Политика в отношении обработки персональных данныхСогласие на обработку персональных данныхНастоящим я, действуя от своего имени, добровольно и не находясь под влиянием заблуждения, предоставляю Обществу с ограниченной ответственностью Стоматологическая Клиника "КИО СТОМ" (ООО СК "КИО СТОМ") (ИНН 6311118366, ОГРН 1096311007946, 443082, САМАРСКАЯ ОБЛАСТЬ, Г. САМАРА, УЛ. ТУХАЧЕВСКОГО, Д.88, КВ.90) (далее – Общество, Оператор),
свое согласие в соответствии с п. 4 ст. 9, ст. 11 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" на обработку моих персональных данных, указанных мной в форме обратной связи на ресурсах веб-сайта, расположенном на домене kiostom.ru (далее — Сайт), осуществляемую с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, посредством использования сервиса Яндекс.Метрика, а именно:
- фамилия имя и отчество,
- номер телефона;
- данные о состоянии здоровья;
- прочие сведения о моих намерениях в отношении услуг Общества, которые могут быть
мной сообщены с использованием форм обратной связи, размещённых на Сайте.
В соответствии с указанной целью Оператор вправе осуществлять следующие действия с указанными выше персональными данными:
- сбор;
- систематизацию;
- накопление;
- хранение;
- уточнение (изменение, обновление); - использование;
- блокирование;
- уничтожение.
в целях получения информации в объёме, позволяющем предварительно определить возможность, целесообразность, условия и порядок оказания мне услуг Обществом.
Подтверждаю, что ознакомлен (а) с документами Оператора, устанавливающими порядок обработки персональных данных, а также с моими правами и обязанностями в этой области. Подтверждаю, что проинформирован (а)
запросы, в том числе запросы относительно использования персональных данных, направлять отзыв согласия на обработку персональных данных посредством электронной почты на адрес kio_stom@mail.ru, с темой письма «Требование об уничтожении персональных данных», с указанием точного перечня персональных данных, подлежащих уничтожению, предоставлением сведений, позволяющих достоверно определить, что запрос об удалении персональных данных исходит от лица, чьи персональные данные были обработаны Оператором.
Между нами достигнуто соглашение о том, что в случае отзыва мной согласия на распространение моих персональных данных, Общество обязано прекратить их распространение и уничтожить мои персональные данные в срок, указанный в документах Общества, устанавливающими порядок обработки персональных данных.
Подтверждаю, что предоставленные мной персональные данные являются достоверными и могут обрабатываться Оператором с заявленной целью.
Настоящее согласие дано мной добровольно, действует с момента моего подписания до дня отзыва в письменной форме.
Политика обработки и защиты персональных данных работников и иных лиц1. Назначение и область действия
1.1. Настоящая Политика разработана ООО Стоматологической клиникой «КИОСТОМ» (далее – Оператор, Общество) во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных), гл. 14 Трудового кодекса РФ, Федерального закона от 27.07. 2006 N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Настоящая Политика определяет:
- цель, порядок и условия обработки персональных данных;
- категории субъектов, персональные данные которых обрабатываются, категории (перечни) обрабатываемых персональных данных, способы, сроки их обработки и хранения, порядок уничтожения таких данных;
- порядок защиты персональных данных, процедуры, направленные на выявление и предотвращение нарушений законодательства РФ в области персональных данных, а также на устранение последствий таких нарушений.
1.2. В Положении используются термины и определения в соответствии с их значениями, определенными в Законе о персональных данных.
1.3. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора.
1.4. Положения Политики распространяются на отношения по обработке и защите персональных данных, полученных Обществом как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите персональных данных, полученных до её утверждения.
