Политика обработки и защиты персональных данных
Утверждено Приказом ООО «Эмпатия»
№ 11 от 01.03.2021
В ОТНОШЕНИИ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Общие положения
1.1. Настоящий документ определяет цели, задачи и основные мероприятия по обеспечению безопасности персональных данных в ООО «Эмпатия» (далее по тексту — Общество, оператор) от несанкционированного доступа, неправомерного их использования или утраты.
1.2. Настоящий документ разработан в соответствии с действующим законодательством Российской Федерации в области защиты персональных данных:
-
Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных";
-
Постановлением Правительства Российской Федерации от 15.09. 2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
-
Постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
-
Федеральным законом от 30.12.2020 N 519-ФЗ «О внесении изменений в Федеральный закон "О персональных данных"»;
1.3. Настоящая политика является основой для разработки локальных нормативных актов Общества по обеспечению безопасности Персональных данных.
Настоящая политика распространяется на сотрудников Общества, на сотрудников сторонних организаций, взаимодействующих с Обществом на основании соответствующих нормативных, правовых и организационно-распорядительных документов.
1.4. Для целей настоящего документа используются следующие основные понятия:
Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Персональные данные, разрешенные субъектом персональных данных для распространения – сведения о субъекте, доступ к которым субъект предоставил неограниченному кругу лиц путем дачи согласия на обработку этих ПД, разрешенных им для распространения в порядке, предусмотренном Законом № 152-ФЗ (ст. 3 Закона № 152-ФЗ).
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Конфиденциальность персональных данных – установленное законом требование к Операторам ПД и иным лицам, получившим доступ к ПД, запрещающее раскрывать третьим лицам и распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2. Цели, принципы и правовые основания обработки персональных данных
2.1. Цели обработки ПД:
-
Установление медицинского диагноза и оказания медицинских услуг на коммерческой основе в рамках лицензионной деятельности; создания условий для обеспечения гарантий прав граждан на оказание медицинской помощи надлежащего качества и в соответствующем объеме, профилактики заболеваний, сохранения и укрепления физического и психического здоровья каждого человека (субъекта персональных данных) согласно законодательству в сфере охраны здоровья граждан РФ;
-
Заключение и выполнение обязательств по договорам гражданско-правового характера (в т.ч. при оказании психологической помощи на основании Устава и иных локальных нормативных актов);
-
Исполнение требований трудового законодательства РФ, бухгалтерского и кадрового учета, и иных нормативных правовых актов, с целью выполнения обязательств ООО «Эмпатия» в рамках трудовых отношений с сотрудниками, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
-
Исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в рамках законодательства РФ;
-
Информационное обеспечение пациентов и клиентов, обработка заявок потенциальных Заказчиков ООО "Эмпатия" при формировании предварительной записи к специалистам (в том числе с соблюдением норм ФЗ от 21.11.2011 № 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации" об информировании о медицинских работниках медицинской организации, об уровне их образования и квалификации);
-
Осуществление обратной связи с пациентами и клиентами, в том числе для направления уведомлений, информации и запросов, связанных с оказанием услуг, контроля качества услуг (через контакты по телефону, посредством сети «Интернет»), для регулирования спорных вопросов субъектов ПД, обратившихся через Сайт («Отзывы»), Книгу отзывов, или иные документы, предусмотренные для получения обратной связи.
2.2. Обработка персональных данных в ООО «Эмпатия» осуществляется на основе принципов:
-
законности и справедливости целей и способов обработки персональных данных, соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям ООО «Эмпатия»;
-
соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
-
достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных,
-
недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
-
хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.
