ПОЛОЖЕНИЕ об обработке и защите персональных данных клиентов — DCmed — ​Клиника функциональной стоматологии и превентивной медицины

ПОЛОЖЕНИЕ об обработке и защите персональных данных клиентов

ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящее Положение об обработке и защите персональных данных клиентов (далее – Положение) является локальным нормативным актом индивидуального предпринимателя Даценко С.О. (КПП: 380801001, ИНН: 3810037117, далее — Оператор), определяющим порядок обработки и защиты персональных данных клиентов, обратившихся к Оператору за оказанием услуг и/или посетителей сайта (далее – Клиенты) Оператора в сети Интернет по адресу https://dcmed38.ru/, и разработано на основании ст. 24 Конституции РФ, Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Федерального закона Российской Федерации от 21 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»; Постановления Правительства РФ от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», Постановления Правительства от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановления Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»; Указа Президента РФ от 06 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера» и иных нормативных актов, действующих на территории Российской Федерации в области персональных данных.
1.2. В настоящем Положении используются следующие термины и определения:
Оператор – юридическое или физическое лицо (индивидуальный предприниматель), самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Клиент — физическое лицо, являющееся посетителем сайта Оператора в сети Интернет и/или обратившиеся к Оператору с целью получения реализуемых Оператором товаров и услуг на основании договора, либо состоящие в иных гражданско-правовых отношениях с Оператором по вопросам получения услуг.
Сайт – официальный сайт Оператора в сети Интернет по адресу https://dcmed38.ru/, используемый Оператором для размещения информации и оказания услуг Клиентам.
Персональные данные Клиента – информация, касающаяся конкретного Клиента, необходимая для надлежащего исполнения договорных обязательств по оказанию Клиенту услуг, реализуемых Оператором.
Обработка персональных данных — сбор, хранение, накопление, уточнение, использование, извлечение, блокирование, удаление и передача или любое другое использование персональных данных Клиентов в соответствии с законодательством.
Защита персональных данных Клиента — деятельность Оператора по обеспечению безопасности персональных данных Клиента с помощью локального регулирования порядка обработки персональных данных и организационно-технических мер конфиденциальности информации.
Конфиденциальность персональных данных — обязательное для соблюдения лицом, получившим доступ к персональным данным, требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
Остальные термины и определения по используются в соответствии с их значениями, определенными в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных).
1.3. В Положении устанавливаются:

  • цель, порядок и условия обработки персональных данных Клиентов;
  • категории субъектов, персональные данные которых обрабатываются, категории (перечни) обрабатываемых персональных данных, способы, сроки их обработки и хранения, порядок уничтожения таких данных при достижении целей обработки или при наступлении иных законных оснований;
  • положения, касающиеся защиты персональных данных, процедуры, направленные на выявление и предотвращение нарушений законодательства РФ в области персональных данных, а также на устранение последствий таких нарушений.
    1.4. Действие настоящего Положения распространяется на всех Клиентов, использующих сайт Оператора в сети Интернет и обратившихся за оказанием услуг к Оператору.
  1. ЦЕЛИ, ПОРЯДОК И СПОСОБЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ. СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ

2.1. Персональные данные Клиентов обрабатываются Оператором с целью:

  • регистрации и создания личного кабинета на сайте Оператора в сети Интернет;
  • авторизации Клиента на сайте Оператора в сети Интернет;
  • заключения и исполнения договоров оказания услуг;
  • оказания Клиенту качественных платных услуг в необходимых объемах;
  • обработки запросов, направленных Оператору посредством заполнения форм на сайте Оператора в сети Интернет;
  • ответов на запросы, направленные через форму обратной связи на сайте в сети Интернет и/ или отправку заявки для заключения договора и оказания услуги онлайн на сайте Оператора;
  • ознакомления Клиентов с новыми предложениями Оператора путем отправки (почта, e-mail рассылка, рассылка сообщений в мессенджерах (WhatsApp, Telegram, Viber и пр.) информации о новостях и специальных коммерческих предложениях;
  • участия в программах лояльности Оператора;
  • соблюдения требований действующего законодательства, иных нормативных правовых актов;
  • поддержания контактов с Клиентом.
    2.2. Персональные данные Клиентов являются конфиденциальными сведениями. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении срока хранения, если иное не определено законодательством Российской Федерации.
    2.3. В состав обрабатываемых Оператором персональных данных Клиентов могут входить:
  • фамилия, имя, отчество;
  • пол;
  • дата, место рождения и возраст;
  • паспортные данные;
  • адрес регистрации и проживания;
  • номер телефона, адрес электронной почты (по желанию);
  • вес, рост, другие биометрические данные;
  • данные аккаунтов социальных сетей;
    -другая информация, необходимая для оказания качественных услуг.
    2.4. Все персональные данные Клиента получаются от него самого. Клиент принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.
    2.5. Согласие на обработку персональных данных даётся посредством заполнения формы, размещенной на сайте Оператора в сети Интернет и должно быть конкретным, информированным и сознательным.
    2.6. Согласие на обработку персональных данных считается предоставленным Клиентом посредством совершения следующих конклюдентных действий в совокупности:
    проставление в соответствующей форме на Сайте отметки о согласии на обработку персональных данных в объеме, для целей и в порядке, предусмотренных в предлагаемом перед осуществлением регистрации на сайте для ознакомления Положении.
    Согласие считается полученным с момента такой регистрации при условии ее подтверждения Клиентом и действует до момента направления Клиентом соответствующего заявления о прекращении обработки персональных Оператору.
    2.7. Согласие на обработку персональных данных может быть в любое время отозвано Клиентом посредством направления заявления через форму обратной связи на сайте Оператора в сети Интернет либо путем направления письменного заявления по адресу места нахождения Оператора.
    2.8. Обработка персональных данных Оператором выполняется следующими способами:
  • неавтоматизированная обработка персональных данных;
  • автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
  • смешанная обработка персональных данных.
    2.9. Обработка персональных данных осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, обезличивания, блокирования, удаления, уничтожения персональных данных, в том числе с помощью средств вычислительной техники.
    2.10. Передача (распространение, предоставление, доступ) персональных данных Клиентов осуществляется в случаях и в порядке, предусмотренных законодательством в области персональных данных и настоящим Положением.
    2.11. При передаче персональных данных Клиентов Оператор должен соблюдать следующие требования:
    2.11.1. Персональные данные передаются третьим лицам в случаях, поименованных в законодательстве и настоящем Положении, а также в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью Клиента.
    2.11.2. Не сообщать персональные данные Клиента в коммерческих целях без его согласия.
    2.11.3. Предупредить лиц, получивших персональные данные Клиента о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено.
  1. ХРАНЕНИЕ, НАКОПЛЕНИЕ И ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ

3.1. Персональные данные Клиентов хранятся и обрабатываются с соблюдением требований действующего Российского законодательства о защите персональных данных.
3.2. Персональные данные Клиентов хранятся и обрабатываются по месту нахождения Оператора.
3.3. Порядок хранения документов, содержащих персональные данные Клиентов, определяется в соответствии с требованиями действующего законодательства.
3.4. Персональные данные Клиентов хранятся на бумажных носителях и в электронном виде.
3.5. Хранение содержащих персональные данные Клиентов и оконченных производством документов, содержащих персональные данные, осуществляется в отдельном кабинете, закрывающемся на ключ, оборудованным системой охранной сигнализации.
3.6. Хранение персональных данных Клиентов в электронном виде осуществляется на дисках в электронных папках, защищенных паролями доступа.
3.7. Возможна передача персональных данных Клиентов по внутренней локальной сети Оператора с использованием технических и программных средств защиты информации, с доступом только для работников Оператора, допущенных к работе с персональными данными Клиентов и только в объеме, необходимом данным работникам для выполнения своих должностных обязанностей.
3.8. Хранение персональных данных Клиентов осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
Хранение документов, содержащих персональные данные, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов. По истечении установленных сроков хранения документы подлежат уничтожению.
3.9. Оператор обеспечивает ограничение доступа к персональным данным Клиентов лицам, не уполномоченным федеральным законодательством, либо Оператором для получения соответствующих сведений.
3.10. Доступ к персональным данным Клиентов имеют только работники Оператора, подписавшие обязательство о неразглашение конфиденциальной информации. Персональные данные выдаются в объеме, необходимом для выполнения своих должностных обязанностей.
3.11. Ответственными за организацию и осуществление хранения персональных данных Клиентов является непосредственно индивидуальный предприниматель.
3.12. Контроль за обеспечением безопасности персональных данных при их обработке в информационных системах персональных данных в соответствии с требованиями законодательства РФ возлагается на руководителя Оператора или лицо, на которого такие обязанности возложены соответствующим приказом руководителя Оператора.
3.12. Оператор вправе передать (предоставлять) персональные данные Клиента третьим лицам в следующих случаях:
3.12.1. Клиент выразил свое согласие, либо не выразил несогласия с такими действиями;
3.12.2. передача необходима для выполнения договорных обязательств;
3.12.3. передача предусмотрена российским или иным применимым законодательством, в том числе предоставление персональных данных Клиента лицам, имеющим в силу законодательства право получения данной информации: прокуратура, суды, правоохранительные и иные органы;
3.12.4. передача происходит в рамках реорганизации, продажи или иной передачи бизнеса (полностью или в части), при этом к приобретателю переходят все обязательства по соблюдению условий настоящего Положения применительно к получаемым им персональным данным;
3.12.5. в целях обеспечения возможности защиты прав и законных интересов Оператора в случаях, когда Клиент уклоняется от выполнения своих обязательств по заключенным договорам.

  1. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Без письменного согласия субъекта персональных данных Оператор не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом и настоящим Положением.
4.1.1. Запрещено раскрытие и распространение персональных данных Клиентов по телефону.
4.2. С целью защиты персональных данных Оператор соответствующими приказами назначает (утверждает):

  • работников, ответственных за организацию обработки персональных данных;
  • перечень должностей, при замещении которых обрабатываются персональные данные;
  • форму согласия на обработку персональных данных, форму согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения;
  • порядок защиты персональных данных при их обработке в информационных системах персональных данных;
  • порядок проведения внутренних расследований, проверок;
  • иные локальные нормативные акты, принимаемые в соответствии с требованиями законодательства в области персональных данных.
    4.3. Работники, которые занимают должности, предусматривающие обработку персональных данных, допускаются к ней после подписания обязательства об их неразглашении. Доступ к персональным данным Клиентов имеют только работники Оператора, подписавшие обязательство о неразглашение конфиденциальной информации. Персональные данные выдаются в объеме, необходимом для выполнения своих должностных обязанностей.
    4.4. Материальные носители персональных данных хранятся в шкафах, запирающихся на ключ. Помещения, в которых они размещаются, оборудуются запирающими устройствами и средствами охранной сигнализации. Выдача ключей от шкафов и помещений осуществляется под подпись.
    4.5. Доступ к персональным данным, содержащимся в информационных системах Оператора, осуществляется путем разграничения прав доступа работников Оператора с использованием учетной записи и системой паролей. Пароли устанавливаются руководителем Оператора и сообщаются индивидуально работникам, имеющим доступ к персональным данным Клиентов. Смена паролей доступа должна осуществляться не реже одного раза в полгода.
    4.5.1. Для каждого работника Оператора, работающего с персональными данными, заводится отдельная учетная запись для входа в компьютер. До начала работы работник должен ввести свое имя и пароль, после нескольких неправильных попыток ввода пароля учетная запись работника блокируется. Если система не используется работником на протяжении более, чем десяти минут, вход в учетную запись автоматически блокируется.
    4.6. Оператор использует сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
    4.7. Оператор использует лицензионные программные продукты, предотвращающие несанкционированный доступ третьих лиц к персональным данным Клиентов.
    4.8. В случае обработки персональных данных в информационных системах персональных данных, способы защиты персональных данных устанавливаются в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
    4.9. Работники Оператора, обрабатывающие персональные данные, периодически проходят обучение требованиям законодательства в области персональных данных.
    4.10. Оператором проводятся внутренние расследования в следующих ситуациях:
  • при неправомерной или случайной передаче (предоставлении, распространении, доступе) персональных данных, повлекшей нарушение прав субъектов персональных данных;
  • при обнаружении фактов несанкционированного доступа к персональным данным;
  • в иных случаях, предусмотренных законодательством в области персональных данных.
  1. ПОРЯДОК БЛОКИРОВКИ И УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Оператор блокирует персональные данные Клиентов в порядке и на условиях, предусмотренных законодательством в области персональных данных.
5.2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются. Исключение может предусматриваться федеральным законодательством.
5.3. Клиент вправе в любое время отозвать свое согласие на обработку персональных данных.
5.4. Если Клиент обратился в Оператору с требованием о прекращении обработки персональных данных, Оператор прекращает обработку персональных данных в течение 10 рабочих дней с даты получения требования прекратить обработку или обеспечить ее прекращение. Исключение составляют случаи, предусмотренные п. п. 2 — 11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона о персональных данных. Указанный срок может быть продлен в случае направления мотивированного уведомления о причинах такого продления, но не более чем на пять рабочих дней.
5.5. Если субъект персональных данных отозвал согласие на обработку его персональных данных, Оператор прекращает их обработку или обеспечивает прекращение такой обработки. Если при этом сохранение персональных данных более не требуется для целей обработки персональных данных, персональные данные подлежат уничтожению в течение 30 дней с даты поступления отзыва на обработку персональных данных.
5.6. Незаконно полученные персональные данные или те, которые не являются необходимыми для цели обработки, уничтожаются в течение 7 (семи) рабочих дней со дня представления субъектом персональных данных (его представителем) подтверждающих сведений.
5.7. Персональные данные, обработка которых прекращена из-за ее неправомерности и правомерность обработки которых невозможно обеспечить, уничтожаются в течение 10 рабочих дней с даты выявления неправомерной обработки.
5.8. Персональные данные уничтожаются в течение 30 дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иным соглашением между ним и Оператором либо если Оператор не вправе обрабатывать персональные данные без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
5.9. Отбор материальных носителей (документы, жесткие диски, флеш-накопители и т.п.) и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляют работники Оператора, обрабатывающие персональные данные.
5.10. Уничтожение персональных данных осуществляет комиссия, созданная приказом руководителя Оператора.
5.10.1. Комиссия составляет акт с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.
5.10.2. Персональные данные на бумажных носителях уничтожаются с использованием шредера. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.
5.10.3. Непосредственно после уничтожения персональных данных оформляется акт об их уничтожении. Форма акта утверждается приказом руководителя Оператора.

  1. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

6.1. К настоящему Положению обеспечивается неограниченный доступ путем его размещения на сайте Оператора в сети Интернет по адресу https://dcmed38.ru/.
6.2. Настоящее Положение подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.
6.3. Контроль исполнения требований настоящего Положения осуществляется лицами, ответственными за организацию обработки персональных данных и руководителем Оператора.
6.4. Ответственность должностных лиц Оператора, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации.