Положение (политика) о работе с персональными данными
1. Общие положения
1.1. Настоящее положение (политика), далее – «Положение», разработано в соответствии с Конституцией РФ, Федеральным законом от 27.07.2006 № 152-ФЗ, Федеральным законом от 30.12.2020 № 519-ФЗ и иными нормативно-правовыми актами.
1.2. Настоящее Положение определяет порядок сбора, учета, обработки, накопления, использования, распространения и хранения персональных данных субъектов персональных данных и гарантии конфиденциальности сведений о физических лицах: работниках и/или соискателях на вакантные должности и/или клиентах (пациентах, законных представителях) и/или представителях компаний-клиентов, контрагентах и/или представителях компаний-контрагентов и пользователях сайта ОБЩЕСТВО С ОГРАНИЧЕННОГО ОТВЕТСТВЕННОСТЬЮ «МЕДИЦИНСКИЙ ЦЕНТР ЭЛЬФОМЕД» ИНН 9201526135; ОГРН 1189204006804; адрес: 299038, город Севастополь, улица Астана Кесаева, дом 1, встроенные нежилые помещения; телефон +79780657535 (далее также — «Оператор»), которые предоставили Оператору свои персональные данные.
1.3. Цель настоящего Положения – защита персональных данных работников, соискателей, клиентов (пациентов), контрагентов и пользователей сайта Оператора от несанкционированного доступа и разглашения. Персональные данные вышеперечисленных лиц являются конфиденциальной, строго охраняемой информацией.
1.4. В целях настоящего Положения под персональными данными понимается любая информация, прямо или косвенно относящаяся к субъекту персональных данных.
1.5. В состав персональных данных по смыслу настоящего Положения входят:
паспортные данные, фамилия, имя, отчество, пол, дата рождения, контактный номер телефона, адрес места жительства, СНИЛС, ИНН, адрес электронной почты, данные о состоянии здоровья, место рождения, семейное положение, социальное положение, имущественное положение, доходы, адрес регистрации, гражданство, данные водительского удостоверения, данные документа содержащиеся в свидетельстве о рождении, реквизиты банковской карты, номер расчетного счета, номер лицевого счета, профессия, должность, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации), отношение к воинской обязанности, сведения о воинском учете, сведения об образовании, фото-видео изображение лица, сведения собираемые посредством метрических программ, cookie-файлы (время, источник перехода, IP-адрес, разрешение экрана, данные устройства и его положение, поведение на сайте, источники трафика, данные веб аналитики, история и продолжительность взаимодействия с сайтом, пользовательский выбор на сайте).
1.6. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:
- Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Федеральный закон от 08.02.1998 N 14-ФЗ «Об обществах с ограниченной ответственностью»;
- Федеральный закон от 06.12.2011 N 402-ФЗ «О бухгалтерском учете»;
- Федеральный закон от 15.12.2001 N 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
- Иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора;
- Согласие субъектов персональных данных на обработку их персональных данных;
- Устав ООО «ЭЛЬФОМЕД»;
- Договоры, заключаемые между Оператором и субъектами персональных данных.
1.7. Настоящее Положение и изменения к нему утверждаются руководителем ООО «ЭЛЬФОМЕД» и вводятся приказом. Настоящее Положение размещается на официальном сайте Оператора по адресу https://elfomed.ru/, и находится в свободном доступе. Доступ к положению есть у всех пользователей сайта.
1.8. Настоящее Положение вступает в силу с 24.03.2026.
2. Получение и обработка персональных данных
2.1. Персональные данные Оператор получает непосредственно от работников, соискателей, клиентов (пациентов), контрагентов или пользователей сайта. Оператор вправе получать персональные данные от третьих лиц только при наличии письменного согласия субъекта персональных данных или в иных случаях, прямо предусмотренных в законодательстве.
2.2. Оператор должен сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.
2.3. Оператор не вправе требовать от субъекта персональных данных представления персональных данных, которые будут избыточны для целей обработки, которые преследует Оператор.
2.4. Субъект персональных данных представляет Оператору достоверные сведения о себе.
2.5. Чтобы обрабатывать персональные данные субъектов персональных данных, Оператор получает от каждого субъекта согласие на обработку его персональных данных. Такое согласие Оператор получает, если закон не предоставляет Оператору права обрабатывать персональные данные без согласия.
2.6. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных в любой момент. Для этого необходимо направить Оператору письменное уведомление об отзыве согласия. В случае отзыва согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия при наличии оснований, указанных в Федеральном законе от 27.07.2006 № 152-ФЗ.
