ПОЛОЖЕНИЕ О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
г. Краснодар 2022 год.

ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Положение о защите персональных данных (далее – Положение) Общества с ограниченной ответственностью «Стомэкс» (далее – Оператор) разработано в соответствии с Трудовым кодексом Российской Федерации, Федеральным законом от27.06.2006 №152-ФЗ «О персональных данных», Федеральным законом от 30.12.2020 №519-ФЗ и иными нормативно-правовыми актами, действующими на территории Российской Федерации.
1.2. Настоящее Положение определяет политику в отношении обработки персональных данных, порядок работы (сбора, обработки, использования, хранения,распространения и т.д.) с персональными данными Субъектов, клиентов,контрагентов, партнеров, пользователей интернет-сайтов, и посетителей помещений Оператора (далее-Субъекты), гарантии конфиденциальности сведений,предоставленных Оператору, а также установление ответственности должностных лиц Оператора и сторонних организаций, имеющих доступ к персональным данным Субъектов Оператора, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.3. Для целей настоящего Положения используются следующие основные понятия:
• персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу(субъекту персональных данных), в том числе его фамилия, имя, отчество, год,месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
• обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя: сбор, запись, систематизацию,накопление, хранение, уточнение (обновление, изменение), извлечение,использование, передачу (распространение, предоставление, доступ),обезличивание, блокирование, удаление, уничтожение персональных данных;
• автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
• распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
• предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
• блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
• уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уни3
• обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
• персональные данные, разрешённые субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путём дачи согласия на обработку персональных данных, разрешённых субъектом персональных данных для распространения;
• информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
• трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
• субъект персональных данных – физическое лицо, данные которого обрабатываются;
• конфиденциальность персональных данных – обязательное для Оператора и иных лиц, получивших доступ к персональным данным, требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

1.4. Сведения о персональных данных Субъектов относятся к числу конфиденциальных и составляют охраняемую законом тайну. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.5. Режим конфиденциальность персональных данных не применяется в случае обезличивания персональных данных.
1.6. По истечении срока хранения документы, содержащие персональные данные Субъектов, подлежит уничтожению.
1.7. Обработка персональных данных осуществляется на законной и справедливой основе.
1.8. Обработка персональных данных ограничивается достижением конкретных,заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
1.9. Не допускается объединение баз данных, содержащих персональные данные,обработка которых осуществляется в целях, несовместимых между собой.
1.10. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
1.11. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки.
1.12. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры и/или обеспечивает их принятие по удалению или уточнению неполных или неточных данных.
1.13. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого,выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

2. СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ2.
1. Оператор может обрабатывать следующие персональные данные:
• фамилия, имя, отчество;
• дата и место рождения;
• адреса места жительства и регистрации;
• контактный телефон;
• гражданство;
• образование;
• профессия, должность, стаж работы;
• семейное положение, наличие детей;
• серия и номер основного документа, удостоверяющего личность, сведения о выдаче указанного документа и выдавшем его органе;
• данные страхового свидетельства государственного пенсионного страхования;
• идентификационный номер налогоплательщика;
• табельный номер;
• сведения о доходах;
• сведения о воинском учёте;
• сведения о повышении квалификации, о профессиональной переподготовке;
• сведения о наградах (поощрениях), почетных званиях;
• сведения о социальных гарантиях;
• сведения о состоянии здоровья;
• фото- и видео-изображения внешности;
• данные о рисунке отпечатков пальцев;
• сведения о банковских счетах;
• иные сведения, с которыми Субъект считает нужным ознакомить Оператора.
2.2. У Оператора создаются и хранятся следующие документы (компьютерные файлы), содержащие персональные данные субъектов:
• документы, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводу, увольнении;
• трудовые книжки Субъектов;
• подлинники и копии приказов (распоряжений) по личному составу;
• документы, связанные с выплатой заработной платы;
• справочной
• подлинники и копии отчетных, аналитических и справочных материалов;
• копии отчетов, направляемых в предусмотренных законом случаях в государственные органы статистики, налоговые инспекции и другие органы(организации).
• медицинские документы пациентов;
• гражданско-правовые договоры, заключенные с пациентами и иными физическими лицами;• файлы и базы данных компьютерных систем бухгалтерского учета;
• файлы и базы данных компьютерных систем учета и сопровождения лечения пациентов;
• файлы видеозаписи системы видеонаблюдения;
• файлы и базы данных биометрической системы учета времени и контроля доступа;

