Политика конфиденциальности

Политика общества с ограниченной ответственностью «Дента»
в отношении обработки персональных данных
(редакция от 20 июля 2022 г.)

1. Общие положения

1.1. Настоящая Политика Общества с ограниченной ответственностью «Дента» (ОГРН 1177746711482, ИНН 9705103509) в отношении обработки персональных данных (далее — Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Политика действует в отношении всех персональных данных, которые обрабатывает общество с ограниченной ответственностью «Дента» (далее — Оператор, ООО «Дента»).
1.3. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.
1.4. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора https://www.sanadentmoscow.ru.
1.5. Основные понятия, используемые в Политике:
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
Оператор персональных данных (оператор) — Общество с ограниченной ответственностью «Дента» (ОГРН 1177746711482, ИНН 9705103509, адрес: 115054, ГОРОД МОСКВА, ВАЛОВАЯ УЛИЦА, ДОМ 32/75, СТРОЕНИЕ 1, КАБИНЕТ 2);
Обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:

  • сбор;
  • запись;
  • систематизацию;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передачу (распространение, предоставление, доступ);
  • обезличивание;
  • блокирование;
  • удаление;
  • уничтожение.

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Пациент — физическое лицо, которому оказывается медицинская помощь или которое обратилось за оказанием медицинской помощи независимо от наличия у него заболевания и от его состояния;
Клиент – физическое или юридическое лицо, заключившее с Оператором договор оказания медицинских услуг, либо посетившее Сайт оператора в том числе с целью оформления заявки на Сайте с последующим звонком клиенту для уточнения информации для записи на приём, информирования об акциях, ценах и спец, предложениях.
Контрагент – физическое или юридическое лицо, не являющееся Пациентом или Клиентом заключившее с Оператором гражданско-правовой договор.
Сайт – интернет ресурс, принадлежащей Оператору и имеющий доменное имя: https://www.sanadentmoscow.ru.
Субъект персональных данных (далее — Субъект) — кандидаты на вакантные должности, работники Оператора; лица, входящие в органы управления Оператора и не являющимися сотрудниками; физические лица, с которыми Оператором заключаются договоры гражданско-правового характера и (или) лица, которым Оператор оказывает медицинские услуги (Контрагенты, Клиенты, Пациенты); представители юридических лиц, заключивших с Оператором гражданско-правовые договоры.
1.6. Основные права и обязанности Оператора.
1.6.1. Оператор имеет право:
1.6.1.1. самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;
1.6.1.2. поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных;
1.6.1.3. в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.
1.6.2. Оператор обязан:
1.6.2.1. организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
1.6.2.2. при сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную ч. 7 ст. 14 Закона о персональных данных;
1.6.2.3. если в соответствии с действующим законодательством предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных являются обязательными, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.
1.6.2.4. если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных ч. 4 ст. 18 Закона о персональных данных, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

  • наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
  • цель обработки персональных данных и ее правовое основание;
  • перечень персональных данных;
  • предполагаемые пользователи персональных данных;
  • установленные Законом о защите персональных данных права субъекта персональных данных;
  • источник получения персональных данных.

1.6.2.5. при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением указанных в Законе о персональных данных случаев.
1.6.2.6. при обработке персональных данных Оператор обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
1.6.2.7. Оператор обязан в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.
1.6.2.8. отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
1.6.2.9. сообщать в порядке, предусмотренном ст. 14 Закона о персональных данных, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в 10 рабочих дней с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
1.6.2.10. в случае отказа в предоставлении информации, указанной в подп. 9 настоящего пункта, Оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 10 рабочих дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
1.6.2.11. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий 7 рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий 7 рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
1.6.2.12. сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
1.6.2.13. Исполнять обязанности, предусмотренные ст. 21 Закона о персональных данных, по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных
1.6.2.14. Уведомлять уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных ч. 2 ст. 22 Закона о персональных данных.
1.7. Основные права субъекта персональных данных. Субъект персональных данных имеет право:
1.7.1. получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;
1.7.2. требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
1.7.3. выдвигать условие предварительного согласия при обработке персональных данных в целях продвижения на рынке товаров, работ и услуг;
1.7.4. обжаловать в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных.
1.8. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных у Оператора. Ответственное лицо назначается приказом генерального директора Оператора.
1.9. Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.