2. Категории субъектов персональных данных
2.1. К субъектам, персональные данные которых обрабатываются в Обществе в соответствии с Положением, относятся:
- физические лица, оставившие свои данные в форме обратной связи на ресурсах веб-сайта, расположенном на домене kiostom.ru (далее — Сайт) (далее –Посетители Сайта);
- физические лица, состоящие в гражданско-правовых отношениях с Оператором, в том числе в целях оказания медицинских услуг (клиенты),
- кандидаты для приема на работу в Общество;
- работники Общества, в т.ч. работники Общества, с которыми трудовой договор расторгнут; - лица, персональные данные которых Общество обязано обрабатывать в соответствии с
трудовым законодательством и иными актами, содержащими нормы трудового права;
3. Цели обработки персональных данных,
категории (перечни) обрабатываемых персональных данных, действия с персональными данными
Директор
1
3.1. Обработка персональных данных субъектов (за исключением работников Общества) персональных данных осуществляется в целях:
3.1.1. получения информации в объёме, позволяющем предварительно определить возможность, целесообразность, условия и порядок оказания услуг Обществом посетителям Сайта, оставившим свои данные в форме обратной связи на ресурсах веб-сайта, расположенном на домене kiostom.ru;
В соответствии с указанной целью в Обществе обрабатываются следующие персональные данные:
- фамилия имя и отчество,
- номер телефона;
- данные о состоянии здоровья;
- прочие сведения о намерениях субъекта персональных данных в отношении услуг
Общества, которые могут быть сообщены субъектом персональных данных с использованием форм обратной связи, размещённых на Сайте.
В соответствии с указанной целью оператор вправе осуществлять следующие действия с указанными выше персональными данными:
- сбор;
- систематизацию;
- накопление;
- хранение;
- уточнение (изменение, обновление); - использование;
- блокирование;
- уничтожение.
3.1.2 заключения и исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в целях оказания медицинских услуг.
В соответствии с указанной целью в Обществе обрабатываются следующие персональные данные:
- фамилия имя и отчество, - пол;
- дата рождения;
- номер телефона;
- адрес электронной почты;
- реквизиты документов, удостоверяющих личность,
- сведения о полисе ДМС,
- информация о банковских картах и банковских реквизитах (Ф.И.О., No карты и т.д.);
- данные о состоянии здоровья.
В соответствии с указанной целью оператор вправе осуществлять следующие действия с
указанными выше персональными данными: - сбор;
- систематизацию;
- накопление;
- хранение;
- уточнение (изменение, обновление); - использование;
- передачу;
- блокирование; - уничтожение.
3.2. В соответствии со ст.86 Трудового кодекса РФ обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении
2
образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества, а также в целях:
3.2.1 исполнения трудового договора (начисления заработной платы, обеспечения кадровой работы и бухгалтерского учета, начисления и уплаты, предусмотренных законодательством Российской Федерации налогов, сборов и взносов на обязательное социальное и пенсионное страхование, представление работодателем установленной законодательством отчетности в отношении физических лиц, в том числе сведений персонифицированного учета в Пенсионный фонд Российской Федерации, в ФНС России, в ФСС Российской Федерации, предоставления сведений в банк для перечисления заработной платы).
В соответствии с указанной целью в Обществе обрабатываются следующие персональные данные:
- фамилия, имя, отчество,
- дата рождения, место рождения;
- адрес регистрации, адрес места жительства;
- семейное положение;
- сведения об образовании (образовательное учреждение, время обучения, присвоенная
- квалификация);
- серия и номер паспорта, дата и орган выдачи;
- биографические сведения;
- биометрические персональные данные, а именно фотография субъекта персональных
- данных;
- сведения о местах работы (город, название организации, должность, сроки работы);
- контактная информация, включая адрес e-mail;
- сведения о постановке на налоговый учет (ИНН);
- сведения о регистрации в Пенсионном фонде (номер страхового свидетельства);
- сведения об открытых банковских счетах.
- В соответствии с указанной целью оператор вправе осуществлять следующие действия с указанными выше персональными данными:
- - сбор;
- - систематизацию;
- - накопление;
- - хранение;
- - уточнение (изменение, обновление); - использование;
- - передачу;
- - блокирование;
- - уничтожение.