3. ПОЛУЧЕНИЕ И ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ.
1. Персональные данные Субъекта Оператор получает непосредственно от Субъекта.Оператор вправе получать персональные данные Субъекта от третьих лиц только при наличии согласия Субъекта или в иных случаях, прямо предусмотренных в законодательстве.
3.2. Оператор не вправе требовать от Субъекта предоставления информации о политических и религиозных убеждениях и о его частной жизни.
3.3. Субъект представляет Оператору достоверные сведения о себе. Оператор проверяет достоверность сведений, сверяя данные, представленные Субъектом, с имеющимися у Субъекта документами.
3.4. При изменении персональных данных Субъект письменно уведомляет Оператора о таких изменениях в разумный срок, не превышающий 5 дней.
3.5. По мере необходимости Оператор истребует у Субъекта дополнительные сведения.Субъект предоставляет требуемые сведения и в случае необходимости предъявляет документы, подтверждающие достоверность этих сведений.
3.6. Обработка персональных данных осуществляется в соответствии с Положением об обработке и защите персональных данных.
3.7. Оператор вправе обрабатывать персональные данные Субъекта только после получения письменного согласия на обработку его персональных данных, за исключением случаев, предусмотренных статьей 6 Федерального закона от 27.07.2006№ 152-ФЗ «О персональных данных».
3.8. Письменное согласие субъекта персональных данных (Приложения 1, 1.1, 1.2.)включает:
• фамилию, имя, отчество;
• адрес субъекта персональных данных;
• номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• наименование и адрес Оператора;
• цель обработки персональных данных;
• перечень персональных данных, на обработку которых даётся согласие субъекта персональных данных;
• перечень действий с персональными данными, на совершение которых даётся согласие, общее описание используемых Работодателем способов обработки персональных данных;
• срок, в течение которого действует согласие;
• способ отзыва согласия;
• подпись субъекта персональных данных.
3.9. Согласия Субъекта на получение его персональных данных от третьих лиц не требуется в случаях, когда согласие субъекта на передачу его персональных данных третьим лицам получено от него в письменном виде, а также в случаях,установленных законодательством РФ.
3.10. Согласие на обработку персональных данных может быть отозвано Субъектом.В случае отзыва Субъектом согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия Субъекта при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10и части 2 статьи 11 федерального закона "О персональных данных" от 27 июля 2006 г.№ 152-ФЗ.
3.11. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативно-правовых актов, в том числе оформления трудовых отношений, ведения кадрового делопроизводства,содействия в трудоустройстве, обучения, пользования различными льготами и гарантиями, обеспечения личной безопасности Субъектов, контроля количества и качества выполняемой работы, сохранности имущества, оказания медицинских или иных услуг, продажи товаров, обеспечение доступа на территорию и в помещения занимаемые Оператором, информирование пользователей интернет-сайтов Оператора посредством отправки электронных писем, сбора заявок на оказание услуг на интернет-сайтах Оператора.
3.12. Обработка персональных данных в информационных системах персональных данных осуществляется в соответствии с требованиями Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», нормативных документов уполномоченных федеральных органов исполнительной власти.
3.13. Обработка персональных данных, осуществляемая без использования средств автоматизации, считается таковой, если такие действия с персональными данными осуществляются при непосредственном участии человека. Обработка персональных данных, осуществляемая без использования средств автоматизации,осуществляется в соответствии с требованиями Постановления Правительства РФ от15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
3.14. Документы, файлы и базы данных, содержащие персональные данные,обрабатываются в служебных помещениях с ограничением доступа.
3.15. В целях обеспечения сохранности и конфиденциальности персональных данных Субъектами Оператора, осуществляющими данную работу в соответствии с трудовыми обязанностями.
3.16. Доступ к компьютерной технике, на которой хранятся файлы и базы данных, содержащие персональные данные, защищается восьмизначным, буквенно-цифровым паролем. Смена пароля осуществляется не реже одного раза в месяц, атакже в случае поступления сведений о дискредитации пароля.
3.17. Лица, допущенные к обработке персональных данных, подписывают обязательство о неразглашении персональных данных (Приложение 3).
3.18. При принятии решений, затрагивающих интересы Субъекта, Оператор не имеет права основываться на персональных данных Субъекта, полученных исключительно в результате их автоматизированной обработки или электронного
поступления. Оператор также не вправе принимать решения, затрагивающие
интересы Субъекта, основываясь на данных, допускающих двоякое толкование. В случае если на основании персональных данных Субъекта невозможно достоверно установить какой-либо факт, Оператор предлагает Субъекту предоставить письменные разъяснения.
3.19. Оператор предоставляет субъекту персональных данных по его просьбе информацию, касающуюся его персональных данных, имеющихся в распоряжении Оператора.
3.20. Субъект вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными,устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

4. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Оператор обеспечивает хранение персональных данных осуществляется в соответствии с Положением об обработке персональных данных ООО"Стомэкс".
4.2. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
4.3. Персональные данные на бумажных носителях хранятся в Обществе в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 N 125-ФЗ"Об архивном деле в Российской Федерации", Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 N 236)).
4.4. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.Исключение - случаи, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных.

