УТВЕРЖДАЮ

Директор ООО «Митра» на основании Устава 

Т.С. Майорова

Директор ООО «Детская клиника» на основании Устава

Т.С. Майорова

«20» августа 2025 года

Политика по обработке персональных данных.

1. Основные положения

Настоящая Политика по обработке персональных данных в обществе с ограниченной ответственностью «Митра», и обществе с ограниченной ответственностью «Детская клиника» (далее – Политика) определяет основные принципы получения, хранения, обработки, передачи и любого другого использования персональных данных в обществе с ограниченной ответственностью «Митра», и в обществе с ограниченной ответственностью «Детская клиника» (далее ООО «Митра» и ООО «Детская клиника») в соответствии с законодательством Российской Федерации.

2. Основные обязанности субъекта персональных данных и оператора

Для обеспечения точности персональных данных субъект обязан выполнять следующие требования: Представлять ООО «Митра» и ООО «Детская клиника» полные и достоверные сведения о себе,соответствующие объему, необходимому для обработки данных. При изменении своих персональных данных своевременно информировать ООО «Митра» и ООО «Детская клиника» о внесённых корректировках.

Оператор обязан:

·       осуществлять защиту персональных данных субъекта персональных данных;

·       вести журнал учета обращений субъектов персональных данных по вопросам обработки их персональных данных в ООО «Митра» и ООО «Детская клиника»;

·       ограничить доступ к журналу учета обращений субъектов персональных данных по вопросам обработки их персональных данных в ООО «Митра» и ООО «Детская клиника» (в электронной и бумажной форме) кругом должностных лиц, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей;

·       обеспечивать хранение документации, содержащей персональные данные субъектов персональных данных, при этом персональные данные не должны храниться дольше, чем это оправдано выполнением задач, для которых они собирались, или дольше, чем это требуется в интересах лиц, о которых собраны данные.

3. Права субъекта Персональных данных

Субъект персональных данных имеет право потребовать от Оператора внесения изменений в своиперсональные данные, их блокировку или удаление, если они оказываются неполными, устаревшими, некорректными, полученными незаконным путем или не нужны для заявленных целей обработки. Кроме того, онвправе предпринимать установленные законом меры для защиты своих прав. Также субъект персональных данных имеет право запрашивать информацию о процессе обработки его данных, включая сведения, содержащие следующие пункты:

·       подтверждение факта обработки персональных данных Оператором;

·       правовые основания и цели обработки персональных данных;

·       цели и применяемые Оператором способы обработки персональных данных;

·       сроки обработки персональных данных, в том числе сроки их хранения.

Субъект персональных данных имеет право на определение представителей для защиты своих персональных данных.

Субъект персональных данных имеет право требовать исключить или исправить неверные, или неполные персональные данные, а также данные, обрабатываемые с нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Субъект персональных данных имеет право требовать об извещении всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта персональных данных, обо всех произведенных в них исключениях, исправлениях или дополнениях.

Если субъект персональных данных считает, что ООО «Митра» и ООО «Детская клиника» осуществляют обработку его персональных данных с нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие ООО «Митра» и ООО «Детская клиника» в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.

Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

4. Цели и основания обработки персональных данных

Персональные данные в ООО «Митра» и ООО «Детская клиника» обрабатываются в целях:

·       обеспечения соблюдения прав и законных интересов субъекта персональных данных, уполномочившего представителя на представление его интересов во взаимоотношениях с Оператором;

·       в иных законных целях.

Обработка персональных данных осуществляется на законной и справедливой основе.

Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей.

Обработка персональных данных проводится исключительно в целях, которые заранее определены, конкретны исоответствуют требованиям законодательства. Запрещено использование персональных данных для целей, не совпадающих с изначальными задачами их сбора. К обработке допускаются только те данные, которые необходимы для достижения заявленных целей. Сбор и хранение избыточных персональных данных относительно указанных целей строго запрещены. Хранение данных организуется таким образом, чтобы сохранялась возможность идентификации их субъекта, но только в течение срока, необходимого для выполнения целей обработки. Исключения составляют случаи, когда продолжительность хранения предусмотрена законодательством Российской Федерации или договором, участником которого является субъект персональных данных.

