11

1. Общие положения

1.1. Назначение Политики
1.1.1. Настоящая Политика в отношении обработки персональных данных в ООО «АВК» (далее – Политика) разработана в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и иными нормативными правовыми актами Российской Федерации, и является основополагающим внутренним регулятивным документом ООО «АВК» (далее — Общество или Оператор), определяющим ключевые направления его деятельности в области обработки и защиты персональных данных (далее — ПДн).
1.1.2. Оператором, организующим и (или) осуществляющим обработку персональных данных, является ООО «АВК» (115551, Москва, Шипиловский проезд 39к2, пом.77 комн. 1-7, ИНН 7724726449).
1.1.3. Политика вступает в силу с момента ее утверждения генеральным директором ООО «АВК» (далее – Общество, Оператор).
1.1.4. Политика подлежит пересмотру в ходе периодического анализа со стороны руководства Общества, а также в случаях изменения законодательства Российской Федерации в области персональных данных.
1.1.5. Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, полученных Обществом от работников, соискателей на замещение вакантных должностей, клиентов, контрагентов, пользователей сайта с доменным именем www.sanatory.pro, принадлежащего Обществу, в целях обеспечения реализации требований законодательства Российской Федерации в области обработки персональных данных субъектов персональных данных.

1.2.
Цели Политики
1.2.1. Политика разработана в целях реализации требований законодательства в области обработки и защиты ПДн и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его ПДн в Обществе, в том числе защиты прав на неприкосновенность частной жизни, личной, семейной и врачебной тайн.
1.2.2. Персональные данные субъектов персональных данных обрабатываются с целью выполнения Обществом функций, предусмотренных его учредительными документами, оказания комплекса услуг в рамках уставной деятельности Общества (далее – услуги), осуществления подбора персонала и трудоустройства, а также в и в иных законных целях.
1.3. Основные понятия
1.3.1. Для целей Политики используются следующие понятия: персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
субъект персональных данных – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных;
оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;
трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных;
уровень защищенности персональных данных – комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

1.4. Область действия
1.4.1. Положения Политики распространяются на все отношения, связанные с обработкой персональных данных, осуществляемые Обществом:
• с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным; без использования средств автоматизации.
1.4.2. Политика применяется ко всем субъектам персональных данных, чьи персональные данные обрабатываются Обществом.

2. Понятие и состав персональных данных
2.1. Перечень обрабатываемых и подлежащих защите персональных данных в Обществе формируется в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», иными нормативными актами, а также локальными нормативными актами Общества с учетом целей обработки персональных данных субъектов персональных данных, указанных в разделе 2 настоящей Политики.
2.2. Сведениями, составляющими персональные данные, в Обществе является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2.3. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в Обществе не осуществляется.
2.4. Субъектами персональных данных, обработка которых осуществляется Обществом, являются:
• пользователи сайта www.sanatory.pro ;
• клиенты Общества, имеющие намерение приобрести услуги Общества, путем бронирования услуг;
• клиенты Общества, заключившие с Оператором договор на оказание туристских услуг
• получатели услуг (несовершеннолетнее, недееспособные граждане), законными представителями которых являются субъекты ПДн;
• соискатели на замещение вакантных должностей;
• работники Общества;
• супруги и иные лица, состоявшие в родстве с субъектом ПДн;
• уволенные работники Общества;
• граждане, обратившиеся с заявлениями, запросами, жалобами;
• контрагенты;
• учредители Общества (физ. лица).

2.5. В целях, указанных в разделе 3 настоящей Политики, Оператор осуществляет обработку следующих персональных данных субъектов персональных данных, указанных в п. 2.4. политики:

2.5.1. С целью осуществления туристской деятельности Общества, в том числе бронирования услуг, оказания услуг временного проживания и питания, регистрации по месту пребывания, улучшения качества оказываемых услуг; осуществления связи с субъектами персональных данных для направления уведомлений, информации и запросов, связанных с деятельностью Общества, а также обработки обращений, заявлений, заявок и иных сообщений субъектов персональных данных;
• фамилия, имя, отчество;
• год, месяц, дата и место рождения;
• возраст;
• адрес регистрации по месту жительства;
• сведения о гражданстве;
• реквизиты документа, удостоверяющего личность гражданина;
• копия документа, удостоверяющего личность (в случае необходимости);
• сведения о получателях услуг (несовершеннолетнее, недееспособные граждане), законными представителями которых являются субъекты ПДн;
• реквизиты свидетельства о государственной регистрации актов гражданского состояния (свидетельство о рождении и пр.);
• копия свидетельства о государственной регистрации актов гражданского состояния (в случае необходимости);
• номер телефона, адрес электронной почты или сведения о других способах связи;
• данные о месте работы (при бронировании юридическими лицами для командируемых);
• номер расчетного счета, банковской карты;
• файлы «Cookie» посетителей сайта;
• биометрические ПДн (голос, фото-, видеоизображение, в т.ч. с камер видеонаблюдения);
• иные сведения, которые субъект ПДн пожелал сообщить о себе и которые отвечают цели обработки персональных данных.
— Срок обработки персональных данных ограничивается достижением заявленной цели. В случае утраты необходимости в достижении заявленной цели, персональные подлежат уничтожению. Уничтожение персональных данных осуществляется в установленные законодательством сроки и при поступлении отзыва согласия субъекта, либо при наступлении иных законных оснований.
— Обработка персональных данных осуществляется на бумажных и электронных носителях, автоматизированным и неавтоматизированным способом, с использованием информационных систем и без таковых, и посредством внесения их в электронную базу данных, включения в списки (реестры) и отчетные формы, предусмотренные документами, регламентирующими предоставление отчетных данных (документов).
2.5.2. С целью предоставления субъектам персональных данных доступа к использованию Интернет-сайта Общества и его функционала; бронирования услуг; продвижения услуг на рынке путем осуществления прямых контактов с субъектами персональных данных; обработка входящих запросов субъектов персональных данных с целью оказания санаторно-курортных и иных сопутствующих услуг, относящимся к сфере предпринимательской и уставной деятельности Общества; аналитики действий субъекта на Веб- сайте и функционирования Веб-сайта; информирования об акциях, скидках и специальных предложениях, путем отправки информационных сообщений на указанный при регистрации номер телефона и адрес электронный почты; исполнения договоров оказания услуг, заключенных дистанционным способом на сайте Общества:

• фамилия, имя, отчество;
• номер телефона;
• электронная почта;
• пользовательские данные (сведения о местоположении, тип и версия ОС, тип и версия Браузера, тип устройства и разрешение его экрана; источник, откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес, данные о времени посещения; идентификатор пользователя, хранимый в cookie);
• условия заказа на бронирование услуг Общества в случае его оформления;
• иные данные, которые станут известны в ходе исполнения договоров (в случае заключения договора);
• биометрические ПДн (голос);
• иные сведения, которые субъект ПДн пожелал сообщить о себе и которые отвечают цели обработки персональных данных.

— Срок обработки персональных данных ограничивается достижением заявленной цели. В случае утраты необходимости в достижении заявленной цели, персональные подлежат уничтожению. Уничтожение персональных данных осуществляется в установленные законодательством сроки и при поступлении отзыва согласия субъекта, либо при наступлении иных законных оснований.
— Обработка персональных данных осуществляется на бумажных и электронных носителях, автоматизированным и неавтоматизированным способом, с использованием информационных систем и без таковых, и посредством внесения их в электронную базу данных, включения в списки (реестры) и отчетные формы, предусмотренные документами, регламентирующими предоставление отчетных данных (документов).
2.5.3. С целью исполнения требований законодательства Российской Федерации в области налогового и бухгалтерского учета, в том числе осуществления расчетов с субъектами персональных данных; оформления первичных учетных документов; заключения и исполнения и прекращения гражданско-правовых договоров; проявления должной осмотрительности, в Обществе обрабатываются персональные данные контрагентов и их представителей:
• Фамилия, имя, отчество;
• Наименование организации, ИП;
• Должность;
• Год, месяц, дата и место рождения (для физ. лиц и ИП);
• Адрес регистрации по месту жительства (для физ. лиц и ИП);
• ОГРНИП (для ИП);
• страховой номер индивидуального лицевого счета в Пенсионном фонде России (СНИЛС) (для физ. лиц);
• ИНН (для физ. лиц, ИП);
• Реквизиты документа, удостоверяющего личность (для физ. лиц и ИП);
• Контактные данные (телефон, e-mail);
• Номер расчетного счета, банковской карты;
• Иные сведения, которые субъект ПДн пожелал сообщить о себе и которые отвечают цели обработки персональных данных.