- 3.2.2. для обеспечения личной безопасности, защиты жизни и здоровья работника;
- В соответствии с указанными целями в Обществе обрабатываются следующие персональные
- данные:
- фамилия, имя, отчество,
- дата рождения, место рождения;
- адрес регистрации, адрес места жительства;
- семейное положение;
- сведения об образовании (образовательное учреждение, время обучения, присвоенная
- квалификация);
- серия и номер паспорта, дата и орган выдачи;
- биографические сведения;
- биометрические персональные данные, а именно фотография субъекта персональных
- данных;
- сведения о местах работы (город, название организации, должность, сроки работы);
- контактная информация, включая адрес e-mail;
3
- сведения о постановке на налоговый учет (ИНН);
- сведения о регистрации в Пенсионном фонде (номер страхового свидетельства);
- сведения об открытых банковских счетах.
- В соответствии с указанной целью оператор вправе осуществлять следующие действия с указанными выше персональными данными:
- - сбор;
- - систематизацию;
- - накопление;
- - хранение;
- - уточнение (изменение, обновление); - использование;
- - передачу;
- - блокирование;
- - уничтожение.
- 3.2.3 с целью размещения информации на официальном сайте Общества https://kiostom.ru/
- В соответствии с указанными целями в Обществе обрабатываются следующие персональные
- данные:
- фамилия, имя, отчество,
- сведения об образовании (образовательное учреждение, время обучения, присвоенная
- квалификация);
- биографические сведения;
- биометрические персональные данные, а именно фотография субъекта персональных
- данных.
В соответствии с указанной целью оператор вправе осуществлять следующие действия с
указанными выше персональными данными: - сбор;
- систематизацию;
- накопление;
- хранение;
- уточнение (изменение, обновление); - использование;
- распространение; - блокирование;
- уничтожение.
3.2.4. рассмотрения возможности трудоустройства кандидатов (соискателей) в Общество.
- фамилия, имя, отчество,
- дата рождения,
- сведения об образовании (образовательное учреждение, время обучения, присвоенная
- квалификация);
- биографические сведения;
- биометрические персональные данные, а именно фотография субъекта персональных
- данных, при ее предоставлении в составе резюме.
- В соответствии с указанной целью оператор вправе осуществлять следующие действия с указанными выше персональными данными:
- - сбор;
- - систематизацию;
- - накопление;
- - хранение;
- - уточнение (изменение, обновление); - использование;
- - блокирование;
- - уничтожение.
4
3.3. Общество не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных законодательством РФ. Общество не имеет права получать и обрабатывать персональные данные лица о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым кодексом РФ или иными федеральными законами.
4. Порядок и условия обработки персональных данных
4.1. Обработка персональных данных осуществляется с соблюдением принципов и условий, предусмотренных законодательством в области персональных данных и настоящим Положением.
4.2. Обработка персональных данных в Обществе выполняется следующими способами:
- смешанная обработка персональных данных, с применением компьютера и передачей по сети «Интернет», а также посредством использования сервиса Яндекс.Метрика.
4.3. Обработка персональных данных в Обществе осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством в области персональных данных.
4.4.1. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных ст. 10.1 Закона о персональных данных. Согласие на обработку таких персональных данных оформляется отдельно от других согласий на обработку персональных данных. Согласие предоставляется субъектом персональных данных лично либо в форме электронного документа, подписанного электронной подписью, с использованием информационной системы Роскомнадзора.
4.5. Общество не осуществляет трансграничную передачу персональных данных.
4.6. Обработка персональных данных осуществляется путем сбора, систематизации, хранения, извлечения, передачи, блокирования, уничтожения, записи, уточнения, хранения, использования, распространения, в том числе с помощью средств вычислительной техники.
4.7. Передача (распространение, предоставление, доступ) персональных данных субъектов персональных данных осуществляется в случаях и в порядке, предусмотренных законодательством в области персональных данных и Положением.
4.7.1 Информация, относящаяся к персональным данным работника, может быть предоставлена государственным органам в порядке, установленном федеральным законом.
4.7. Работник, являющийся ответственным за обработку персональных данных, назначается приказом директора, и осуществляет общий контроль за соблюдением работниками мер по обработке персональных данных; обеспечивает ознакомление работников под личную подпись с локальными нормативными актами, содержащими порядок обработки персональных данных, в частности с настоящим Положением; получает с работников согласие на обработку персональных данных.
