Политика в отношении обработки персональных данных

Сфера распространения настоящего положения:

В отношении персональных данных, обрабатываемых ООО «МЕДИ издательство»

Политика в отношении обработки персональных данных

Цель обработки персональных данных:

1. оказание консультационных услуг;
   
2. обработка и исполнение интернет-заказов пользователей для заключения договора на покупку продукции Издательства;
   
3. обеспечение законов и иных форм нормативно-правовых актов в отношении работников, содействия работникам в обучении и продвижении по работе, обеспечении личной безопасности работников, соблюдение основных государственных гарантий по оплате труда работников контроля количества и качества выполняемой работы.
   

Категории субъектов, персональные данные которых обрабатываются в учреждении

Лица, обратившиеся для покупки продукции Издательства

Категории обрабатываемых персональных данных этой категории субъектов:

• фамилия, имя, отчество;
• дата рождения;
  
• пол;
  
• адрес;
• телефон;
• адрес электронной почты;
  
• место работы;
• паспортные данные.
  

Работники (в рамках трудовых отношений)

Категории обрабатываемых персональных данных этой категории субъектов:

• идентификационный номер налогоплательщика (ИНН);
• номер страхового свидетельства государственного пенсионного страхования;
• иностранные языки;
  
• стаж работы;
  
• состав семьи;
• паспортные данные;
  
• адрес;
  
• информация по воинскому учету;
• трудовой договор;
  
• назначения;
  
• профессиональная аттестация;
  
• повышение квалификации;
• профессиональная переподготовка;
• государственные и ведомственные награды, почетные звания;
  
• информация об отпусках;
  
• командировки;
  
• больничные листы;
• трудовая деятельность до приема на работу в клинику;
• дата и основание выхода на пенсию;
• имеющиеся сертификаты;
  
• наличие судимостей;
  
• наличие загранпаспорта;
  
• выезды за границу;
  
• заработная плата;
  
• номер расчетного счета в банке;
• фотографии.
  

Правовое основание для обработки персональных данных: Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; Федеральный закон от 24 июля 1998 г. № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»; Федеральный закон от 21 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»; согласие работников на обработку персональных данных; заключенные договоры с контрагентами.

Перечень действий с персональными данными

Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ) в рамках трехстороннего договора, по запросу суда, на основании нормативно-правовых документов, обезличивание, блокирование, удаление, уничтожение.

Обработка вышеуказанных персональных данных осуществляется с использованием и без использования средств автоматизации.

Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ:

1. Правовые и организационные меры безопасности персональных данных:
   
• В обществах разработаны организационно-распорядительные документы, регламентирующие процесс получения, обработки, хранения, передачи и защиты персональных данных.
2. Технические меры по обеспечению безопасности персональных данных при обработке, осуществляемой с использованием средств автоматизации:
   
• блокирование несанкционированного доступа к персональным данным (установка паролей доступа на ПЭВМ, на которых осуществляется обработка персональных данных);
  
• использование средств защиты персональных данных от несанкционированного доступа (системы разграничения прав доступа к информации, криптографическая защита, использование программ архивирования информации с использованием метода шифрования и кодированием передаваемых данных на ПЭВМ, обрабатывающих персональные данные; веб-интерфейс с установленными сертификатами и аутентификацией пользователя);
• предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок (антивирусный пакет Microsoft Defender).
  
3. При обработке, осуществляемой без использования средств автоматизации:
• обособление персональных данных от иной информации путем фиксации их на отдельных материальных носителях;
  
• определение порядка хранения материальных носителей персональных данных и установление перечня лиц, осуществляющих обработку персональных данных, либо имеющих к ним доступ;
• ограничение доступа пользователей в помещения, где хранятся носители информации;
  
• размещение носителей информации, содержащих персональные данные, в пределах контролируемой зоны;
  
• обеспечение раздельного хранения материальных носителей персональных данных, обработка которых осуществляется в различных целях;
• соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним: хранение документов–носителей персональных данных в специально оборудованных помещениях, сейфах, металлических шкафах, установление решеток на окна, охранно-пожарной сигнализации;
  
• проведение внутренней проверки безопасности информационных систем персональных данных учреждения;
  
• проведение вводного и текущего инструктажей для работников учреждения, допущенных к обработке персональных данных.
  

Право субъекта персональных данных на доступ к его персональным данным

1. Субъект персональных данных имеет право на получение следующих сведений:
• подтверждение факта обработки персональных данных оператором;
  
• правовые основания и цели обработки персональных данных;
  
• цели и применяемые оператором способы обработки персональных данных;
  
• наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании Федерального закона;
  
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;
  
• сроки обработки персональных данных, в том числе сроки их хранения;
  
• порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
  
• наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
  
• иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.
2. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
3. Указанные в пункте 1 сведения должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
4. Указанные в пункте 1 сведения предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
5. В случае, если сведения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен Федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
   
6. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения указанных в п. 1 сведений, а также в целях ознакомления с обрабатываемыми персональными данными до истечения 30 дней, в случае, если такие сведения и(или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.
   
7. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным п. 4 и 5. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.
   
8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:
• обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
  
• обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
• обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
  
• доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
• обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
  

Ответственный за организацию обработки персональных данных в ООО «МЕДИ издательство» — Пушкарева Елена Леонидовна.

Propagation scope of this regulation:

Personal data to be processed by “MEDI Publishing House” closed company

Politics regarding the personal data processing

Personal data processing is aimed on: 

1. Rendering the advisory services; 
2. Processing and execution of the users’ internet-orders focused on making contracts for purchasing the products of the Publishing House; 
3. Enforcement of laws and other forms of standard-legal acts concerning the employees, assistance for employees in training and advance in their work, providing the personal security of employees, keeping the basic State guarantees of employees labor enumeration, control of quantity and quality of work being executed.
   

Categories of subjects whose personal data are processed in the office

Persons applied to the Publishing House to buy its products

Processed personal data of this subject category: 

• Surname, name, patronymic name; 
• Date of birth; 
• Sex;
  
• Address; 
• Telephone; 
• E-mail address; 
• Place of employment; 
• Passport data.
  

Employees (within the bounds of labor relations)

Processed personal data of this subject category: 

• Taxpayer identification number (TIN); 
• Number of State retirement insurance certificate;
  
• Foreign languages; 
• Record of service; 
• Family members; 
• Passport data; 
• Address; 
• Information of military registration; 
• Labor contract; 
• Assignments; 
• Professional attestation; 
• Raising the level of professional skills; 
• Professional retraining; 
• State and department rewards, honorary titles; 
• Information of holydays; 
• Business trips; 
• Sick-leaves; 
• Labor activity before being employed to the clinic; 
• Date and reason of pension retire; 
• Existing certificates; 
• Presence of convictions; 
• Presence of foreign passport; 
• Travelling abroad; 
• Salary; 
• Bank settlement account number; 
• Photographs.
  

Legal foundation for personal data processing: Federal law of July 27, 2006, № 152-ФЗ “On personal data”; Federal law of July 24, 1998, № 125-ФЗ “On mandatory social insurance against accidents and professional diseases”; Federal law of November 21, 2011, № 323-ФЗ “On bases of health protection of Russian Federation citizens”; employees’ consent to personal data processing; concluded treaties with contracting parties.

List of activities with personal data

Collection, record, systematization, accumulation, keeping custody, more precise definition (update, changes), withdrawal, use; transfer (putting at disposal, access) within the bounds of a three-power treaty, on demand of law-court, on the base of legal normative documents; depersonalization, blocking, removal, annihilation.

Processing the above personal data is exercised with or without automating facilities. Information on safety of personal data according to requirements of personal data protection established by the Government of Russian Federation is:

1. Lawful and organizational measures of personal data safety:
   
• In societies the organizational and administrative documents have been developed to regulate the actions of receiving, processing, storage, transfer and protection of personal data. 
2. Technical measures to provide safety of personal data while processing by automating means: 
• Blockage of unauthorized access to personal data (setting the access password to personal electronic computing machine (PECM) where the personal data are processed); 
• Using the means of personal data protection against unauthorized access (systems of separating the information access rights, cryptographic protection, using the programs of information archiving by method of encryption and coding of the data to be transferred to PECM, which process the personal data; web-interface with established certificates and authentication of the user); 
• Preventing the intervention of malicious software into the information systems (virus programs) and program marks (anti-virus package Microsoft Defender). 
3. While processing carried out without automating means: 
• Isolating the personal data to other information by fixing them on separate material objects; 
• Determining the order of personal data material object storage and establishing the list of persons who carry out the personal data processing or have access to them; 
• Limiting the users’ access to the rooms where the material objects with information are stored; 
• Placing the material objects with information containing personal data within the borders of zone under control; 
• Providing a separate storage of material objects with personal data to be processed for various purposes; 
• Keeping the conditions, which provide the personal data to be safe and exclude any unauthorized access to them: storage of document objects with personal data in specially equipped rooms, strong-boxes, metal cabinets, placing the bars on the windows, installing the burglar and fire alarm; 
• Performing the internal safety inspection of personal data information systems within the institution; 
• Carrying out the introductory and routine instruction for employees who have access to personal data processing.
  

The right of the personal data subject to have access to his personal data 

1. The subject of personal data has the right to receive the following information: 
• Confirmation of the fact of processing his personal data by the operator; 
• Legal grounds and purposes of processing the personal data; 
• Aims and methods of personal data processing used by the operator; 
• Denomination and the whereabouts of the operator, information about persons (apart from the operator workers) who have access to the personal data or whom the personal data are allowed to be opened according to the contract with operator or on the grounds of the Federal Law; 
• The personal data being processed, which belong to respective personal data subject, the source of their receipt, if some other order of data presentation is not provided by the Federal Law; 
• Time constraints of personal data processing, including the periods of their storage; 
• The order of personal data subject’s rights realizing, provided by the present Federal Law; 
• Denomination or surname, name and patronymic name and address of the person who performs the personal data processing on behalf of the operator, if processing is or will be entrusted to such person; 
• Other information foreseen by the present Federal Law or different federal laws.
2. The subject of personal data has the right to demand his more precise personal data from the operator, their blocking or annihilation if the personal data are incomplete, outdated, inaccurate, illegally received or of no need for the declared purpose of processing, as well as the right to take measures for protecting his rights provided by the law. 
3. The information pointed in paragraph 1 must be presented to the subject of personal data by the operator in an easily understood form and must not contain any personal data of other subjects of personal data, except cases of present legal grounds for opening such personal data. 
4. The information pointed in paragraph 1 is presented to the subject of personal data or his representative by the operator in case of request or upon receiving a request from the subject of personal data or his representative. The request must include the number of the basic identification document of the subject of personal data or his representative, the date and institution of giving the document, the information to confirm the personal data subject’s participation in relations with the operator (contract number, date of making the contract, conditional verbal designation and/or other information), or information differently confirming the fact of processing the personal data by the operator, and the personal data subject’s or his representative’s signature. The request may be sent in form of electronic document and signed with electronic signature according to the legislation of Russian Federation. 
5. If the information and the personal data under processing were (not?) presented for examination to the subject of personal data on his request, the subject of personal data has the right to repeatedly address the operator or send him a repeated request aimed on receiving the information and examining the personal data not earlier than thirty days after the initial address or sending the initial request, if the shorter time constraint was not established by the Federal Law, by a statutory legal act or contract passed in accordance with it, after which the subject of personal data is part or beneficiary or warrantor of it. 
6. The subject of personal data has the right to repeatedly address the operator or send him a repeated request aimed on receiving the information pointed in p.1, as well as aimed on examining the personal data under processing before termination of 30 days, if such information and/or the personal data under processing were not presented him for examination in whole volume after the results of considering the initial address. The repeated request must include a substantiation of sending the repeated request. 
7. The operator has the right to deny the subject of personal data in fulfilling the repeated request, which does not correspond with conditions foreseen under pp. 4 and 5. The refuse must be motivated. Exhibiting the evidence of substantiated refuse in fulfilling the repeated request is the duty of the operator. 
8. The right of the subject of personal data to have access to his personal data can be limited according to federal laws, including the situations when: 
• Processing the personal data, including the personal data received following an operative-investigational, security and intelligent service activities, is carried out for the purpose of defense of the country, State security, law and order protection; 
• Processing the personal data is carried out by services, which have executed the arrest of the subject of personal data on suspicion of committing a crime, or charged the subject of personal data with criminal case, or applied to the subject of personal data a preventive punishment before arraign, except for cases foreseen by criminal procedure legislation of Russian Federation, if the examination of such personal data by the suspected or accused is permitted; 
• Processing the personal data is carried out in accordance to legislation of counteraction to legalization of gains (income laundering) received by criminal way, and terrorism financing; 
• The personal data subject’s access to his personal data infringes the rights and legal interests of third persons; 
• Processing the personal data is carried out in cases foreseen by legislation of Russian Federation of traffic safety aimed on providing a stable and safe function of transport complex, protection of interests of person, society and State in the sphere of transport complex against acts of unlawful intervention.