При обработке персональных данных обеспечиваются точность персональных данных, их достаточность и актуальность по отношению к целям обработки. Оператор не проверяет достоверность персональных данных, предоставляемых субъектами персональных данных. При этом Оператор исходит из того, что субъект персональных данных предоставляет достоверную и достаточную для достижения целей обработки персональную информацию.

Не допускается объединение баз данных, содержащих персональных данных, обработка которых осуществляется в целях, несовместимых между собой.

5. Список персональных данных, которые подлежат обработке, а также категории субъектов, чьи данные обрабатываются.

Оператором обрабатываются персональные данные следующих категорий субъектов персональных данных:

·       авторов обращений в адрес Оператора;

·       клиентов Оператора;

·       сотрудников Оператора;

·       других субъектов персональных данных (для обеспечения реализации целей обработки персональных данных, установленных в настоящей Политике).

Перечень персональных данных, обрабатываемых в ООО «Митра» и ООО «Детская клиника» определяется в соответствии с законодательством Российской Федерации о персональных данных и указывается во внутренних нормативных документах Оператора в соответствии с целями обработки персональных данных, установленных в п. 2 настоящей Политики.

ООО «Митра» и ООО «Детская клиника» не производят обработку персональных данных, связанных с расовой или национальной принадлежностью, политическими убеждениями, мировоззрением, религиозными или философскими взглядами, а также сведений об интимной жизни. Кроме того, обработка биометрических данных в ООО «Митра» и ООО «Детская клиника» также не осуществляется.

6. Порядок и условия обработки персональных данных

Обработка персональных данных выполняется при наличии согласия субъекта на их обработку, какпредусмотрено пунктом 1 данной Политики. Персональные данные, которые субъект разрешил к передаче,обрабатываются на основании его согласия на передачу, включая распространение, предоставление и доступ.

При этом учитываются запреты и условия, установленные субъектом для обработки данных, в соответствии с пунктом 2 данной Политики. Если субъект персональных данных отказывается предоставлять свои данные, ему необходимо объяснить возможные юридические последствия такого отказа, как указано в пункте 3 данной Политики.

Обработка полученных персональных данных осуществляется Оператором как с использованием средств автоматизации, так и на бумажных носителях (без использования средств автоматизации).

Оператор и иные лица, получившие доступ к персональным данным на законном основании, с целью обеспечения конфиденциальности, в соответствии со ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», обязуются не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных».

Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

В соответствии с требованиями ч. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» настоящая Политика открыто опубликована и доступна для ознакомления в информационно-телекоммуникационной сети Интернет.

Во исполнение требований ч.1 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» Оператором приняты необходимые правовые, организационные и технические меры для защиты персональных данных при их обработке от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных в соответствии с утвержденным Оператором комплектом организационно-распорядительной документации в области защиты персональных данных при их обработке в ООО «Митра» и ООО «Детская клиника».

Условием прекращения обработки персональных данных является достижение целей обработки персональных данных или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.

Для организации хранения персональных данных в случае автоматизированной обработки Оператор в соответствии с ч. 5 ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» использует сервера, находящиеся на территории Российской Федерации.

При обработке персональных данных без использования средств автоматизации хранение организовано в соответствии с требованиями Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15.09.2008 № 687, а именно:

·       Оператором определены места хранения персональных данных (материальных носителей) и установлены перечни лиц, осуществляющих обработку персональных данных без использования средств автоматизации, либо имеющих к ним доступ;

·       Обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;

·       Оператором определен перечень лиц, ответственных за реализацию организационно-режимных мер, направленных на обеспечение сохранности персональных данных, обработка которых осуществляется без использования средств автоматизации, и исключающих несанкционированный к ним доступ, и обеспечен контроль за их соблюдением.

7. Обновление, корректировка, удаление и полное уничтожение персональных данных, а также предоставление ответов на запросы субъектов по их доступу к персональным данным

Согласно ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в случае подтверждения факта неточности персональных данных или неправомерности их обработки, Оператор принимает необходимые меры, либо обеспечивает их принятие по удалению или уточнению неполных, или неточных данных и временному прекращению обработки до момента устранения выявленных нарушений.

Персональные данные подлежат уничтожению либо обезличиванию после достижения целей их обработки,утраты необходимости в их достижении, отзыва субъектом согласия на обработку данных или выявления их неправомерной обработки. Исключением являются случаи, предусмотренные договором, заключенным с субъектом персональных данных, или иными соглашениями между Оператором и субъектом персональных данных.