5. Сроки обработки и хранения персональных данных
5.1. Обработка персональных данных в Обществе прекращается в следующих случаях:
- при выявлении факта неправомерной обработки персональных данных. Срок прекращения обработки - в течение трех рабочих дней с даты выявления такого факта;
- при достижении целей их обработки;
- по истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных, если в соответствии с Законом о персональных данных их обработка допускается только с согласия;
- при обращении субъекта персональных данных к Обществу с требованием о прекращении обработки персональных данных (за исключением случаев, предусмотренных ч. 5.1 ст. 21 Закона о персональных данных). Срок прекращения обработки - не более десяти рабочих дней с даты получения требования.
5.2. Персональные данные на бумажных носителях хранятся в Обществе в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле
5
в РФ (Федеральный закон от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации", Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 N 236)).
5.3. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Исключение - случаи, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных.
5.4. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
6. Порядок блокирования и уничтожения персональных данных
6.1. Общество блокирует персональные данные в порядке и на условиях, предусмотренных законодательством в области персональных данных.
6.2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются. Исключение может предусматривать федеральный закон.
6.3. Незаконно полученные персональные данные или те, которые не являются необходимыми для цели обработки, уничтожаются в течение сроков, предусмотренных законодательством.
6.4. Персональные данные, обработка которых прекращена из-за ее неправомерности и правомерность обработки которых невозможно обеспечить, уничтожаются в течение сроков, предусмотренных законодательством.
6.5. Персональные данные уничтожаются в течение 30 дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иным соглашением между ним и Обществом либо если Общество не вправе обрабатывать персональные данные без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
6.5.1. При достижении максимальных сроков хранения документов, содержащих персональные данные, персональные данные уничтожаются в течение 30 дней.
6.6. Для прекращения обработки персональных данных субъект персональных данных должен отправить письмо посредством электронной почты на адрес kio_stom@mail.ru, с темой письма «Требование об уничтожении персональных данных», с указанием точного перечня персональных данных, подлежащих уничтожению, предоставлением сведений, позволяющих достоверно определить, что запрос об удалении персональных данных исходит от лица, чьи персональные данные были обработаны Оператором. Персональные данные уничтожаются (если их сохранение не требуется для целей обработки персональных данных) в течение 10 дней с даты поступления отзыва субъектом персональных данных согласия на их обработку.
6.7. Отбор материальных носителей (документы, жесткие диски, флеш-накопители и т.п.) и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляют подразделения Общества, обрабатывающие персональные данные.
6.8. Уничтожение персональных данных осуществляет комиссия, созданная приказом директора, которая составляет акт с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению. Непосредственно после уничтожения персональных данных оформляется акт об их уничтожении.
6.8.3. Персональные данные на бумажных носителях уничтожаются с использованием шредера. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.
6
6.8.4. Подтверждение уничтожения персональных данных в случаях, предусмотренных статьей 21 Федерального закона No152-ФЗ «О персональных данных», осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных.
7. Порядок и меры защиты персональных данных. Процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений
7.1. Без письменного согласия субъекта персональных данных Общество не передает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом, в том числе по телефону.
7.2. С целью защиты персональных данных в Обществе приказами директора назначается (утверждаются):
- работник, ответственный за организацию обработки персональных данных;
- перечень персональных данных, к которым имеют доступ работники, занимающие должности, предусматривающие обработку персональных данных;
- порядок доступа в помещения, в которых ведется обработка персональных данных;
- порядок передачи персональных данных в пределах Общества;
- форма согласия на обработку персональных данных, форма согласия на обработку
персональных данных, разрешенных субъектом персональных данных для распространения;
- порядок защиты персональных данных при их обработке в информационных системах
персональных данных;
- порядок проведения внутренних расследований, проверок;
- при необходимости иные локальные нормативные акты, принятые в соответствии с
требованиями законодательства в области персональных данных.
7.3. Работники, которые занимают должности, предусматривающие обработку персональных
данных, допускаются к ней после подписания обязательства об их неразглашении.
7.4. Все обрабатываемые Оператором персональные данные хранятся в месте, исключающем свободный доступ к ним третьих лиц, с использованием современных средств защиты; система защиты персональных данных обеспечивает устранение возможных угроз; определен круг лиц,
имеющих доступ к персональным данным.