2.3. Правовые основания обработки ПД (базовый перечень нормативных актов): Устав ООО «Эмпатия» от 27.04.2018
-
Лицензия ЛО-50-01-010366 от 11.12.2018
-
ФЗ от 21.11.2011 N323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации" Приказ Минздрава России от 31.12.2002 N 420
-
Приказ Минздрава России от 15.12.2014 N 834н
-
Закон РФ "О психиатрической помощи и гарантиях прав граждан при ее оказании" от 02.07.1992 N 3185-1
-
ФЗ от 01.04.1996 N27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования"
-
«Трудовой кодекс Российской Федерации» от 30.12.2001 N 197-ФЗ
-
«Налоговый кодекс Российской Федерации (часть первая)» от 31.07.1998 N 146-ФЗ
3. Состав и категории обрабатываемых персональных данных, категории субъектов персональных данных
3.1. Сведениями, составляющими персональные данные, в ООО «Эмпатия» является любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). В состав обрабатываемых в компании персональных данных пациентов, клиентов и работников могут входить:
-
фамилия, имя, отчество; пол;
-
дата рождения или возраст;
-
паспортные данные (для подписания договора оказания услуг, согласия на предоставление и обработку персональных данных и трудового договора);
-
адрес проживания;
-
номер телефона, факса, адрес электронной почты (по желанию); информация о состоянии здоровья;
-
другая информация, необходимая для правильного проведения и интерпретации медицинских исследований;
-
результаты выполненных медицинских исследований;
-
другая информация, необходимая для выполнения обязательств организации в соответствии с трудовым, налоговым и страховым законодательством Российской Федерации;
3.2. ООО «Эмпатия» обрабатывает персональные данные следующих категорий субъектов персональных данных:
-
пациентов (данных о состоянии здоровья) в целях оказания медицинских услуг, установления медицинского диагноза при этом обработка персональных данных осуществляется лицами, профессионально занимающимися медицинской деятельностью и обязанными в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
-
работников оператора (бывших работников, кандидатов на замещение вакантных должностей, а также родственников работника) в соответствии с трудовым законодательством Российской Федерации;
-
клиентов и контрагентов оператора (физических лиц) с целью заключения и выполнения обязательств по договорам гражданско-правового характера (в т.ч. при оказании психологической помощи на основании Устава и иных локальных нормативных актов).
4. Получение персональных данных
4.1 Получение всех персональных данных осуществляется от самого субъекта персональных данных. Если ПД субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом и от него должно быть получено согласие.
4.2 Оператор сообщает субъекту о целях, предполагаемых источниках и способах получения ПД, перечне действий с ПД, сроках, в течение которых действуют согласия и порядке их отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение (обработку) или распространение.
4.3. Документы, содержащие ПД создаются путем:
-
копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство и др.);
-
внесения сведений в учетные формы;
-
получения оригиналов необходимых документов (трудовая книжка, характеристика и др.).
5. Обработка персональных данных
5.1 Обработка персональных данных осуществляется при следующих условиях:
-
С согласия субъекта персональных данных на обработку его персональных данных;
-
Без согласия субъекта персональных данных по мотивированному запросу исключительно для выполнения возложенных законодательством Российской Федерации функций и полномочий в органы федеральной службы безопасности, прокуратуры, полиции, в судебные органы в связи с осуществлением правосудия, в иные органы и организации в случаях, установленных нормативными правовыми актами, обязательными для исполнения.
-
В случаях, когда осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен с письменного согласия субъекта персональных данных (далее - персональные данные, разрешенные субъектом персональных данных для распространения).
5.2 Персональные данные, обрабатываемые Обществом:
-
Данные полученные при осуществлении трудовых отношений;
-
Данные полученные при осуществлении гражданско-правовых отношений.
5.3 Обработка персональных данных пациентов.
Информация персонального характера пациента обрабатывается с соблюдением требований российского законодательства о защите персональных данных. Доступ к персональным данным пациентов имеют работники оператора, в должностные инструкции которых включается пункт об обязанности сохранения персональных данных пациента (врачебной тайны).
Обработка персональных данных пациентов может осуществляться смешанным путем:
1. Неавтоматизированным способом обработки персональных данных;
2. Автоматизированным способом обработки персональных данных (в случае получения обратной связи посредством Интернет-ресурсов оператора, специального программного обеспечения для осуществления предварительной автоматической записи к специалистам, в случае внедрения электронной медицинской документации).
