Регистрация

Приказ № 5 от «08» августа 2024 года

Посмотреть Приказ

ПОЛИТИКА ООО «МЕДИЛОГ» В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Политика ООО «МЕДИЛОГ» разработана для выполнения обязанностей, установленных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»

Редакция Политики ООО «МЕДИЛОГ» подготовлена на основе изменений, внесённых Федеральным законом от 08.08.2024 N 233-ФЗ

Использование сайта подтверждает безоговорочное согласие Пользователя с настоящей Политикой в отношении обработки персональных данных и соглашается на их обработку.

СОДЕРЖАНИЕ

1. ОБЩИЕ ПОЛОЖЕНИЯ
2. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Принципы обработки персональных данных
2.2. Условия обработки персональных данных
2.3. Конфиденциальность персональных данных
2.4. Общедоступные источники персональных данных
2.5. Специальные категории персональных данных
2.6. Биометрические персональные данные
2.7. Поручение обработки персональных данных другому лицу
2.8. Трансграничная передача персональных данных
3. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Согласие субъекта персональных данных на обработку его персональных данных
3.2. Права субъекта персональных данных
4. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Меры, направленные на выполнение ООО «МЕДИЛОГ» обязанностей, предусмотренных ФЗ-152.
4.2. Меры по обеспечению безопасности персональных данных при их обработке
4.3. Требования к защите ПДн при их обработке в информационных системах ПДн
5. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ.
6. ПРИКАЗЫВАЮ.

1. ОБЩИЕ ПОЛОЖЕНИЯ 

Настоящий Приказ определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в ООО «Медилог» (далее - Оператор), в том числе, с использованием сети Интернет, с целью обеспечения защиты прав и свобод человека и гражданина, соблюдения действующего законодательства РФ при обработке персональных данных и определении полномочий Оператора и субъектов в сфере обработки персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. 

Политика Оператора в отношении обработки персональных данных (далее - Политика) разработана в соответствии с Федеральным законом от 27.07.2006. №152-ФЗ «О персональных данных» в редакции от 08.08.2024 (далее - ФЗ-152). Настоящая редакция Политики подготовлена на основе изменений, внесенных Федеральным законом от 08.08.2024 N 233-ФЗ. 

Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его Политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего оператору сайта в информационно-телекоммуникационной сети Интернет, с использованием которых осуществляется сбор персональных данных, документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети. 

В Политике оператора в отношении обработки персональных данных используются следующие основные понятия: 

- персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); 

- оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн; 

- обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; 

- автоматизированная обработка ПДн - обработка ПДн с помощью средств вычислительной техники; - распространение ПДн - действия, направленные на раскрытие ПДн неопределенному кругу лиц; 

- предоставление ПДн - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц; 

- блокирование ПДн - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн); 

- уничтожение ПДн - действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн; 

- обезличивание ПДн - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн; - информационная система персональных данных (ИСПДн) 

- информационная система ПДн - совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств; 

- трансграничная передача ПДн - передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу. 

2. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПДн 

2.1. Принципы обработки ПДн Обработка ПДн Оператором осуществляется на основе следующих принципов: 

- законности и справедливой основы; 

- ограничения обработки ПДн достижением конкретных, заранее определенных и законных целей; 

- недопущения обработки ПДн, несовместимой с целями сбора ПДн; 

- недопущения объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях , несовместимых между собой; 

- обработки только тех ПДн, которые отвечают целям их обработки; 

- соответствия содержания и объема обрабатываемых ПДн заявленным целям обработки; 

- недопущения обработки ПДн, избыточных по отношению к заявленным целям их обработки; 

- обеспечения точности, достаточности и актуальности ПДн по отношению к целям обработки ПДн; 

- уничтожения либо обезличивания ПДн по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений ПДн, если иное не предусмотрено федеральным законом. 

2.2. Условия обработки ПДн 

В соответствии со Статьей 2 Федерального закона от 21 июля 2014 года № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки ПДн в информационно-телекоммуникационных сетях» Оператор обязан при сборе ПДн, в том числе посредством информационно-телекоммуникационной сети "Интернет", обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 Статьи 6 № ФЗ-152. Оператор производит обработку ПДн в следующих случаях: 

- обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн; 

- обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей; 

- обработка ПДн осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах; 

- обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом ПДн договор не может содержать положения, ограничивающие права и свободы субъекта ПДн, устанавливающие случаи обработки ПДн несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта ПДн; 

- обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно; 

- обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях", либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн; 

- обработка ПДн необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта ПДн; 

- обработка ПДн осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 ФЗ-152, при условии обязательного обезличивания персональных данных; 

- осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом. 