Оператор обязуется сообщать субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по его запросу.

Правила рассмотрения запросов субъектов персональных данных или их представителей, а также соответствующие формы запросов/обращений, предоставляются Оператором по запросу не позднее тридцати календарных дней со дня получения запроса.

8. Обработка запросов и обращений от субъектов персональных данных, их представителей, а также уполномоченных государственных органов

Субъект персональных данных обладает правом запросить информацию об Операторе, его местонахождении, а также получить сведения о наличии у Оператора персональных данных, относящихся к нему, и ознакомиться с ними. Кроме того, субъект персональных данных имеет право требовать уточнения своих данных, их блокировки или уничтожения в случаях, если персональные данные оказались неполными, устаревшими, недостоверными, полученными незаконным путем либо не соответствуют заявленной цели обработки. Также он может предпринимать предусмотренные законом меры для защиты своих прав.

Сведения о наличии персональных данных должны быть представлены субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

Действия Оператора при обращении субъекта персональных данных и получении запроса субъекта от него:

Доступ к своим персональным данным представляется субъекту персональных данных или его законному представителю Оператором при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с действующим законодательством Российской Федерации.

Законный представитель представляет Оператору документ, подтверждающий его полномочия.

Оператором рассматривается запрос и проходит проверка факта обработки персональных данных субъекта.

Если запрос субъекта персональных данных связан с внесением изменений в персональные данные субъекта в связи с тем, что персональные данные, обрабатываемые Оператором, являются неполными, устаревшими, недостоверными, то в таком запросе субъект персональных данных должен указать какие именно персональные данные изменяются или уточняются.

Если для внесения изменений в персональные данные необходимы подтверждающие документы, то субъект персональных данных прикладывает к своему запросу об изменении персональных данных доказательства, на основании которых оператор должен внести изменения или уточнить персональные данные.

В случае отсутствия доказательств, на которые ссылается субъект персональных данных, оператор оставляет персональные данные в неизменном виде. Внесение изменений или уточнение персональных данных Оператором должны быть выполнены в течение 7 рабочих дней со дня предоставления таких сведений.

Изменения, уничтожение или блокирование персональных данных соответствующего субъекта осуществляется Оператором на безвозмездной основе.

При получении запроса от субъекта персональных данных о наличии его данных, предусмотренного пунктом № 4 данной Политики, следует в течение 30 календарных дней с момента получения запроса, в соответствии с частью 1 статьи 20 Федерального закона № 152-ФЗ, подтвердить факт обработки персональных данных, если она действительно осуществляется. В случае, если обработка персональных данных не ведется, необходимо в тот же срок направить уведомление об отказе в предоставлении информации о наличии персональных данных, руководствуясь частью 2 статьи 20 указанного закона. 

Если субъект персональных данных либо его представитель обращается с запросом на уточнение данных (пункт № 5 данной Политики), Оператор обязан внести изменения на основании сведений, предоставленных субъектом либо его представителем. Срок для внесения изменений — не более 7 рабочих дней с даты предоставления сведений, подтверждающих, что данные являются неполными, неточными или устаревшими, согласно части 3 статьи 20 Федерального закона № 152-ФЗ. После внесения корректировок необходимо направить уведомление о произведенных изменениях. 

Если обработка персональных данных субъекта не осуществляется либо не предоставлены сведения, подтверждающие неполноту, неточность или устаревание данных, которые связаны с этим субъектом и обрабатываются Оператором, то в сроки до 30 дней с момента получения запроса следует направить уведомление об отказе в изменении персональных данных.

При получении запросов от субъекта персональных данных, связанных с их уничтожением (см. Пункт № 5 настоящей Политики), организация обязана уничтожить данные в срок, не превышающий 7 рабочих дней с момента предоставления субъектом или его представителем документации, подтверждающей незаконностьполучения или отсутствие необходимости данных для заявленных целей обработки. Это должно соответствовать требованиям части 3 статьи 20 Федерального закона № 152-ФЗ. После выполнения уничтожения необходимо отправить уведомление о его завершении.