Персональные данные пациентов преимущественно хранятся на бумажных носителях.
Основным документом, содержащим персональные данные пациента у оператора, является Медицинская карта амбулаторного больного (далее Медицинская карта). Медицинская карта оформляется на каждого обратившегося за оказанием медицинском помощи при первом обращении и хранится в регистратуре оператора. Медицинская карта передается врачам- специалистам при личном обращении пациента к оператору, по окончании приема Медицинская карта сдается врачом-специалистом в регистратуру. Журналы и другие формы медицинской документации, содержащие персональные данные пациентов, оформляются и хранятся в регистратуре либо в медицинских кабинетах оператора в соответствии с требованиями действующих приказов.
Прочие документы, используемые при оказании медицинской помощи и содержащие персональные данные пациентов (акты, направления, договоры, квитанции и пр.), после оформления передаются работнику, допущенному к работе с персональными данными, в должностные обязанности которого входит обработка этих данных.
5.4 Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
6. Хранение персональных данных
6.1. Хранение персональных данных рекомендуется осуществлять в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
6.2. При осуществлении хранения персональных данных оператор использует базы данных, находящиеся на территории Российской Федерации.
6.3. Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде:
-
Персональные данные, зафиксированные на бумажных носителях хранятся в специально отведенных помещениях и шкафах, обеспечивающих защиту от несанкционированного доступа на территории фактического местонахождения ООО «Эмпатия» по адресу: Россия, 143965, Московская обл., г. Реутов, Юбилейный пр., д. 8.
-
При обработке персональных данных, осуществляемой без использования средств автоматизации, выполняются требования, установленные постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
-
Персональные данные субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся на разных компьютерах (в разных папках или вкладках) с раздельным доступом.
6.4. Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках) в ИСПД.
6.5. Хранение оконченных производством документов, содержащих персональные данные пациентов, осуществляется в помещениях оператора с ограниченным доступом. Для обеспечения хранения персональных данных пациентов определяются следующие оснащенные средствами защиты места:
-
регистратура оператора, куда ограничен доступ в течение рабочего дня, по окончании рабочего дня помещение закрывается на ключ;
-
архив (после 5 лет работы оператора).
6.6. Сроки хранения персональных данных определяются в зависимости от категории субъекта персональных данных и устанавливаются в соответствии с федеральными законами и нормативно- правовыми актами Российской Федерации, а также с учетом условий договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, сроком исковой давности, иными требованиями действующего законодательства Российской Федерации.
6.7. Хранение документов, содержащих персональные данные пациентов, осуществляется в течение сроков, установленных действующими нормативными актами в области здравоохранения. Срок хранения ПД пациентов ООО «Эмпатия» соответствует сроку хранения медицинской документации и составляет 25 лет (Письмо МЗ РФ от 07.12.2015 N 13-2/1538). Если в течение указанного срока пациент не обращается за медицинской помощью, Медицинская карта подлежит уничтожению в порядке, предусмотренном приказами по архивному делу, или сдается в архив. При этом для некоторых медицинских документов существуют отличные официально установленные или рекомендованные сроки хранения (например, протоколы решений врачебной комиссии и др.).
7. Уничтожение персональных данных
7.1 Уничтожение документов (носителей), содержащих персональные данные производится путем сожжения, дробления (измельчения). Для уничтожения бумажных документов допускается применение шредера.
7.2 Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.
7.3 Уничтожение производится комиссией. Факт уничтожения персональных данных
подтверждается документально актом об уничтожении носителей, подписанным членами комиссии.
8. Передача персональных данных
8.1. При передаче оператором персональных данных субъекта персональных данных, субъект ПД должен дать на это предварительное согласие в письменной форме.
8.2. Оператор не вправе предоставлять персональные данные субъекта персональных данных третьей стороне без письменного согласия субъекта ПД за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта ПД, а также в случаях, установленных федеральным законом (при официальных запросах в соответствии с Федеральным законом «Об оперативно-розыскных мероприятиях», при официальных запросах из налоговых органов, органов Пенсионного Фонда России, органов Федерального социального страхования, судебных органов).
Субъект персональных данных, о котором запрашиваются сведения, должен быть уведомлён о передаче его персональных данных третьим лицам, за исключением случаев, когда такое уведомление невозможно в силу форс-мажорных обстоятельств (стихийных бедствий, аварий, катастроф).
8.3. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта ПД на обработку его персональных данных.
8.4. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на распространение персональных данных.
8.5. В случае если из предоставленного субъектом персональных данных согласия на распространение персональных данных не следует, что субъект ПД согласился с распространением персональных данных, такие персональные данные обрабатываются оператором без права распространения.
8.6. В случае если из предоставленного субъектом персональных данных согласия на передачу персональных данных следует, что субъект ПД не установил запреты и условия на обработку персональных данных, или не указал категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, оператор обрабатывает такие персональные данные без возможности передачи (распространения, предоставления, доступа) неограниченному кругу лиц.
8.7. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по его требованию. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта ПД, а также перечень персональных данных, обработка которых подлежит прекращению.
8.8. Действие согласия субъекта персональных данных на распространение персональных данных, прекращается с момента поступления оператору требования, указанного в пункте 8.7. настоящего документа.
8.9. Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений Федерального закона от 27.07.2006 № 152-ФЗ или обратиться с таким требованием в суд. Оператор или третье лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта ПД или в срок, указанный во вступившем в законную силу решении суда. Если такой срок в решении суда не указан, то оператор или третье лицо обязано прекратить передачу персональных данных субъекта персональных данных в течение трех рабочих дней с момента вступления решения суда в законную силу.
8.10. Оператор не производит трансграничную (на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных.
9. Защита персональных данных
9.1. При обработке персональных данных оператор принимает необходимые правовые, организационные и технические меры и обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
9.2. Обеспечение безопасности персональных данных достигается, в частности, следующими мероприятиями оператора:
9.2.1. В целях координации действий по организации обработки персональных данных (в том числе по обеспечению их безопасности) назначается ответственное лицо. Утверждается инструкция ответственного за организацию обработки персональных данных.
9.2.2. Разрабатываются локальные нормативные акты (политика, положения, приказы, формы согласий субъектов персональных данных на обработку и распространение персональных данных), регламентирующие правила обработки персональных данных в соответствии с действующим законодательством, осуществляет непрерывный внутренний контроль соответствия обработки персональных данных актуальным требованиям к защите персональных данных.
9.2.3. Осуществляется разработка перечня информационных систем персональных данных, перечня обрабатываемых персональных данных, а также разработка перечня сотрудников, допущенных к работе с персональными данными с утверждением порядка доступа сотрудников в помещения, в которых ведется обработка персональных данных.
9.2.4. Обеспечивается ознакомление сотрудников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных, и (или) обучение указанных сотрудников.
9.2.5. Определяются актуальные угрозы безопасности персональных данных при их обработке в ИСПД, и разрабатываются меры и мероприятия по защите персональных данных (сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами, сертифицированное программное средство защиты информации от несанкционированного доступа, сертифицированные межсетевой экран и средство обнаружения вторжения, установление правил доступа к персональным данным, обрабатываемым в ИСПД и др.).
9.2.6. Соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ:
-
соблюдение конфиденциальности персональных данных (подписание с работниками обязательств о неразглашении персональных данных и иных сведений конфиденциального характера; включение пункта о конфиденциальности в существующие соглашения (договоры) с третьими лицами или заключение новых, а также включение в них мер по обеспечению безопасности персональных данных);
-
обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации, в частности, путем их фиксации на отдельных материальных носителях, в специальных разделах;
-
обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных;
-
хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих их сохранность и исключающих несанкционированный доступ к ним;
-
установление мест хранения носителей персональных данных и ответственности лиц, осуществляющих их использование и хранение;
-
обеспечение помещений оператора охраной и средствами пожарной сигнализации;
-
учет машинных носителей персональных данных, защита персональных компьютеров, с которых осуществляется доступ к персональным данным, паролями доступа. Пароли устанавливаются руководителем организации (или уполномоченным программистом/системным администратором) и сообщаются индивидуально работнику, допущенному к работе с персональными данными и осуществляющему обработку персональных данных на данном ПК.
9.2.7. Обеспечивается выявление фактов несанкционированного доступа к персональным данным и принятием соответствующих мер.
9.2.8. Проходит обучение работников Общества, непосредственно осуществляющих обработку персональных данных, в рамках требований законодательства Российской Федерации в части защиты персональных данных, в том числе документам, определяющими политику Общества в отношении обработки персональных данных, локальным нормативным актам по вопросам обработки персональных данных.
9.2.9. Производится оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных, а также контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных в процессе эксплуатации.
10. Основные права субъекта персональных данных и обязанности оператора
10.1. Основные права субъекта персональных данных:
10.1.1 Субъект персональных данных имеет право требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, право отзывать согласие на распространение отдельных или всех предоставленных к распространению с письменного согласия ПД, а также право принимать предусмотренные законом меры по защите своих прав.
10.1.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
-
подтверждение факта обработки персональных данных оператором;
-
правовые основания и цели обработки (распространения) персональных данных; применяемые оператором способы обработки персональных данных;
-
наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
-
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
-
сроки обработки (распространения) персональных данных, в том числе сроки их хранения; информацию об осуществленной или о предполагаемой трансграничной передаче данных;
-
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
-
иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.
10.1.3 Субъект персональных данных имеет право на обращения к оператору и направлению ему запросов;
10.1.4 Субъект персональных данных имеет право на обжалование действий или бездействия оператора.
10.1.5. Для реализации своих прав и защиты законных интересов Субъект персональных данных имеет право обратиться к Оператору. Оператор рассматривает обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и в случае выявления нарушений, принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
10.2. Обязанности Оператора персональных данных:
-
При сборе персональных данных предоставить субъекту персональных данных по его просьбе информацию о полученных персональных данных;
-
в случаях если персональных данных были получены не от субъекта персональных данных, уведомить субъекта персональных данных;
-
в случае отказа субъекта персональных данных в предоставлении персональных данных субъекту разъяснить юридические последствия такого отказа;
-
опубликовать или иным образом обеспечить неограниченный доступ к настоящему документу, определяющему политику оператора в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;
-
принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных а также от иных неправомерных действий в отношении персональных данных;
-
давать ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных.
11. Заключительные положения
11.1. Работники Общества, получившие доступ к обрабатываемым персональным данным, подписали обязательство о неразглашении конфиденциальной информации, а также
предупреждены о возможной дисциплинарной, административной, гражданско-правовой и уголовной ответственности в случае нарушения норм и требований действующего законодательства Российской Федерации в области обработки персональных данных.
11.2. Настоящая Политика является общедоступной и подлежит размещению на официальном сайте ООО «Эмпатия».
11.3. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных актов по обработке и защите персональных данных, но не реже одного раза в три года.
11.4. Контроль исполнения требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных в ООО «Эмпатия».
11.5. Ответственность работников Общества, осуществляющих обработку персональных данных и имеющих право доступа к ним, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Общества.
11.6. Настоящая Политика действует в отношении всей информации, которую администрация официального сайта ООО «Эмпатия» (https://empathycenter.ru) может получить о пользователе во время использования им сервисов сайта. Использование сервисов сайта означает безоговорочное согласие пользователя с настоящей Политикой и указанными в ней условиями обработки его персональной информации; в случае несогласия с этими условиями пользователь должен воздержаться от использования сервисов сайта https://empathycenter.ru.