2.3. Конфиденциальность ПДн

Операторы и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом. 

2.4. Общедоступные источники ПДн 

В целях информационного обеспечения могут создаваться общедоступные источники ПДн (в том числе справочники, адресные книги). В общедоступные источники ПДн с письменного согласия субъекта ПДн могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом ПДн. 

Сведения о субъекте ПДн должны быть в любое время исключены из общедоступных источников ПДн по требованию субъекта ПДн либо по решению суда или иных уполномоченных государственных органов. 

2.5. Специальные категории ПДн 

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, если:

- субъект ПДн дал согласие в письменной форме на обработку своих ПДн; 

- обработка ПДн, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных Статьей 10.1 ФЗ-152; обработка ПДн осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации; 

- обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно; - обработка ПДн осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну; - обработка ПДн необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия; 

- обработка ПДн осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством; 

- обработка ПДн осуществляется в соответствии с законодательством Российской Федерации о гражданстве Российской Федерации. 

- обработка ПДн, касающихся состояния здоровья, полученных в результате обезличивания персональных данных, допускается в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным законом от 24 апреля 2020 года N 123-ФЗ "О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона "О персональных данных" и Федеральным законом от 31 июля 2020 года N 258-ФЗ "Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации", в порядке и на условиях, которые предусмотрены указанными федеральными законами. 

Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 Статьи 10 ФЗ-152, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом. 

2.6. Биометрические персональные данные 

Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 Статьи 11 ФЗ-152. 

Предоставление биометрических персональных данных не может быть обязательным, за исключением случаев, предусмотренных частью 2 Статьи 11 ФЗ-152. Оператор не вправе отказывать в обслуживании в случае отказа субъекта персональных данных предоставить биометрические персональные данные и (или) дать согласие на обработку персональных данных, если в соответствии с федеральным законом получение оператором согласия на обработку персональных данных не является обязательным. 

2.7. Поручение обработки ПДн другому лицу 

Оператор вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным органом или муниципальным органом соответствующего акта (далее - поручение оператора). 

Лицо, осуществляющее обработку ПДн по поручению оператора, обязано соблюдать принципы и правила обработки ПДн, предусмотренные настоящим Федеральным законом, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных ФЗ-152. В поручении оператора должны быть определены перечень ПДн, перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку Пдн, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 Статьи 18 и Статьей 18.1 ФЗ-152, обязанность по запросу Оператора ПДн в течение срока действия поручения оператора, в том числе до обработки ПДн, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии со Статьей 6 ФЗ-152, обязанность обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со Статьей 19 ФЗ-152, в том числе требование об уведомлении Оператора о случаях, предусмотренных частью 3.1 Статьи 21 ФЗ-152. 

Лицо, осуществляющее обработку ПДн по поручению Оператора, не обязано получать согласие субъекта персональных данных на обработку его ПДн. 

В случае, если Оператор поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Оператор. Лицо, осуществляющее обработку ПДн по поручению оператора, несет ответственность перед Оператором. В случае, если Оператор поручает обработку ПДн иностранному физическому лицу или иностранному юридическому лицу, ответственность перед субъектом ПДн за действия указанных лиц несет Оператор и лицо, осуществляющее обработку ПДн по поручению Оператора. 

2.8. Трансграничная передача ПДн 

Оператор обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу ПДн, обеспечивается адекватная защита прав субъектов ПДн, до начала осуществления такой передачи. Трансграничная передача ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов ПДн ‚ может осуществляться в случаях: 

- наличия согласия в письменной форме субъекта ПДн на трансграничную передачу его ПДн; 

- исполнения договора, стороной которого является субъект ПДн. 

3. ПРАВА СУБЪЕКТА ПДн 

3.1. Согласие субъекта ПДн на обработку его ПДн 

Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПДн должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку ПДн от представителя субъекта ПДн полномочия данного представителя на дачу согласия от имени субъекта ПДн проверяются оператором. 

Согласие на обработку ПДн может быть отозвано субъектом ПДн. В случае отзыва субъектом ПДн согласия на обработку ПДн Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 Статьи 6, части 2 Статьи 10 и части 2 Статьи 11 ФЗ-152. 

