Приложение № 1
к приказу от «______» _________________202__ г. №_________
- Информация об Операторе
- Санаторно-курортное учреждение «Санаторий «Нарзан» в соответствии с Федеральным законом является Оператором, организующим и осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
- Информация об Операторе.
Наименование Оператора: Санаторно-курортное учреждение «Санаторий «Нарзан»
Сокращенное наименование Оператора: СКУ «Санаторий «Нарзан».
Юридический адрес Оператора: 357700, Ставропольский край, город Кисловодск, бульвар Курортный, дом 19
Фактический адрес Оператора: 357700, Ставропольский край, город Кисловодск, бульвар Курортный, дом 19
ИНН: 2628037768.
Регистрационный номер записи в реестре операторов, осуществляющих обработку персональных данных: 26-19-002026
- Общие положения
- Настоящая Политика обработки персональных данных (далее – Политика) в СКУ «Санаторий «Нарзан» (далее – Оператор, Санаторий) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон) в целях обеспечения защиты прав и свобод физических лиц при обработке Оператором их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также в целях соблюдения требований законодательства Российской Федерации в области персональных данных.
- Настоящая Политика раскрывает основные принципы и правила, используемые Оператором при обработке персональных данных, в том числе определяет цели, правовые основания, условия и способы такой обработки, категории субъектов персональных данных, персональные данных которых обрабатываются Оператором, а также содержит сведения об исполнении Оператором обязанностей в соответствии с Федеральным законом и сведения о реализуемых Оператором требованиях к защите обрабатываемых персональных данных. Политика действует в отношении всех персональных данных, обрабатываемых Оператором.
- Обеспечение безопасности персональных данных, законности и справедливости их обработки является одной из приоритетных задач Оператора.
- Политика является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке персональных данных, и подлежит опубликованию на официальном сайте Оператора в информационно-телекоммуникационной сети «Интернет» (далее – сеть Интернет).
- Основные понятия в области персональных данных:
— персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
— оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
— обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
— автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
— распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
— предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
— блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
— уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
— обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
— информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
— трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
- Понятия и термины, используемые в настоящей Политике, применяются в значениях, установленных Федеральным законом.
- Настоящая Политика может быть дополнена либо изменена. Изменения в Политику вносятся на основании приказов директора-главного врача СКУ «Санаторий «Нарзан».
- Категории субъектов персональных данных, персональные данные которых обрабатываются Оператором, источники их получения, сроки обработки и хранения
- Оператор обрабатывает персональные данные следующих категорий субъектов персональных данных:
— персональные данные работников Санатория;
— персональные данные близких родственников работников Санатория;
— персональные данные лиц, приобретающие комплекс санаторно-курортных услуг и/или лечебно-диагностических услуг СКУ «Санаторий «Нарзан» (далее – Отдыхающие);
— персональные данные представителей отдыхающих;
— персональные данные кандидатов на вакантную должность;
— физические лица, посещающие Санаторий, обработка персональных данных которых необходима для однократного пропуска таких лиц в служебные помещения Санатория;
— контрагенты – физические лица, с кем заключены гражданско-правовые договоры.
- Источниками получения персональных данных, обрабатываемых Оператором, являются:
непосредственно субъекты персональных данных (работники Санатория, кандидаты на замещение вакантных должностей Санатория, граждане, обратившиеся в Санаторий, посетители, контрагенты);
- Содержание и объем обрабатываемых Оператором персональных данных категорий субъектов персональных данных, указанных в пункте 1 раздела 3 настоящей Политики, определяются в соответствии с целями обработки персональных данных, указанными в п. 2 пп. 2.1 раздела 3 настоящей Политики. Оператор не обрабатывает персональные данные, которые являются избыточными по отношению к указанным целям обработки или несовместимы с такими целями.
- В случаях, установленных пунктами 2-11 части 1 статьи 6 и пунктами 2-10 части 2 статьи 10 Федерального закона, обработка Оператором персональных данных осуществляется без согласия субъекта персональных данных на обработку его персональных данных. В иных случаях обработка Оператором персональных данных осуществляется только с письменного согласия субъекта персональных данных на обработку его персональных данных в соответствии со статьей 9 Федерального закона.
- Сроки обработки и хранения персональных данных Оператором определяются для каждой цели обработки персональных данных в соответствии с законодательно установленными сроками хранения документации, образующейся в процессе деятельности Санатория, в соответствии со сроком действия договора с субъектом персональных данных, сроками исковой давности, сроками хранения документов бухгалтерского учета и на основании Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утвержденного приказом Минкультуры Российской Федерации от 25.08.2010 № 558, и иных требований законодательства Российской Федерации.