2.7. Поскольку на сайте с целью анализа пользовательской активности используется интернет-сервис «Яндекс Метрика», правообладателем которого является ООО «Яндекс» (ИНН 7736207543, ОГРН 1027700229193, адрес 119021, г. Москва, ул. Льва Толстого, д.16), предназначенный для оценки посещаемости веб-сайтов и анализа поведения пользователей, то в состав собираемых на сайте данных о субъекте персональных данных могут входить следующие данные:
- информация из файлов cookie браузера субъекта персональных данных (или иной программе, с помощью которой осуществляется доступ к сервисам сайта),
- браузер субъекта персональных данных и его версия, операционная система субъекта персональных данных и ее версия, время доступа, адреса запрашиваемых страниц, реферер страницы, заголовок страницы, высота и ширина экрана, наличие JavaScript, часовой пояс, язык браузера, глубина цвета экрана, ширина и высота клиентской части окна браузера, пол и возраст, интересы субъекта персональных данных, географические данные, JavaScript-события (учет взаимодействий субъекта персональных данных с сайтом, в том числе использование на сайте методов JavaScript API. Например, отправка формы, скроллинг страницы), параметры загрузки страницы, например, время до отрисовки и время ответа сервера, просмотр страницы, визит, информация о переходе по внешней ссылке, скачивание файла, отказ от просмотра веб-страниц сайта, время, проведенное пользователем на сайте, глубина просмотра сайта.
ООО «ЯНДЕКС» и/или его аффилированные лица, в том числе входящие в одну группу с ООО «ЯНДЕКС», могут получать вышеуказанные данные.
Цели сбора ООО «ЯНДЕКС» указанной информации:
— повышение удобства использования сайтов и сервисов, в том числе для показа наиболее релевантных результатов поиска и предоставления более персонализированных сайтов и сервисов, а также для улучшения других продуктов, приложений и сервисов Яндекса;
— создание новых продуктов, утилит и предложений Яндекса;
— сбор, обработка и представление статистических данных, больших данных и других исследований;
— выявление угроз безопасности для сайтов и сервисов, пользователей, Яндекса и/или третьих лиц.
Согласно политике конфиденциальности Яндекса, Яндекс также для достижения указанных целей может передавать полученную им информацию третьим лицам, не входящим в группу Яндекса.
К таким третьим лицам могут относиться:
— Партнеры, такие как владельцы сайтов и приложений, рекламные сети и другие партнеры, предоставляющие Яндексу услуги, связанные с размещением и отображением рекламы на сайтах, в программах, продуктах или сервисах, которые принадлежат таким партнерам или контролируются ими; компании, предоставляющие услуги перевозки (такси);
— рекламодатели или другие партнеры, которые отображают для субъекта персональных данных рекламу на сайтах и/или на сервисах Яндекса, а также такие партнеры как поставщики информационных сервисов или консультанты;
— лица, предоставляющие информацию для выявления угроз безопасности для сайтов и сервисов, пользователей, Яндекса и/или третьих лиц;
Яндекс также может передавать Персональную информацию третьим лицам, не входящим в Группу Яндекса:
— третьим лицам, которым произведена уступка прав или обязанностей по договорам, связанным с предоставлением пользователям сервисов, или которые осуществляют контроль иным образом над лицами, предоставляющими сервисы, в результате их приобретения (посредством приобретения юридических лиц, объектов интеллектуальной собственности, имущества, имущественных прав и иным образом);
— любому национальному и/или международному регулирующему органу, правоохранительным органам, центральным или местным исполнительным органам власти, другим официальным или государственным органам или судам, в отношении которых Яндекс обязан предоставлять информацию в соответствии с применимым законодательством по соответствующему запросу;
— третьим лицам, в случае если субъект персональных данных выразил согласие на передачу информации либо передача информации требуется для предоставления субъекту персональных данных соответствующего сервиса или выполнения определенного соглашения или договора, заключенного с субъектом персональных данных;
— любому третьему лицу в целях обеспечения правовой защиты Яндекса или третьих лиц при нарушении субъектом персональных данных пользовательского соглашения сервисов Яндекса, Политики конфиденциальности Яндекса или условий, регулирующих использование отдельных сервисов, либо в ситуации, когда существует угроза такого нарушения.
3. Хранение персональных данных
3.1. Оператор обеспечивает защиту персональных данных субъектов персональных данных от неправомерного использования или утраты. Персональные данные хранятся в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним.
3.2. Персональные данные субъектов персональных данных хранятся в том числе в электронном виде в компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные субъектов персональных данных, обеспечивается системой паролей. Пароли устанавливаются руководителем ООО «ЭЛЬФОМЕД» и сообщаются индивидуально работникам, имеющим доступ к персональным данным субъектов персональных данных.
3.3. Изменение паролей производится руководителем ООО «ЭЛЬФОМЕД» не реже одного раза в два месяца.
3.4. Доступ к персональным данным имеют руководитель ООО «ЭЛЬФОМЕД», главный бухгалтер (при наличии). Доступ других работников к персональным данным осуществляется на основании письменного разрешения руководителя ООО «ЭЛЬФОМЕД».
3.5. Работники, осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных. Назначен ответственный за организацию обработки персональных данных.
3.6. Копировать и делать выписки из персональных данных субъектов персональных данных разрешается исключительно в служебных целях с письменного разрешения руководителя ООО «ЭЛЬФОМЕД».