2. Цели сбора персональных данных

2.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
2.3. Обработка Оператором персональных данных осуществляется в следующих целях:
2.3.1. обеспечение соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;
2.3.2. осуществление своей деятельности в соответствии с уставом Оператора;
2.3.3. ведение кадрового делопроизводства;
2.3.4. реализации положений действующего законодательства о государственной, социальной помощи, трудовым законодательством, законодательством о трудовых пенсиях
2.3.5. содействие работникам в трудоустройстве, получении образования и продвижении по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества;
2.3.6. защиты жизни, здоровья или иных жизненно важных интересов работника и других лиц.
2.3.7. привлечение и отбор кандидатов на работу у Оператора;
2.3.8. организация постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования;
2.3.9. заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;
2.3.10. ведение бухгалтерского учета;
2.3.11. осуществление гражданско-правовых отношений, в том числе в рамках оказания медицинских услуг клиентам Оператора;
2.3.12. оказания медицинской (немедицинской) помощи;
2.3.13. в целях продвижения товаров, работ (услуг) на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи с сети «Интернет».
2.4. Обработка персональных данных работников может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.

3. Правовые основания обработки персональных данных

3.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:
3.1.1. Конституция Российской Федерации;
3.1.2. Гражданский кодекс Российской Федерации от 30 ноября 1994 года N 51-ФЗ;
3.1.3. Трудовой кодекс Российской Федерации от 30.12.2001 N 197-ФЗ;
3.1.4. Налоговый кодекс Российской Федерации (Часть 1) от 31 июля 1998 года N 146-ФЗ;
3.1.5. Налоговый кодекс Российской Федерации (Часть 2) от 5 августа 2000года N 117-ФЗ;
3.1.6. Федеральный закон от 08.02.1998 N 14-ФЗ «Об обществах с ограниченной ответственностью»;
3.1.7. Федеральный закон «О бухгалтерском учете» от 06.12.2011 N 402-ФЗ;
3.1.8. Федеральный закон «Об обязательном медицинском страховании в Российской Федерации» от 29.11.2010 N 326-ФЗ;
3.1.9. Федеральный закон «Об обязательном пенсионном страховании в Российской Федерации» от 15.12.2001 N 167-ФЗ;
3.1.10. Федеральный закон «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» от 01.04.1996 N 27-ФЗ;
3.1.11. Федеральный закон от 21.11.2011 N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
3.1.12. Федеральный закон от 27.07.2006 г. №152-ФЗ «О персональных данных»;
3.1.13. Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации»;
3.1.14. Указ Президента РФ от 06.03.1997 N 188 «Об утверждении Перечня сведений конфиденциального характера»;
3.1.15. иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.
3.2. Правовым основанием обработки персональных данных также являются:
3.2.1. устав Оператора;
3.2.2. локальные нормативные акты и внутренние документы Оператора;
3.2.3. Лицензия № Л041-01137-77/00322381 от 26.06.2018 на осуществление Медицинской деятельности (за исключением указанной деятельности, осуществляемой медицинскими организациями и другими организациями, входящими в частную систему здравоохранения, на территории инновационного центра «Сколково»);
3.2.4. договоры, заключаемые между Оператором и субъектами персональных данных;
3.2.5. согласие субъектов персональных данных на обработку их персональных данных.