- Правовые основания и цели обработки персональных данных
- Оператор при обработке персональных данных руководствуется следующими нормативными правовыми актами:
Конституция Российской Федерации;
Трудовой кодекс Российской Федерации;
Налоговый кодекс Российской Федерации
Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
Федеральный закон от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» и принятые в соответствии с ним нормативные правовые акты Российской Федерации;
Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации» и принятые в соответствии с ним нормативные правовые акты Российской Федерации;
Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»; постановление Госкомстата России от 05.01.2004 № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты»;
Приказ Минздрава России от 05.05.2016 № 279н «Об утверждении Порядка организации санаторно-курортного лечения».
- Обрабатываемые персональные данные.
2.1. С целью исполнения требований законодательства Российской Федерации в области кадрового учета, в том числе содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества, выплаты заработной платы и иных, причитающихся работнику в соответствии с законодательством Российской Федерации или договором выплат, осуществления предусмотренных законодательством Российской Федерации налоговых и социальных отчислений в Санатории обрабатываются персональные данные работников:
— Фамилия, имя, отчество;
— Пол;
— Дата и место рождения;
— Сведения о гражданстве;
— Сведения об образовании;
— Профессия, квалификация, должность;
— Семейное положение, состав семьи;
— Паспортные данные;
— Фото;
— Адрес, телефон;
— Сведения о воинском учете;
— Сведения о наградах, поощрениях, почетных званиях;
— Сведения о социальном положении;
— Данные пенсионного, медицинского страхования, ИНН, СНИЛС;
— Доходы, суммы отчислений, реквизиты банковского счета;
— Информация об отпусках.
- Обработка сведений о состоянии здоровья работников осуществляется в отдельных случаях в соответствии с законодательством Российской Федерации о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации.
- Основанием для обработки персональных данных является Трудовой кодекс Российской Федерации; Налоговый кодекс Российской Федерации; Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»; Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»; Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»; Федеральный закон от 24.11.1995 № 181-ФЗ «О социальной защите инвалидов в Российской Федерации»; Договор; Согласие.
- Обработка сведений о состоянии здоровья работников осуществляется в отдельных случаях в соответствии с законодательством Российской Федерации о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации.
- Обработка сведений о судимости работников осуществляется в отдельных случаях в соответствии с трудовым законодательством Российской Федерации.
- Обработка персональных данных осуществляется с использованием средств автоматизации или без использования таких средств.
- Срок обработки персональных данных ограничивается достижением заявленной цели. Срок хранения персональных данных составляет 50 лет ЭПК с момента прекращения трудовых отношений. Уничтожение персональных данных осуществляется в установленные законодательством сроки по истечению периода их хранения либо при наступлении иных законных оснований.
- С целью исполнения требований законодательства Российской Федерации в области кадрового учета в Санатории обрабатываются персональные данные близких родственников работников:
— Фамилия, имя, отчество;
— Степень родства;
— Год рождения;
— Сведения об инвалидности.
2.2.1. Основанием для обработки персональных данных является Трудовой кодекс Российской Федерации.
- Обработка персональных данных осуществляется с использованием средств автоматизации или без использования таких средств.
- Срок обработки персональных данных ограничивается достижением заявленной цели. Срок хранения персональных данных составляет 50 лет ЭПК с момента прекращения трудовых отношений с работником. Уничтожение персональных данных осуществляется в установленные законодательством сроки по истечению периода их хранения либо при наступлении иных законных оснований.
- С целью осуществления подбора персонала, в том числе прохождения отбора на замещение вакантных должностей; ведения кадрового резерва; трудоустройства успешно прошедших отбор на замещение вакантных должностей в Санатории обрабатываются персональные данные претендентов (соискателей) на замещение вакантных должностей:
— Фамилия, имя, отчество;
— Пол;
— Дата и место рождения;
— Сведения о гражданстве;
— Сведения об образовании;
— Профессия, квалификация, должность;
— Сведения о трудовой деятельности;
— Семейное положение, состав семьи;
— Паспортные данные;
— Фото;
— Адрес, телефон;
— Сведения о воинском учете;
— Сведения о наградах, поощрениях, почетных званиях;
— Сведения о социальном положении;
— Данные пенсионного, медицинского страхования, ИНН, СНИЛС.
- Основанием для обработки персональных данных является Трудовой кодекс Российской Федерации; Согласие субъекта.
- Обработка персональных данных осуществляется с использованием средств автоматизации или без использования таких средств.
- Срок обработки персональных данных ограничивается достижением заявленной цели. Срок хранения персональных данных претендентов, включенных в кадровый резерв, составляет 5 лет (в случае включения в кадровый резерв) с момента принятия соответствующего решения. Уничтожение персональных данных осуществляется в установленные законодательством сроки по истечению периода их хранения, при поступлении отзыва согласия субъекта либо при наступлении иных законных оснований.
