннего контроля и (или) аудита соответствия обработки

персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных

данных» и принятым в соответствии с ним нормативным правовым актам, требованиям

к защите Персональных данных , политике Компании в отношении обработки

Персональных данных , локальным актам Компании;

5) оценка вреда, который может быть причинен субъектам персональных данных в случае

нарушения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»,

соотношение указанного вреда и принимаемых Компанией мер, направленных на

обеспечение выполнения обязанностей, предусмотренных Федеральным законом от

27.07.2006 № 152-ФЗ «О персональных данных»;

6) ознакомление работников Компании, непосредственно осуществляющих обработку

персональных данных, с положениями законодательства Российской Федерации о

персональных данных, в том числе требованиями к защите персональных данных,

настоящей Политики, локальными актами по вопросам обработки персональных

данных, и (или) обучение указанных работников.

7.4. Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в

информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности

персональных данных при их обработке в информационных системах персональных

данных, необходимых для выполнения требований к защите персональных данных,

исполнение которых обеспечивает установленные Правительством Российской

Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия

средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности

персональных данных до ввода в эксплуатацию информационной системы

персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и

принятием мер;

7) восстановлением персональных данных, модифицированных или уничтоженных

вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемых в

информационной системе персональных данных, а также обеспечением регистрации и

учета действий, совершаемых с персональными данными в информационной системе

персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных

данных и уровня защищенности информационных системах персональных данных.

7.5. При выявлении нарушений законодательства, допущенных при обработке

персональных данных, Компания обязана совершить действия по уточнению,

блокированию и уничтожению персональных данных, предусмотренные ст. 21

Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

8. Обязанности лица, ответственного за организацию обработки

персональных данных

Лицо, ответственное за организацию обработки персональных данных в Компании,

обязано:

1) осуществлять внутренний контроль за соблюдением Компанией и ее работниками

законодательства Российской Федерации о персональных данных, в том числе

требований к защите персональных данных;

2) доводить до сведения работников Компании положения законодательства Российской

Федерации о персональных данных, локальных актов Компании по вопросам

обработки персональных данных, требований к защите персональных данных;

3) организовывать прием и обработку обращений и запросов субъектов персональных

данных или их представителей и(или) осуществлять контроль за приемом и обработкой

таких обращений и запросов;

4) доводить до сведения руководства состояние защиты персональных данных и сведения

о выявленных нарушениях в области защиты персональных данных;

5) обеспечивать соответствие локальных правовых актов по защите персональных данных

требованиям законодательства и подзаконным актам по вопросам защиты

персональных данных;

6) осуществлять разработку локальных нормативных актов Компании в части,

касающейся персональных данных;

7) совершать иные действия, предусмотренные законодательством Российской

Федерации о персональных данных, а также локальных актов Компании по вопросам

обработки персональных данных.

9. Ответственность за нарушение требований Федерального закона от

27.07.2006 № 152-ФЗ «О персональных данных»

Лица, виновные в нарушении требований Федерального закона от 27.07.2006 № 152-

ФЗ «О персональных данных», несут предусмотренную законодательством Российской

Федерации ответственность.

Made on
Tilda