Рин. Политика-обеспечения-безопасности-ПД. Политика информационной безопасности (защиты персональных данных) лпу Санаторий Черепаха
 Скачать 114.15 Kb.
|
|
IV Передача и хранение персональных данных 4.1. При передаче персональных данных работником, приобретателем услуг или их законных представителей, Санаторий должен соблюдать следующие требования[1]: 4.1.1. Не сообщать персональные данные третьей стороне без письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральным законом. 4.1.2. Не сообщать персональные данные в коммерческих целях без письменного согласия. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с предварительного письменного согласия. 4.1.3. Предупредить лиц, получивших персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные, обязаны соблюдать режим секретности (конфиденциальности). Данная Политика не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами. 4.1.4. Осуществлять передачу персональных данных в пределах Санатория в соответствии с настоящей Политикой. 4.1.5. Разрешать доступ к персональным данным, только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции. 4.2. При передаче персональных данных приобретателем услуг или его законных представителей, Санаторий дополнительно должен соблюдать следующие требования: 4.2.1. Не запрашивать информацию о состоянии здоровья, за исключением тех сведений, которые относятся к вопросу о возможности выполнения условий договора, заключенного между приобретателем услуг и Санаторием. 4.2.2. Передавать персональные данные в порядке, установленном ФЗ-152 и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения целей договора, заключенного между приобретателем услуг и Санаторием. 4.3. Хранение и использование персональных данных. 4.3.1. Работников[11]: 4.3.1.1. Персональные данные обрабатываются и хранятся в отделе кадров. 4.3.1.2. Персональные данные могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде - локальной компьютерной сети и компьютерной программе «1С: Зарплата и кадры». 4.3.2.Приобретателей услуг: 4.3.2.1. Персональные данные обрабатываются и хранятся в отделе реализации, бухгалтерии. 4.3.2.2. Персональные данные могут быть получены, проходить дальнейшую обработку и передаваться на хранение на бумажных носителях: путевках, договорах, историях болезни, информированных согласиях и пр. документации необходимой для оформления договорных отношений с приобретателем услуг Санатория в рамках законодательства РФ. 4.3.2.3. Персональные данные могут быть получены, проходить дальнейшую обработку и передаваться на хранение в электронном виде - локальной компьютерной сети и компьютерной программе «1С: Предприятие», с использованием электронной почты, почтовых агентов Jivosite, заявок на бронирование, передаваемых непосредственно с сайта после отметки приобретателя услуг об ознакомлении с Пользовательским соглашением о защите персональных данных (приложение 2). 4.4. При получении персональных данных не от субъекта персональных данных: 4.4.1. Не от работника (за исключением случаев, если персональные данные были предоставлены работодателю на основании федерального закона или если персональные данные являются общедоступными) Санаторий до начала обработки таких персональных данных обязан предоставить работнику следующую информацию: - наименование (фамилия, имя, отчество) и адрес оператора или его представителя; - цель обработки персональных данных и ее правовое основание; - предполагаемые пользователи персональных данных; - установленные настоящим Федеральным законом права субъекта персональных данных. 4.4.2. Не от приобретателя услуг или его законного представителя: исключается. V Доступ к персональным данным 5.1. Право доступа к персональным данным имеют: 5.1.1. К персональным данным работников: - директор Санатория (в полном объеме); - сотрудник отдела кадров (в полном объеме); - бухгалтер по заработной плате (в объеме необходимом для корректного расчета заработной платы); - кассир (в объеме, необходимом для выплаты заработной платы); - сотрудник секретариата (информация о фактическом месте проживания и контактные телефоны работников); - руководители структурных подразделений по направлению деятельности (доступ к персональным данным только работников своего подразделения). 5.1.2. К персональным данным приобретателей услуг Санатория: - директор Санатория (в полном объеме); - сотрудники отдела реализации (в полном объеме); - сотрудники бухгалтерии (в объеме необходимом для оприходования оплаты за услуги); - сотрудник секретариата (информация о фактическом месте проживания и контактные телефоны работников); - администратор (в целях обеспечения расселения/переселения в соответствующие номера); - медицинский персонал: главный врач, врачи, инструктор ЛФК, медицинский психолог, медицинские сестры, медицинская сестра диетическая (в части обеспечения оказания медицинских услуг, в случае, если предусмотрены договором с приобретателем); - сестра-хозяйка, горничные (в объеме необходимом для контроля расселения по номерному фонду, контроля заездов и выездов, переселений); - уполномоченные в установленном порядке лица (с целью постановки на учет граждан РФ и иностранных граждан по месту пребывания); - руководители структурных подразделений по направлению деятельности (доступ к персональным данным в части необходимой для функционирования подразделения). 5.2. Субъект персональных данных имеет право: 5.2.1. Получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копий любой записи, содержащей персональные данные. 5.2.2. Требовать уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми персональных данных. 5.2.3. Получать: - сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ; - перечень обрабатываемых персональных данных и источник их получения; - сроки обработки персональных данных, в том числе сроки их хранения; - сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных. 5.2.4. Требовать извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Санатория при обработке и защите его персональных данных. 5.3. Копировать и делать выписки персональных данных разрешается исключительно в служебных целях с письменного разрешения: 5.3.1 для работников: директора, сотрудника отдела кадров; 5.3.2 для приобретателей услуг: директора или уполномоченного на исполнение его обязанностей лица. 5.4. Передача информации третьей стороне возможна только при письменном согласии субъекта персональных данных, если иное не устанавливается законодательством РФ. VI Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных 6.1. Работники Санатория, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную административную, гражданско- правовую или уголовную ответственность в соответствии с федеральными законами. 6.2. Директор Санатория за нарушение норм, регулирующих получение, обработку и защиту персональных данных, несет административную ответственность согласно ст. 13.11 Кодекса об административных правонарушениях Российской Федерации, а также возмещает ущерб, причиненный неправомерным использованием информации, содержащей персональные данные. Ссылки на законодательные акты: [1] Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»: глава 1, ст. 3. [2] Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации», ст. 2. [3] В законодательно определенных случаях может предусматриваться необходимость предъявления при заключении трудового договора дополнительных документов. [4] ТК РФ, гл. 14, ст. 86, п. 4. [5] ТК РФ, гл. 14, ст. 86, п. 1. [6] ТК РФ, гл. 14, ст. 86, п. 2. [7] ТК РФ, гл. 14, ст. 86, п. 6. [8] ТК РФ, гл. 14, ст. 86, п. 7. [9] ТК РФ, гл. 14, ст. 86, п. 8. [10] ТК РФ, гл. 14, ст. 86, п. 9. [11] ТК РФ, гл. 14, ст. 87.  Приложение 1.1Согласие на предоставление, обработку и трансграничную передачу персональных данных (работников) Я,________________________________________________________________ (Ф.И.О.), именуемый (-ая) в дальнейшем "Заказчик", действующий в своих интересах, даю согласие ЛПУ«Санаторий«Череха»(адрес местонахождения: Россия, Псковская область, г. Псков, ул. Санаторная, д.3), именуемому в дальнейшем «Исполнитель», являющемуся оператором персональных данных, на обработку и трансграничную передачу моих персональных данных:
Переченьперсональныхданныхнаобработкукоторыхдаетсясогласие: фамилия, имя, отчество; дата и место рождения; пол; серия и номер документа, удостоверяющего личность, сведения о дате выдачи документа, выдавшем документ органе; сведения о регистрации по месту жительства и временной регистрации по месту пребывания; номера контактных телефонов; адреса электронной почты; семейное положение; сведения о родстве (родственных отношениях между родителями и детьми); должность (профессия); сведения о воинском учете; банковские реквизиты и/или данные о банковских счетах; зарплата, другие доходы и налоговые обязательства; сведения об административных удержаниях по решению суда или компетентных органов; образование, квалификация, профессиональная подготовка, сведения о повышении квалификации; факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.); информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности Заказчика; деловые и иные личные качества; сведения о физиологических особенностях, здоровье и иные биометрические данные. Персональныеданные,указанныевнастоящемСогласии,предоставляютсядляследующихцелей: заключение, исполнение и прекращение трудовых договоров между Исполнителем и Заказчиком и договоров гражданско-правового характера; также в любых составляемых в ходе исполнения Договора документах, в том числе в приказах по личному составу. Обработку персональных данных с целью соблюдения административных регламентов о постановке на учет граждан по месту пребывания, исполнения требований надзорных органов; заполнения первичной статистической документации в соответствии с законодательством РФ. Согласиепредоставляетсянаобработкуданных:сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу в надзорные и иные уполномоченные органы по официальному запросу или в силу закона), обезналичивание, блокирование, уничтожение. Обработка персональных данных производится: на бумажных носителях; в информационных, в том числе электронных системах; с использованием и без использования средств автоматизации, а также смешанным способом; при отсутствии и при непосредственном участии человека,  являющегося законным или уполномоченным представителем Исполнителя.Вышеприведенное согласие на обработку моих персональных данных представлено с учетом Федерального закона № 152-Ф3 от 27.07.06 "О персональных данных" (в действующей редакции), в соответствие с которым обработка персональных данных, осуществляемая для исполнения договора, стороной в котором я являюсь, может осуществляться Исполнителем без моего дополнительного согласия. Заказчик, подписывая настоящее Согласие, дает своей волей согласие на обработку своих персональных данных Исполнителю, либо иному лицу, к которому могут перейти права и обязанности Исполнителя в результате универсального правопреемства, либо по иным основаниям, предусмотренным законодательством РФ. Заказчик гарантирует, что обладает всеми полномочиями и дает согласие на предоставление своих персональных данных. Настоящеесогласиевступаетвсилусмоментаподписаниянастоящегодоговораидействуетдоистечения цели обработки персональных данных или до момента утраты необходимости в их достижении, но не ранее истечения сроков архивного хранения документов в соответствии с «Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения» (утв. приказом Министерства культуры РФ от 25.08.2010 №558). НастоящеесогласиеможетбытьотозванопописьменномузаявлениюЗаказчика,поданномуИсполнителю.Исполнитель обязан прекратить обработку персональных данных в срок, не превышающий 180 дней с даты поступления такого отзыва. Заказчик соглашается с тем, что дополнительное уведомление об уничтожении персональных данных направляться ему не будет. Приложение 1.2 |