Обязанность предоставить доказательство получения согласия субъекта ПДн на обработку его ПДн или доказательство наличия оснований, указанных в пунктах 2 - 11 части 1 Статьи 6, части 2 Статьи 10 и части 2 Статьи 11 ФЗ-152, возлагается на Оператора. 

В случаях, предусмотренных федеральным законом, обработка ПДн осуществляется только с согласия в письменной форме субъекта ПДн. Равнозначным содержащему собственноручную подпись субъекта ПДн согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта ПДн на обработку его ПДн должно включать в себя, в частности: 

1) фамилию, имя, отчество, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; 

2) фамилию, имя, отчество, адрес представителя субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта ПДн персональных данных); 

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн; 

4) цель обработки ПДн; 

5) перечень ПДн, на обработку которых дается согласие субъекта ПДн; 

6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка будет поручена такому лицу; 

7) перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн; 

8) срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва, если иное не установлено федеральным законом; 

9) подпись субъекта ПДн. 

В случае недееспособности субъекта ПДн согласие на обработку его ПДн дает законный представитель субъекта ПДн. 

В случае смерти субъекта ПДн согласие на обработку его ПДн дают наследники субъекта ПДн, если такое согласие не было дано субъектом ПДн при его жизни. 

Персональные данные могут быть получены оператором от лица, не являющегося субъектом ПДн, при условии предоставления Оператору подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 Статьи 6, части 2 Статьи 10 и части 2 Статьи 11 ФЗ-152. 

3.2. Права субъекта ПДн 

Субъект ПДн имеет право на получение сведений, указанных в части 7 Статьи 14 ФЗ-152, за исключением случаев, предусмотренных частью 9 Статьи 14 ФЗ-152. Субъект ПДн вправе требовать от оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. 

Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей: 

1) подтверждение факта обработки ПДн оператором; 

2) правовые основания и цели обработки ПДн; 

3) цели и применяемые оператором способы обработки ПДн; 

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании федерального закона; 

5) обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; 

6) сроки обработки ПДн, в том числе сроки их хранения; 

7) порядок осуществления субъектом ПДн прав, предусмотренных настоящим Федеральным законом; 

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных; 

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка поручена или будет поручена такому лицу; 

10) информацию о способах исполнения оператором обязанностей, установленных Статьей 18.1 ФЗ-152. 

Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами, в том числе если доступ субъекта ПДн к его персональным данным нарушает права и законные интересы третьих лиц.

Обработка ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта ПДн. Указанная обработка ПДн признается осуществляемой без предварительного согласия субъекта ПДн, если оператор не докажет, что такое согласие было получено. 

Согласие субъекта ПДн может быть отозвано электронным письмом на адрес: unsubscribe@medilog.ru

Оператор обязан немедленно прекратить по требованию субъекта ПДн обработку его ПДн, указанную в части 1 Статьи 15 ФЗ-152. 

Запрещается принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, за исключением случаев: 

- Решение, порождающее юридические последствия в отношении субъекта ПДн или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его ПДн только при наличии согласия в письменной форме субъекта ПДн;

- В случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта ПДн. 

Если субъект ПДн считает, что оператор осуществляет обработку его ПДн с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке. 

Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке. 

4. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПДн 

4.1. Меры, направленные на выполнение ООО «МЕДИЛОГ» обязанностей, предусмотренных ФЗ-152. 

Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных ФЗ-152 и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных ФЗ-152 и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено ФЗ-152 или другими федеральными законами. К таким мерам, в частности, относятся: 

1) назначение Оператором ответственного за организацию обработки ПДн; 

2) издание Оператором документов, определяющих политику Оператора в отношении обработки ПДн, локальных актов по вопросам обработки ПДн, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения ПДн при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности; 

3) применение правовых, организационных и технических мер по обеспечению безопасности ПДн в соответствии со Статьей 19 ФЗ-152; 

4) осуществление внутреннего контроля и (или) аудита соответствия обработки ПДн ФЗ-152 и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике Оператора в отношении обработки ПДн, локальным актам оператора; 

5) оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПДн, который может быть причинен субъектам ПДн в случае нарушения ФЗ-152, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ-152; 

6) ознакомление работников Оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику оператора в отношении обработки ПДн, локальными актами по вопросам обработки ПДн, и обучение указанных работников. 

4.2. Меры по обеспечению безопасности персональных данных при их обработке Оператор при обработке 

ПДн обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн. 