5. ПЕРЕДАЧА И РАСПРОСТРАНЕНИЕПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Для передачи персональных данных Оператором должно быть получено согласие Субъекта в установленной законом форме.
5.2. Оператор вправе передать информацию, которая относится к персональным данным Субъекта без его согласия, если такие сведения нужно передать по запросу государственных органов, в порядке, установленном федеральным законом.
5.3. Оператор не вправе предоставлять персональные данные Субъекта третьей стороне без письменного согласия Субъекта за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Субъекта, а также вслучаях, установленных федеральным законом.
5.4. В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом на получение информации, относящейся к персональным данным Субъекта,Оператор обязан отказать лицу в выдаче информации. Лицу, обратившемуся с запросом, выдается уведомление об отказе в выдаче информации.
5.5. Персональные данные Субъекта могут быть переданы представителям Субъектов в порядке, установленном Трудовым кодексом, в том объеме, в каком это необходимо для выполнения указанными представителями их функций.
5.6. Согласие на обработку персональных данных, разрешенных Субъектом для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных (Приложение 2).
5.7. Оператор обязан обеспечить Субъекту возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на распространение персональных данных.
5.8. В случае если из предоставленного Субъектом согласия на распространение персональных данных не следует, что Субъект согласился с распространением персональных данных, такие персональные данные обрабатываются Оператором без права распространения.
5.9. В случае если из предоставленного Субъектом согласия на передачу персональных данных не следует, что Субъект не установил запреты и условия на обработку персональных данных или не указал категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, Оператор обрабатывает такие персональные данные без возможности передачи (распространения, предоставления, доступа)неограниченному кругу лиц.
5.10. Согласие Субъекта на распространение персональных данных может быть предоставлено Оператору:
• непосредственно;
• с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.
5.11. В согласии на распространение персональных данных Субъект в праве установить запреты на передачу (кроме предоставления доступа) этих персональны данных Оператору неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ Оператора в установлении Субъектом данных запретов и условий не допускается
5.12. Оператор обязан в срок не позднее трёх рабочих дней с момента получения согласия 9информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных Субъекта для распространения.
5.13. Передача (распространение, предоставление, доступ) персональных данных,разрешенных Субъектом для распространения, должна быть прекращена в любое время по его требованию. Данное требование должно включать в себя фамилию, имя,отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) Субъекта, а также перечень персональных данных, обработка которых подлежит прекращению.
5.14. Действие согласия Субъекта на распространение персональных данных прекращается с момента поступления Оператору требования, указанного в пункте
5.15 настоящего положения.5.15. Субъект вправе обратиться с требованием прекратить передачу(распространение, предоставление, доступ) своих персональных данных, ранее разрешённых для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений Федерального закона от27.07.2006 № 152-ФЗ или обратиться с таким требованием в суд. Оператор или третье лицо обязано прекратить передачу (распространение, предоставление, доступ)персональных данных в течение трёх рабочих дней с момента получения требования Субъекта или в срок, указанный во вступившем в законную силу решении суда. Если такой срок в решении суда не указан, то Оператор или третье лицо обязано прекратить передачу персональных данных Субъекта в течение трёх рабочих дней с момента вступления решения суда в законную силу.
5.16. Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также и ных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом.
5.17. Персональные данные пациента, в случае отправки им заявки на оказание медицинских услуг на интернет-сайтах Оператора, при необходимости и в целях оказания таких услуг, могут быть переданы Оператором ООО "Стомэкс" (ОГРН1212300065911, адрес местонахождения: 350000, Краснодарский край, г. Краснодар, ул. Уральская, 71 копрус 3),являющимся организацией оказывающей медицинские услуги.
6. ГАРАНТИИ КОНФИДЕНЦИАЛЬНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Информация, относящаяся к персональным данным Субъекта, является служебной тайной и охраняется законом.
6.2. Персональные данные Пользователя ни при каких условиях не подлежат передаче третьим лицам, за исключением случаев, связанных с исполнением действующего законодательства либо в случае, если субъектом персональных данных дано согласие Оператору на передачу данных третьему лицу для исполнения обязательств по гражданско-правовому договору.
6.3. Работник Оператора, которому в силу трудовых отношений стала известна информация, составляющая персональные данные, в случае нарушения им режима защиты этих персональных данных несёт ответственность в порядке, установленном законодательством.
6.4. Оператор принимает технические и организацино-правовые меры,направленные на обеспечение защиты персональных данных.
7. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
7.1. Настоящее Положение вступает в силу с момента его утверждения Оператором и действует бессрочно, до замены его новым Положением.
7.2. Все изменения в Положение вносятся приказом директора Оператора.
7.3. Настоящее Положение размещается в местах, доступных для ознакомления Субъектами.