7.5. Материальные носители персональных данных хранятся в шкафах, запирающихся на
ключ. В помещении установлены замки с ключами и пожарные сигнализации, данные на бумажных носителях хранятся в сейфах или запирающихся шкафах.
7.6. При неавтоматизированной обработке персональных данных исключен несанкционированный к ним доступ, определен перечень лиц, осуществляющих обработку персональных данных, определены места хранения персональных данных, их уничтожение. Электронная цифровая подпись, используются антивирусные средства защиты информации, идентификация и проверка подлинности пользователя при входе в информационные системы по паролю условно-постоянного действия
7.7. Лица, осуществляющие обработку персональных данных и имеющие доступ к ним работники, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами, регулирующими обработку персональных данных.
7.8. Проводится внутренний контроль соответствия обработки персональных данных Федеральному закону No 152-ФЗ от 27.07.2006 «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных.
7.9. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим
7
лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки.
В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
7.10. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
7.11. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
7.11.1. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
7.12. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку
8
персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством.
7.13. В случае изменения сведений, указанных в части 3 статьи 22 Федерального закона No152-ФЗ «О персональных данных», оператор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, обязан уведомить уполномоченный орган по защите прав субъектов персональных данных обо всех произошедших за указанный период изменениях. В случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты прекращения обработки персональных данных.
7.15. В случае отсутствия возможности уничтожения персональных данных в течение указанного срока Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен законодательством.8. Ответственность за нарушение норм, регулирующих
обработку персональных данных.
7.16. При обработке персональных данных Оператор применяет правовые, организационные
и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
9. Конфиденциальность персональных данных работника
9.1 Персональные данные работников обрабатываются на основании Трудового кодекса РФ, иных нормативных правовых актов, содержащих нормы трудового права, Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", Закона РФ от 19.04.1991 N 1032-1 "О занятости населения в Российской Федерации", Федерального закона от 06.12.2011 N 402-ФЗ "О бухгалтерском учете", Постановления Правительства РФ от 27.11.2006 N 719 "Об утверждении Положения о воинском учете". Персональные данные работника работодатель получает непосредственно от работника. Работодатель вправе получить персональные данные работника от третьих лиц только при наличии письменного согласия работника или в иных случаях, прямо предусмотренных в законодательстве. При получении персональных данных не от работника (за исключением случаев, предусмотренных ч. 4 ст. 18 Федерального закона от 27.07.2006 N 152-ФЗ) работодатель до начала обработки таких персональных данных обязан предоставить работнику следующую информацию:
- наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
- цель обработки персональных данных и ее правовое основание;
- предполагаемые пользователи персональных данных;
- установленные Федеральным законом от 27.07.2006 N 152-ФЗ права субъекта персональных
данных;
- источник получения персональных данных.
9.2 Работник вправе:
- требовать полную информацию о своих персональных данных, об их обработке, использовании и хранении,
- получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копии любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных федеральным законом;
- требовать от работодателя исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса РФ или иного федерального закона;
- получать от работодателя сведения о наименовании и месте нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
- требовать извещения работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или
9
дополнениях;
- требовать прекратить в любое время передачу (распространение, предоставление, доступ)
персональных данных, разрешенных для распространения. Требование оформляется в письменном виде. Оно должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) работника, а также перечень персональных данных, обработка которых подлежит прекращению.
9.3. Работодатель не вправе предоставлять персональные данные работника третьей стороне без письменного согласия работника за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом. Персональные данные работника могут быть переданы представителям работников в порядке, установленном Трудовым кодексом Российской Федерации, в том объеме, в каком это необходимо для выполнения указанными представителями их функций. Передача персональных данных работника третьей стороне возможна только с письменного согласия работника с учетом исключений, указанных в настоящем Положении.
В случае разглашения персональных данных работника без его согласия он вправе требовать от работодателя разъяснений, а также вправе обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия работодателя при обработке и защите его персональных данных.
10. Ответственность
Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, а также привлекаются к административной, гражданско-правовой или уголовной ответственности в порядке, установленном федеральными законами.