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

4.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в разд. 2 настоящей Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.2. Оператор может обрабатывать персональные данные следующих категорий субъектов персональных данных.
4.2.1. Кандидаты для приема на работу к Оператору:
4.2.1.1. фамилия, имя, отчество;
4.2.1.2. пол;
4.2.1.3. гражданство;
4.2.1.4. дата и место рождения;
4.2.1.5. контактные данные;
4.2.1.6. сведения об образовании, опыте работы, квалификации;
4.2.1.7. иные персональные данные, сообщаемые кандидатами в резюме и сопроводительных письмах.
4.2.2. Работники и бывшие работники Оператора:
4.2.2.1. фамилия, имя, отчество;
4.2.2.2. пол;
4.2.2.3. гражданство;
4.2.2.4. дата и место рождения;
4.2.2.5. паспортные данные;
4.2.2.6. адрес регистрации по месту жительства;
4.2.2.7. адрес фактического проживания;
4.2.2.8. контактные данные;
4.2.2.9. результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей;
4.2.2.10. фотографии;
4.2.2.11. банковские реквизиты;
4.2.2.12. индивидуальный номер налогоплательщика;
4.2.2.13. страховой номер индивидуального лицевого счета (СНИЛС);
4.2.2.14. сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;
4.2.2.15. семейное положение, наличие детей;
4.2.2.16. сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;
4.2.2.17. данные о регистрации брака;
4.2.2.18. сведения о воинском учете;
4.2.2.19. сведения об инвалидности;
4.2.2.20. сведения об удержании алиментов;
4.2.2.21. сведения о доходе с предыдущего места работы;
4.2.2.22. иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства, в том числе сведения, на основании которых может быть идентифицирован работник, сведения, требующиеся для предоставления работнику дополнительных социальных гарантий.
4.2.3. Члены семьи работников Оператора:
4.2.3.1. фамилия, имя, отчество;
4.2.3.2. степень родства;
4.2.3.3. год рождения;
4.2.3.4. иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства, в том числе сведения, требующиеся для предоставления работнику дополнительных социальных гарантий.
4.2.4. Пациенты Оператора (физические лица):
4.2.4.1. фамилия, имя, отчество;
4.2.4.2. дата;
4.2.4.3. паспортные данные;
4.2.4.4. адрес регистрации по месту жительства и фактического пребывания;
4.2.4.5. контактные данные;
4.2.4.6. индивидуальный номер налогоплательщика;
4.2.4.7. результаты выполненных медицинских исследований, манипуляций и процедур, в том числе в виде фотографий;
4.2.4.8. состояние здоровья в случае, когда обработка таких данных необходима для защиты его жизни, здоровья или иных жизненно важных интересов;
4.2.4.9. банковские реквизиты;
4.2.4.10. другая информация, необходимая для правильного проведения и интерпретации медицинских исследований (необходима в некоторых случаях для установки правильных пограничных значений результатов);
4.2.4.11. иные персональные данные, предоставляемые клиентами и контрагентами (физическими лицами), необходимые для заключения и исполнения договоров, а также сведения, предоставленные пациентом по собственной инициативе.
4.2.5. Клиенты и контрагенты Оператора (физические лица):
4.2.5.1. фамилия, имя, отчество;
4.2.5.2. дата и место рождения;
4.2.5.3. паспортные данные;
4.2.5.4. адрес регистрации по месту жительства;
4.2.5.5. контактные данные;
4.2.5.6. замещаемая должность;
4.2.5.7. индивидуальный номер налогоплательщика;
4.2.5.8. номер расчетного счета;
4.2.5.9. иные персональные данные, предоставляемые клиентами и контрагентами (физическими лицами), необходимые для заключения и исполнения договоров.
4.2.5. Представители (работники) клиентов и контрагентов Оператора (юридических лиц):
4.2.5.1. фамилия, имя, отчество;
4.2.5.2. паспортные данные;
4.2.5.3. контактные данные;
4.2.5.4. замещаемая должность;
4.2.5.5. иные персональные данные, предоставляемые представителями (работниками) клиентов и контрагентов, необходимые для заключения и исполнения договоров.
4.3. Оператором не осуществляется обработка биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность), за исключением фотографий, используемых Оператором исключительно с согласия субъекта персональных данных.
4.4. Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья (за исключением субъектов персональных данных являющихся Пациентами), интимной жизни.
4.5. Оператор, при предоставлении медицинских услуг осуществляет обработку специальных категорий персональных данных, касающихся состояния здоровья Пациентов.

5. Порядок и условия обработки персональных данных. Требования к защите персональных данных

5.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
5.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
5.3. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.
5.4. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.
5.5. Обработка персональных данных осуществляется путем:
5.5.1. получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
5.5.2. получения персональных данных из общедоступных источников;
5.5.3. внесения персональных данных в журналы, реестры и информационные системы Оператора;
5.5.4. использования иных способов обработки персональных данных.
5.6. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, утверждены Приказом Роскомнадзора от 24.02.2021 № 18.
5.7. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Пенсионный фонд Российской Федерации, Фонд социального страхования и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
5.8. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором либо до получения Оператором отзыва согласия на обработку персональных данных (в зависимости от того, какое из событий наступит ранее).
Персональные данные, срок обработки (хранения) которых истек, должны быть уничтожены, если иное не предусмотрено действующим законодательством.
5.9. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.
5.10. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.
Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.
Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

  • обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
  • соблюдение конфиденциальности информации ограниченного доступа;
  • реализацию права на доступ к информации.

5.11. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного и/или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения и других несанкционированных действий, в том числе:
5.11.1. определяет угрозы безопасности персональных данных при их обработке;
5.11.2. оценивает вред, который может быть причинен Субъектам в случае нарушения требований действующего законодательства, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных действующим законодательством;
5.11.3. принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
5.11.4. назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
5.11.5. ограничивает состав лиц, имеющих доступ к персональным данным;
5.11.6. создает условия для работы с персональными данными, исключающие несанкционированный доступ к материальным носителям персональных данных и обеспечивающие сохранность персональных данных;
5.11.7. хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
5.11.8. организует учет документов, содержащих персональные данные;
5.11.9. организует работу с информационными системами, в которых обрабатываются персональные данные;
5.11.10. организует обучение работников Оператора, осуществляющих обработку персональных данных.
5.11.11. Обеспечивает использование антивирусных средств и средств восстановления системы защиты персональных данных;
5.11.12. иные меры, предусмотренные действующим законодательством.
5.12. Для обеспечения безопасности персональных данных при неавтоматизированной обработке предпринимаются следующие меры:
5.12.1. все действия по обработке персональных данных осуществляются только сотрудниками Оператора, допущенными приказом генерального директора к работе с персональными данными, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции;
5.12.2. обработка персональных данных осуществляется с соблюдением порядка, предусмотренного Постановлением Правительства от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
5.13. Для обеспечения безопасности персональных данных при автоматизированной обработке предпринимаются следующие меры:
5.13.1. персональные компьютеры, с которых осуществляется доступ к персональным данным, защищены паролями доступа. Пароли устанавливаются программистом и сообщаются индивидуально сотруднику, допущенному к работе с персональными данными и осуществляющему обработку персональных данных на данном персональном компьютере.
5.13.2. Обработка персональных данных осуществляется с соблюдением порядка, предусмотренного Постановлением Правительства от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