2.4. С целью исполнения требований законодательства Российской Федерации в области налогового и бухгалтерского учета, в том числе осуществления расчетов с субъектами персональных данных; оформления первичных учетных документов; проявления должной осмотрительности в Санатории обрабатываются персональные данные контрагентов и их представителей:
— Фамилия, имя, отчество;
— Организация, должность;
— Дата, место рождения;
— Адрес;
— Паспортные данные;
— ИНН, ОГРН (для ИП);
— Контактные данные (телефон, e-mail).
- Основанием для обработки персональных данных является Налоговый кодекс Российской Федерации; Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»; Договор; Согласие субъекта.
- Обработка персональных данных осуществляется с использованием средств автоматизации или без использования таких средств.
- Срок обработки персональных данных ограничивается достижением заявленной цели. Срок хранения персональных данных составляет 5 лет с момента оформления первичного учетного документа. Уничтожение персональных данных осуществляется в установленные законодательством сроки по истечению периода их хранения либо при наступлении иных законных оснований.
- С целью осуществления санаторно-курортной деятельности Санатория, в том числе заключения, исполнения и прекращения гражданско-правовых договоров; оказания платных и бесплатных услуг субъектам персональных данных; улучшения качества оказываемых услуг; осуществления связи с субъектами персональных данных для направления уведомлений, информации и запросов, связанных с деятельностью Санатория, а также обработки обращений, заявлений, заявок и иных сообщений субъектов персональных данных; предоставления субъектам персональных данных доступа к использованию Интернет-сайта Санатория и его функционала; продвижения услуг на рынке путем осуществления прямых контактов с субъектами персональных данных; проведения статистических и иных исследований на основе обезличенных персональных данных в Санатории обрабатываются персональные данные клиентов и их представителей:
— Фамилия, имя, отчество;
— Наименование организации, должность;
— Контактные данные (телефон, e-mail);
— Использование метрической программы «Yandex.Metrika»;
— Файлы «Cookie» посетителей сайта.
2.5.1. Основанием для обработки персональных данных является Согласие субъекта.
2.5.2. Обработка персональных данных осуществляется с использованием средств автоматизации или без использования таких средств.
2.5.3. Срок обработки персональных данных ограничивается достижением заявленной цели. В случае утраты необходимости в достижении заявленной цели, персональные подлежат уничтожению. Уничтожение персональных данных осуществляется в установленные законодательством сроки при поступлении отзыва согласия субъекта либо при наступлении иных законных оснований.
- С целью исполнения договоров возмездного оказания платных медицинских услуг, в том числе услуг, оформленных санаторно-курортной путевкой, предоставления дополнительных услуг во время осуществления деятельности санаторно-курортной организации:
— Фамилия, имя, отчество;
— Паспортные данные;
— Пол;
— Дата и место рождения;
— Семейное положение;
— Адрес регистрации по месту жительства;
— Фактический адрес места жительства;
— Место работы и занимаемая должность;
— Контактные номера телефонов;
— Реквизиты полиса ОМС (ДМС);
— Страховой номер индивидуального лицевого счета в Пенсионном фонде России (СНИЛС);
— Данные о состоянии здоровья, перенесенных и имеющихся заболеваниях, случаях обращения за медицинской помощью;
— Сведения об инвалидности;
- Основанием для обработки персональных данных является Согласие субъекта.
- Обработка персональных данных осуществляется с использованием средств автоматизации или без использования таких средств.
- Обработка персональных данных отдыхающего (пациента) может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.
- Срок хранения в соответствии с законодательством Российской Федерации для медицинских карт составляет 25 лет.
- Принципы и способы обработки персональных данных, перечень действий, совершаемых с персональными данными
- Оператор в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в статье 5 Федерального закона.
- Оператор осуществляет обработку персональных данных путем сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), использования, передачи, обезличивания, блокирования, уничтожения.
- Оператором используется смешанный (с использованием средств автоматизации и без использования средств автоматизации) способ обработки персональных данных с передачей информации по внутренней локальной сети Санатория и с передачей информации по информационно-телекоммуникационной сети «Интернет» в защищенном режиме.
- Оператор не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, а также биометрических персональных данных. Обработка специальных категорий персональных данных, касающихся состояния здоровья, осуществляется Оператором в соответствии с законодательством Российской Федерации, а также, в установленных случаях, по иным основаниям, указанным в части 2 статьи 10 Федерального закона.
- Оператор не осуществляет трансграничную передачу персональных данных на территории иностранных государств.