Обеспечение безопасности ПДн достигается, в частности: 

1) определением угроз безопасности ПДн при их обработке в информационных системах ПДн; 

2) применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн; 

3) применением прошедших в установленном порядке процедур оценки соответствия средств защиты информации; 

3.1) применением для уничтожения персональных данных прошедших в установленном порядке процедур оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации; 

4) оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационной системы ПДн; 

5) учетом машинных носителей ПДн; 

6) обнаружением фактов несанкционированного доступа к ПДн и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы ПДн и по реагированию на компьютерные инциденты в них; 

7) восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; 

8) установлением правил доступа к ПДн, обрабатываемым в информационной системе ПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в информационной системе ПДн; 

9) контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности информационных систем ПДн. 

10) Использование антивирусных средств, приложений для безопасного туннелирования IP-сетей с поддержкой аутентификации сессий, средств резервного копирования и средств восстановления информационной системы ПДн; 

11) Применение в необходимых случаях средств межсетевого экранирования, обнаружения вторжений, анализа защищенности и средств криптографической защиты информации; 

12) Организация системы контроля доступа на территорию Оператора‚ охраны помещений с техническими средствами обработки ПДн. 

4.3. Требования к защите ПДн при их обработке в информационных системах ПДн 

Информационная система является информационной системой, обрабатывающей специальные категории ПДн, если в ней обрабатываются ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных. 

Информационная система является информационной системой, обрабатывающей биометрические ПДн, если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн, и не обрабатываются сведения, относящиеся к специальным категориям ПДн. 

Информационная система является информационной системой, обрабатывающей ПДн сотрудников оператора, если в ней обрабатываются ПДн только указанных сотрудников. В остальных случаях информационная система персональных данных является информационной системой, обрабатывающей ПДн субъектов персональных данных, не являющихся сотрудниками оператора. 

Под актуальными угрозами безопасности ПДн понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к ПДн при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия. 

Для информационной системы Оператора обрабатывающей ПДн актуальны угрозы 3-го типа, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе. 

При обработке в информационной системе устанавливается необходимость обеспечения 4-го уровня защищенности ПДн. 

5. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ 

Иные права и обязанности Оператора в связи с обработкой персональных данных определяются законодательством Российской Федерации в области персональных данных. 

В случае нарушения законодательства РФ по обработке и защите ПДн участники взаимоотношений несут предусмотренную законом ответственность. 

Специалисты Оператора, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут ответственность в порядке, установленном действующим законодательством РФ. 

Актуализацию настоящей Политики осуществляет Ответственный за организацию обработки персональных данных. При внесении изменений в рамках актуализации Политики в новой редакции указывается дата последнего обновления. 

6. ПРИКАЗЫВАЮ: 

1. Политика ООО «Медилог» в отношении обработки персональных данных разработанная на основе изменений, внесенных Федеральным законом от 08.08.2024 N 233-ФЗ вступает в действие «08» августа 2024 года. 

2. Опубликовать Политику ООО «Медилог» в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных на сайте medilog.ru в информационно-телекоммуникационной сети Интернет. 

3. Установить цель обработки ПДн ООО «Медилог» - подготовка, заключение и исполнение гражданско-правового договора. 

4. Установить правовое основание обработки ПДн ООО «Медилог» - обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн. 

5. Установить перечень обрабатываемых ПДн: фамилия, имя, отчество, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, гражданство, пол, номер мобильного телефона, адрес электронной почты, документы, необходимые для организации по запросу субъекта ПДн плановой медицинской помощи в стационарных условиях. 

6. Установить перечень действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение, а также иных действий необходимых для заключения и исполнения гражданско-правового договора. 

7. Способы обработки ПДн ООО «Медилог»: автоматизированный и неавтоматизированный; без передачи по внутренней сети Оператора; с передачей по сети Интернет. 

8. При обработке ПДн использовать средства шифрования, криптографические средства и системы юридически значимого электронного документооборота. 

9. Условие прекращения обработки персональных данных - окончание действие договора с субъектом ПДн. 

10. Трансграничная передача персональных данных запрещена. 

11. Ответственность за обеспечение безопасности персональных данных в информационной системе ООО «Медилог» оставляю за собой. 

12. Выполнение настоящих требований организуется и проводится Оператором самостоятельно с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации.

Генеральный директор Общества с ограниченной ответственностью «Медилог» 

 Любых Зоя Максимовна