6. Особенности обработки и защиты персональных данных, собираемых оператором с использованием сети интернет

6.1. Оператор обрабатывает и защищает персональные данные, поступающие от пользователей Сайта.
6.2. Оператор может получать персональные данные с помощью сети Интернет посредством их предоставления Субъектами путем заполнения соответствующих форм на Сайте и посредством направления электронных писем на корпоративные адреса Оператора.
6.3. Способы получения персональных данных с помощью сети Интернет:
6.3.1. предоставление персональных данных (включая фамилию, имя, должность, место работы, должность, контактный телефон, адрес электронной почты, адрес и др.) Субъектами путем заполнения соответствующих форм на Сайте и посредством направления электронных писем на корпоративные адреса Оператора.
6.4. Оператор вправе пользоваться предоставленными персональными данными в соответствии с заявленными целями их сбора при наличии согласия Субъекта, если такое согласие требуется в соответствии с требованиями действующего законодательства. Полученные персональные данные в обобщенном и обезличенном виде могут использоваться для лучшего понимания потребностей покупателей товаров и услуг, реализуемых Оператором и улучшения качества обслуживания.
6.5. Сайт содержит ссылки на иные веб-ресурсы, где может находиться полезная и интересная для пользователей Сайта информация. При этом действие настоящей Политики не распространяется на такие веб-ресурсы. Пользователям, переходящим по ссылкам на другие веб-ресурсы, рекомендуется ознакомиться с политиками об обработке персональных данных, размещенными на таких веб-ресурсах.
6.6. Пользователь Сайта может в любое время отозвать свое согласие на обработку персональных данных, направив электронное сообщение на адрес электронной почты Оператора: sana_dent@bk.ru, либо направив письменное уведомление по адресу Оператора, указанному в п. 1.4 настоящей Политики.

7. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

7.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Оператором субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя.
В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
Запрос должен содержать:

  • номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
  • сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
  • подпись субъекта персональных данных или его представителя.

Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
7.2. В случае выявления неправомерной обращения персональных данных и (или) неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу, либо по запросу уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзор) оператор обязан осуществить и (или) обеспечить блокирование персональных данных относящихся к этому субъекту персональных данных с момента такого обращения или получения указанного запроса на период проверки в порядке, предусмотренном п. 1 ст. 21 Закона о персональных данных.
В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение 7 рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий 3 рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
7.3. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
1) в течение 24 часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
2) в течение 72 часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
7.4. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

  • иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
  • оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
  • иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.

7.5. Решение об уничтожении персональных данных принимает генеральный директор на основании служебной записки ответственного за организацию обработки персональных данных у Оператора.
7.6. Лицо, назначенное приказом единоличного исполнительного органа Оператора ответственным за организацию обработки персональных данных
7.6.1. определяет и составляет перечень документов, подлежащих уничтожению, согласно установленным законодательством срокам.
7.6.2. осуществляет уничтожение персональных данных и (или) материальных носителей персональных данных.
7.6.3. составляет акт о прекращении обработки персональных данных;
7.6.4. несет персональную ответственность за правильность и полноту уничтожения перечисленных в акте документов
7.7. Уничтожение персональных данных и (или) материальных носителей персональных данных осуществляется способами:

  • для бумажных носителей персональных данных – измельчение посредством шредера, имеющего не менее 5-й степени измельчения, сжигание;
  • для электронных носителей
  • стирание на устройстве гарантированного уничтожения информации, физическое уничтожение микросхем диска.

7.8. Факт уничтожения персональных данных подтверждается актом о прекращении обработки персональных данных, составленным лицом, ответственным за организацию обработки персональных данных. Акт составляется в дату уничтожения персональных данных. Акт в том числе должен содержать следующие сведения:

  • полное наименование Оператора
  • Дата составления
  • Дату и время уничтожения персональных данных
  • перечень уничтоженных документов (носителей)
  • способ уничтожения
  • полное имя, должность лица и подпись лица, ответственного за организацию обработки персональных данных;
  • подпись лица, занимающего должность единоличного исполнительного органа Оператора.