- Оператор передает обрабатываемые персональные данные в уполномоченные организации, государственные органы, государственные внебюджетные фонды только на основаниях и в случаях, предусмотренных законодательством Российской Федерации, в том числе:
— для уплаты налогов на доходы физических лиц, обязательных страховых платежей и взносов;
— в целях осуществления правосудия, исполнения судебного акта;
— при ответах на официальные письменные мотивированные запросы правоохранительных органов и органов судебной власти, других уполномоченных государственных органов.
- Оператор прекращает обработку персональных данных в следующих случаях:
— достижение цели обработки персональных данных;
— изменение, признание утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;
— выявление неправомерной обработки персональных данных, осуществляемой Оператором;
— отзыв субъектом персональных данных согласия на обработку его персональных данных, если в соответствии с Федеральным законом обработка персональных данных допускается только с согласия субъекта персональных данных.
Уничтожение Оператором персональных данных осуществляется в порядке и сроки, предусмотренные Федеральным законом.
- Общая характеристика принимаемых Оператором мер по обеспечению безопасности персональных данных при их обработке
- Оператор обеспечивает конфиденциальность обрабатываемых персональных данных: не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральными законами.
- Оператор обеспечивает защиту персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
- Оператор принимает необходимые правовые, организационные, технические, физические, криптографические меры защиты персональных данных, а также меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Такие меры, в том числе, включают следующее:
— назначение работника Санатория, ответственного за организацию обработки персональных данных;
— издание нормативных актов, регламентирующих вопросы обработки и защиты персональных данных;
— ознакомление работников Санатория, непосредственно осуществляющих обработку персональных данных, под подпись с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, нормативными актами Санатория, регламентирующими вопросы обработки и защиты персональных данных, а также с ответственностью за разглашение персональных данных, нарушение порядка обращения с документами, содержащими такие данные, и иные неправомерные действия в отношении персональных данных;
— создание системы внутреннего контроля соответствия обработки персональных данных законодательству Российской Федерации, в том числе требованиям к защите персональных данных;
— реализация разрешительной системы доступа работников Санатория и иных лиц к персональным данным и связанным с их использованием работам, материальным носителям; обеспечение соблюдения условий, при которых работники Санатория, иные лица получают доступ к персональным данным только в пределах, необходимых для выполнения своих должностных обязанностей, либо в объемах, вызванных необходимостью;
— ограничение доступа работников Санатория и иных лиц в помещения, где размещены технические средства, предназначенные для обработки персональных данных, и хранятся носители персональных данных, к информационным ресурсам, программным средствам обработки и защиты информации;
— учет материальных (машинных, бумажных) носителей персональных данных и обеспечение их сохранности;
— определение мест хранения материальных носителей персональных данных и обеспечение раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
— использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
— предотвращение внедрения в информационные системы программ-вирусов, программных закладок;
— обеспечение защиты персональных данных при их передаче по каналам связи, в том числе каналам связи сети Интернет, с использованием средств криптографической защиты информации и электронной подписи;
— контроль за принимаемыми мерами по обеспечению безопасности персональных данных.
- Меры по обеспечению безопасности персональных данных при их обработке принимаются Оператором с соблюдением требований Федерального закона, иных нормативных правовых актов Российской Федерации, в том числе следующих:
— Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных;
— Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
— Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
— иные нормативные документы ФСТЭК России, нормативные документы ФСБ России.
- Права субъекта персональных данных
- Субъект персональных данных имеет право на:
— получение информации, касающейся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами, в том числе по основаниям, установленным частью 8 статьи 14 Федерального закона;
— обжалование действий или бездействия Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона или иным образом нарушает его права и свободы;
— защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;
— требование от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также уведомления о внесенных изменениях и предпринятых мерах третьих лиц, которым персональные данные, относящиеся к соответствующему субъекту, были переданы;
— отзыв своего согласия на обработку персональных данных в соответствии со статьей 9 Федерального закона (в случаях, когда обработка Оператором персональных данных осуществляется на основании согласия субъекта персональных данных).
- Информация, касающаяся обработки персональных данных, предоставляется субъекту персональных данных или его представителю в доступной форме при обращении к Оператору или при получении Оператором запроса субъекта персональных данных или его представителя. Указанный запрос должен быть оформлен в соответствии с требованиями части 3 статьи 14 Федерального закона и может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
- Оператор обязан сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, предоставить безвозмездно возможность ознакомления с такими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя, а также, в установленных Федеральным законом случаях, порядке и сроки, устранить нарушения законодательства Российской Федерации, допущенные при обработке персональных данных, уточнить, блокировать или уничтожить персональные данные соответствующего субъекта персональных данных.
- Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
- Контактная информация
- Ответственный специалист по информационным системам Креслин Дмитрий Геннадьевич.
Контактная информация:
тел.: 8 (87937) 2-04-75
адрес: 357700, Ставропольский край, город Кисловодск, бульвар Курортный, дом 19
e-mail: sannarzan@profkurort.ru