4. Использование персональных данных
4.1. Персональные данные используются для нижеперечисленных целей:
| Цель | Субъект | Категории персональных данных |
| Ведение кадрового и бухгалтерского учета, организация работы с персоналом, подбор на вакантные должности Оператора | Работники, соискатели, родственники работников, уволенные работники | Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; имущественное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные водительского удостоверения; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; фото-видео изображение лица Специальные категории персональных данных: сведения о состоянии здоровья |
| Оказание платных медицинских услуг | Клиенты (пациенты), законные представители | Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; данные документа, удостоверяющего личность; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты; номер расчетного счета; номер лицевого счета Специальные категории персональных данных: сведения о состоянии здоровья |
| Подготовка, заключение и исполнение договоров с контрагентами для обеспечения деятельности предприятия | Контрагенты, представители контрагентов | Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия; должность; сведения об образовании |
| Цель | Субъект | Категории персональных данных |
| Продвижение собственных услуг на рынке, корректное функционирование сайта, формирование маркетинговой стратегии | Посетители сайта, клиенты (пациенты), работники | Фамилия, имя, отчество; пол; адрес электронной почты; номер телефона; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); сведения, собираемые посредством метрических программ; сведения об образовании; фото-видео изображение лица; cookie-файлы (время, источник перехода, IP-адрес, разрешение экрана, данные устройства и его положение, поведение на сайте, источники трафика, данные веб аналитики, история и продолжительность взаимодействия с сайтом, пользовательский выбор на сайте |
4.2. Персональные данные, представленные субъектом персональных данных, обрабатываются автоматизированно (с использованием средств вычислительной техники) и неавтоматизированно (вручную).
4.3. Персональные данные хранятся столько, сколько нужно для достижения целей их обработки. Возможные условия прекращения обработки персональных данных: ликвидация организации, отзыв субъектом персональных данных согласия на обработку персональных данных.
4.4. После истечения срока нормативного хранения документов, которые содержат персональные данные субъектов персональных данных, документы подлежат уничтожению. Для этого Оператор создает экспертную комиссию и проводит экспертизу ценности документов. В ходе проведения экспертизы комиссия отбирает дела с истекшими сроками хранения и по итогам отбора составляет акт о выделении к уничтожению дел, не подлежащих хранению. После чего документы уничтожаются в шредере. Персональные данные в электронном виде стираются с информационных носителей, либо физически уничтожаются сами носители, на которых хранится информация.
5. Передача и распространение персональных данных
5.1. При передаче Оператором персональных данных, субъект персональных данных должен дать на это согласие в письменной или электронной форме. Если субъект оформил согласие на передачу персональных данных в электронной форме, то он подписывает согласие электронной подписью.
5.2. Оператор вправе передать информацию, которая относится к персональным данным, без согласия субъекта персональных данных, если такие сведения нужно передать по запросу государственных органов, в порядке, установленном законодательством.
5.3. Оператор не вправе распространять персональные данные третьим лицам без согласия субъекта персональных данных на передачу таких данных.
5.4. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
5.5. В случае если из предоставленного субъектом персональных данных согласия на распространение персональных данных не следует, что он согласился с распространением персональных данных, такие персональные данные обрабатываются Оператором без права распространения.
5.6. В случае если из предоставленного субъектом персональных данных согласия на передачу персональных данных не следует, что он не установил запреты и условия на обработку персональных данных или не указал категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, Оператор обрабатывает такие персональные данные без возможности передачи (распространения, предоставления, доступа) неограниченному кругу лиц.
5.7. Согласие на распространение персональных данных может быть предоставлено Оператору:
- непосредственно;
- с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.
5.8. В согласии на распространение персональных данных субъект персональных данных вправе установить запреты на передачу этих персональных данных Оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки этих персональных данных неограниченным кругом лиц. Отказ Оператора в установлении субъектом персональных данных запретов и условий не допускается.
5.9. Оператор обязан в срок не позднее трех рабочих дней с момента получения согласия субъекта персональных данных на распространение персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных субъекта для распространения.
5.10. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по его требованию. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта, а также перечень персональных данных, обработка которых подлежит прекращению.
5.11. Действие согласия субъекта персональных данных на распространение персональных данных прекращается с момента поступления Оператору требования, указанного в пункте 5.10 настоящего Положения.
5.12. Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений Федерального закона от 27.07.2006 № 152-ФЗ или обратиться с таким требованием в суд. Оператор или третье лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования или в срок, указанный во вступившем в законную силу решении суда. Если такой срок в решении суда не указан, то Оператор или третье лицо обязаны прекратить передачу персональных данных в течение трех рабочих дней с момента вступления решения суда в законную силу.
6. Гарантии конфиденциальности персональных данных
6.1. Информация, относящаяся к персональным данным субъекта персональных данных, является служебной тайной и охраняется законом.
6.2. Субъект персональных данных вправе требовать полную информацию о своих персональных данных, об их обработке, использовании и хранении.
6.3. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством.