КОНФИДЕНЦИАЛЬНОСТЬ И ФАЙЛЫ СOOKIE
ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ООО «АТЛАНТ КЛИНИКАЛ»
ОБЩИЕ ПОЛОЖЕНИЯ
С целью поддержания деловой репутации и обеспечения выполнения норм федерального законодательства ООО «Атлант Клиникал» (далее – Компания) считает важнейшей задачей обеспечение легитимности обработки и безопасности персональных данных субъектов в бизнес-процессах Компании.
Настоящая Политика конфиденциальности персональных данных (далее – Политика) разработана с учетом положений следующих законодательных и нормативно-правовых актов:
- Федеральный закон № 149-ФЗ от 27 июля 2006 года «Об информации, информатизации и защите информации»;
- Федеральный закон № 152-ФЗ от 27 июля 2006 года «О персональных данных»;
- «Требования к защите персональных данных при их обработке в информационных системах персональных данных», утвержденные Постановлением Правительства РФ № 1119 от 1 ноября 2012 года;
- «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», утвержденные приказом ФСТЭК России № 17 от 11 февраля 2013 года;
- «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденный приказом ФСТЭК России № 21 от 18 февраля 2013 года;
Целями настоящей Политики являются:
– обеспечение конфиденциальности, целостности, доступности защищаемой информации;
– предотвращение утечек защищаемой информации;
– мониторинг событий безопасности и реагирование на инциденты безопасности;
– нейтрализация актуальных угроз безопасности информации;
– выполнение требований действующего законодательства по защите информации.
- Настоящая Политика утверждается руководителем Компании и определяет мероприятия, процедуры и правила по защите информации в Компании.
- Для решения данной задачи в Компании введена, функционирует и проходит периодический пересмотр (контроль) система защиты персональных данных.
- Обработка персональных данных в Компании основана на следующих принципах:
- законности целей и способов обработки персональных данных и добросовестности;
- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Компании;
- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
- достоверности персональных данных, их актуальности и достаточности для целей обработки, недопустимости обработки избыточных по отношению к целям сбора персональных данных;
- легитимности организационных и технических мер по обеспечению безопасности персональных данных;
- непрерывности повышения уровня знаний работников Компании в сфере обеспечения безопасности персональных данных при их обработке;
- стремления к постоянному совершенствованию системы защиты персональных данных.
- Компания вправе изменить положения настоящей Политики в любой момент в одностороннем порядке. Действующая версия Политики размещена на официальном сайте компании.
ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В соответствии с принципами обработки персональных данных, в Компании определены цели обработки персональных данных:
– рассмотрение резюме и подбор кандидатов на вакантные должности для дальнейшего трудоустройства в Компании;
– обеспечение требований бухгалтерского и кадрового учета;
– обеспечения личной безопасности работников и сохранности имущества Компании;
– обеспечение контроля количества и качества выполняемой работы;
– исполнение обязательств, предусмотренных локальными нормативными актами и договорами (в том числе трудовыми договорами) и контроль исполнения услуг, предоставляемых кадровым агентством;
– содействие работникам в обучении и карьерном росте;
– содействие в получении социальных льгот и компенсаций;
– наделение работников полномочиями по заключению сделок и совершению иных действий от имени Компании;
– исполнение обязательств, предусмотренных федеральным законодательством и иными нормативными правовыми актами (в том числе в области охраны труда, промышленной безопасности и охраны окружающей среды);
– предоставление работникам автотранспорта по служебной надобности;
– содействие в организации поездок на мероприятия (в том числе зарубежные);
– проведение тренингов и обучений;
– проведение внутренних проверок и служебных расследований;
– осуществление деловых контактов;
– начисление вознаграждений по договорам;
– продвижение услуг Компании на рынке;
– организация проведения клинических исследований;
ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В Компании осуществляется обработка только тех персональных данных, которые представлены в утвержденном Перечне персональных данных, обрабатываемых в Компании, а именно:
– ФИО;
– пол;
– дата, месяц, год рождения;
– место рождения;
– паспортные данные;
– ИНН;
– СНИЛС;
– гражданство;
– адрес регистрации и фактического проживания;
– воинский учет;
– номер телефона;
– адрес электронной почты;
– семейное положение;
– информация о детях;
– образование;
– профессия;
– должность;
– стаж работы;
– доходы;
– банковские реквизиты.
- Обработка персональных данных в Компании осуществляется смешанным способом.
- Компания производит следующие действия при обработке персональных данных:
– сбор;
– запись;
– систематизация;
– накопление;
– хранение;
– уточнение (обновление, изменение);
– извлечение;
– использование;
– передачу (распространение, предоставление, доступ);
– блокирование;
– удаление;
– уничтожение.
Распространение персональных данных выполняется в соответствии с требованиями статьи 10.1. Федерального закона № 152-ФЗ от 27 июля 2006 года «О персональных данных»
В Компании осуществляется обработка следующих категорий субъектов персональных данных:
– кандидаты на вакантные должности;
– работники Компании;
– родственники работников Компании (дети, супруги);
– представители юридических лиц – контрагентов и потенциальных контрагентов Компании;
– физические лица, оказывающие услуги по договору возмездного оказания услуг (в том числе потенциальные исполнители по договорам);
– физические лица, обратившиеся в Компанию в порядке, установленном Федеральным законом «О порядке рассмотрения обращений граждан Российской Федерации»
Компания в ходе своей деятельности может предоставлять персональные данные субъектов третьим лицам, в случаях и порядке, предусмотренных положениями законодательства.
В Компании осуществляется трансграничная передача персональных данных в соответствии с требованиями, установленными статьей 12 – Федерального закона № 152-ФЗ от 27 июля 2006 года «О персональных данных».
Компания обеспечивает соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.
В Компании запрещено принятие решений относительно субъектов персональных данных на основании исключительно автоматизированной обработки их персональных данных.
В Компании не осуществляется обработка биометрических персональных данных, а так же персональных данных субъектов о:
– судимости;
– расовой принадлежности;
– национальной принадлежности;
– политических взглядах;
– религиозных убеждениях;
– философских убеждениях;
– состоянии здоровья
– интимной жизни.
Иные персональные данные, не указанные в данном пункте, могут обрабатываться Компанией в соответствии с требованиями действующего законодательства РФ.
Компания не размещает персональные данные субъекта в общедоступных источниках без его предварительного согласия, зафиксированного в письменной форме.
Обработка персональных данных не производится на сервере, принадлежащем Компании.
РЕАЛИЗОВАННЫЕ ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
С целью обеспечения безопасности персональных данных при их обработке в Компании реализуются требования следующих нормативных документов РФ в области обработки и обеспечения безопасности персональных данных:
– Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
– Постановление Правительства Российской Федерации от 01.11.2012
№1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
– Постановление Правительства Российской Федерации от 15.09.2008 г.
№687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
– Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена заместителем директора ФСТЭК России 15.02.2008 г.);
– Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена заместителем директора ФСТЭК России 14.02.2008 г.);
– Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Компания проводит оценку вреда, который может быть причинен субъектам персональных данных и определяет угрозы безопасности персональных данных. В соответствии с выявленными актуальными угрозами Компания применяет необходимые и достаточные организационные и технические меры, включающие в себя использование средств защиты информации, обнаружение фактов несанкционированного доступа, восстановление персональных данных, установление правил доступа к персональным данным, а также контроль и оценку эффективности применяемых мер.
В Компании утверждены стандартные операционные процедуры, регламентирующие защиту персональных данных при автоматизированной и неавтоматизированной обработке, в том числе:
– исключен несанкционированный доступ к материальным носителям персональных данных;
– реализованы меры по защите машинных носителей информации, контролю интерфейсов ввода-вывода;
– реализованы меры по предупреждению, выявлению и нейтрализации предполагаемых угроз на машинных носителях информации.
В Компании назначены лица, ответственные за организацию обработки и обеспечения безопасности персональных данных.
В Компании регулярно проводятся мероприятия, направленные на повышение уровня обеспечения безопасности персональных данных (в том числе направленные на защиту персональных данных от неправомерного или случайного доступа, изменения, копирования, блокирования, предоставления, распространения, уничтожения).
Руководство Компании осознает необходимость и заинтересовано в обеспечении должного как с точки зрения требований нормативных документов РФ, так и обоснованного с точки зрения оценки рисков для бизнеса уровня безопасности персональных данных, обрабатываемых в рамках выполнения основной деятельности Компании.
ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ.
Субъект персональных данных (законный представитель субъекта персональных данных) имеет право в порядке, установленном законодательством РФ, требовать от Компании:
– доступа к своим персональным данным;
– получения информации, касающейся обработки его персональных данных;
– внесения обоснованных изменений в его персональные данные;
– отзыва ранее выданного согласия на обработку персональных данных.
5.2. Если субъект персональных данных не согласен с правилами использования файлов cookie на сайте Компании (www.atlantclinical.com), он вправе отключить файлы cookie. Отключение данных файлов может ограничить функциональность сайта Компании.
5.3. Если субъект персональных данных считает, что Компания в процессе обработки персональных данных каким-либо образом нарушает его права и свободы, он вправе обжаловать действия или бездействие Компании в суде по месту нахождению Ответчика.