Если обработка персональных данных не ведется, либо отсутствуют подтверждающие сведения о незаконном получении данных или их бесполезности для заявленных целей, а также в случае обязательной обработки данных на основании требований других законодательных актов, следует подготовить уведомление об отказе в уничтожении данных. Данное уведомление необходимо направить субъекту в срок не позднее 30 дней с моментаполучения его запроса.

При поступлении запроса от субъекта персональных данных о прекращении передачи, распространения, предоставления или доступа к его данным (согласно пункту 6 данной Политики), необходимо остановить передачу указанных данных в срок до трёх рабочих дней с момента получения требования.

Если же данные действия регулируются вступившим в законную силу решением суда, то срок исполнения определяется этим решением; в случае отсутствия указания срока, процедура выполняется в течение трёх рабочих дней после вступления решения суда в законную силу, как предусмотрено частью 14 статьи 10.1 Федерального закона № 152-ФЗ. В случае поступления запроса на отзыв согласия субъекта персональных данных на обработку его информации (также согласно пункту 6 данной Политики), обработка данныхпрекращается.

Если сохранение персональной информации больше не требуется для целей обработки, она должна бытьуничтожена в срок, не превышающий 30 дней с даты получения запроса, в соответствии с частью 5 статьи 21 Федерального закона № 152-ФЗ.

При обнаружении недостоверности персональных данных в ходе обращения или по запросу субъекта данных (см. Пункт № 5 данной Политики), следует заблокировать такие данные сразу после получения запроса или обращения на период проверки, как предписано частью 1 статьи 21 Федерального закона № 152-ФЗ. 

Если недостоверность персональных данных подтверждается либо на основании сведений, предоставленных субъектом данных или его представителем, либо через другие источники, необходимо уточнить данные в течение семи рабочих дней со дня получения таких сведений и отменить блокировку данных, руководствуясь частью 2 статьи 21 того же закона. В случае отсутствия подтверждения недостоверности персональных данных необходимо направить уведомление о невозможности внесения изменений. В случае выявления неправомерных действий с персональными данными, Оператор по запросу субъекта данных (см. Пункт № 5 данной Политики) обязан прекратить их неправомерную обработку в срок до трех рабочих дней с момента обнаружения такихдействий, согласно части 3 статьи 21 Федерального закона № 152-ФЗ. 

Если легитимная обработка данных оказывается невозможной, Оператор должен уничтожить соответствующие персональные данные в срок до десяти рабочих дней с момента выявления нарушения, также руководствуясьчастью 3 статьи 21 закона. После уничтожения данных необходимо отправить субъекту уведомление о выполнении данной процедуры.

9. Действия оператора при получении запроса от уполномоченного органа,отвечающего за защиту прав субъектов персональных данных

При получении запроса необходимо в течение 30 дней (согласно части 4 статьи 20 Федерального закона № 152-ФЗ) предоставить информацию, необходимую для осуществления деятельности указанного органа.

При обнаружении недостоверности персональных данных по запросу уполномоченного органа, ответственного зазащиту прав субъектов персональных данных, необходимо немедленно заблокировать такие данные или обеспечить их блокирование (если обработка осуществляется другим лицом, действующим по поручению Оператора) с момента получения запроса. Блокировка должна сохраняться на период проведения проверки, какэто предусмотрено частью 1 статьи 21 Федерального закона № 152-ФЗ.

В случае подтверждения недостоверности предоставленных данных на основании документов, представленных субъектом персональных данных или его представителем, в течение 7 рабочих дней необходимо внести уточнения или обеспечить их внесение (если обработка осуществляется третьим лицом по поручению Оператора), а также снять блокировку данных. Это регламентировано частью 2 статьи 21 указанного закона. Если же недостоверность данных не была подтверждена, требуется направить уведомление об отказе в их изменении и произвести снятие блокировки персональных данных.

При выявлении неправомерной обработки Оператором персональных данных по запросу уполномоченного органа по защите прав субъекта персональных данных Оператору необходимо прекратить неправомерную обработку персональных данных в срок, не превышающий 3 рабочих дней с момента такого обращения или получения такого запроса на период проверки (согласно части 1 статьи 21 Федерального закона № 152-ФЗ). В случае невозможности обеспечения правомерности обработки персональных данных Оператором в срок, не превышающий 10 рабочих дней с даты выявления неправомерности действий с персональных данных, необходимо уничтожить персональных данных и отправить уведомление об уничтожении персональных данных.