— Обработка персональных данных осуществляется на бумажных и электронных носителях, автоматизированным и неавтоматизированным способом, с использованием информационных систем и без таковых, и посредством внесения их в электронную базу данных, включения в списки (реестры) и отчетные формы, предусмотренные документами, регламентирующими предоставление отчетных данных (документов).
— Срок обработки персональных данных ограничивается достижением заявленной цели и соответствует сроку хранения такого рода документации. В случае утраты необходимости в достижении заявленной цели, персональные подлежат уничтожению. Уничтожение персональных данных осуществляется в установленные законодательством сроки и при поступлении отзыва согласия субъекта, либо при наступлении иных законных оснований.

2.5.4. С целью осуществления подбора персонала, в том числе прохождения отбора на замещение вакантных должностей; ведения кадрового резерва; трудоустройства успешно прошедших отбор на замещение вакантных должностей в Обществе обрабатываются персональные данные претендентов (соискателей) на замещение вакантных должностей:
• Фамилия, имя, отчество;
• Пол;
• Год, месяц, дата и место рождения;
• Возраст;
• Сведения о гражданстве;
• Сведения об образовании;
• Профессия, квалификация, должность;
• Сведения о трудовой деятельности;
• Семейное положение, состав семьи;
• Реквизиты документа, удостоверяющего личность;
• Биометрические данные (голос, фото-, видеоизображение в т.ч. с камер видеонаблюдения);
• Специальные категории ПДн (сведения о состоянии здоровья, сведения об инвалидности);
• Адрес, телефон, электронная почта, иной способ связи;
• Сведения о воинском учете;
• Сведения о наградах, поощрениях, почетных званиях;
• Сведения о социальном положении;
• Страховой номер индивидуального лицевого счета в Пенсионном фонде России (СНИЛС);
• ИНН;
• Иные сведения, которые субъект ПДн пожелал сообщить о себе и которые отвечают цели обработки персональных данных.
— Обработка персональных данных осуществляется на бумажных и электронных носителях, автоматизированным и неавтоматизированным способом, с использованием информационных систем и без таковых, и посредством внесения их в электронную базу данных, включения в списки (реестры) и отчетные формы, предусмотренные документами, регламентирующими предоставление отчетных данных (документов).
— Срок обработки персональных данных ограничивается достижением заявленной цели. Срок хранения персональных данных претендентов, включенных в кадровый резерв, составляет 5 лет (в случае включения в кадровый резерв) с момента принятия соответствующего решения.
— Уничтожение персональных данных осуществляется в установленные законодательством сроки по истечению периода их хранения, при поступлении отзыва согласия субъекта, либо при наступлении иных законных оснований.

2.5.5. С целью обеспечения соблюдения требований законодательства Российской Федерации; оформления и регулирования трудовых отношений; отражения информации в кадровых документах; начисления заработной платы; исчисления и уплаты налоговых платежей, предусмотренных законодательством Российской Федерации; представления законодательно установленной отчетности в отношении физических лиц в ИФНС и внебюджетные фонды; подачи сведений в банк для оформления банковской карты и последующего перечисления на нее заработной платы; предоставления налоговых вычетов; обеспечения безопасных условий труда; проведения комплекса мероприятий, направленных на предупреждение возникновения и распространения заболеваний работников (медицинские осмотры); обеспечения обучения и карьерного роста; ведения архива уволенных работников; осуществления пропускного режима; исполнения требований компетентных органов, предъявляемых к деятельности Оператора (размещение сведений на сайте Оператора www.sanatory.pro, (Ф.И.О., фотография, должность, образование, квалификация, категория, стаж работы и иные сведения в соответствии с требованиями законодательства РФ); иные цели, предусмотренные законодательством РФ:
• фамилия, имя, отчество;
• год, месяц, дата и место рождения;
• возраст;
• пол;
• свидетельство о гражданстве (при необходимости);
• реквизиты документа, удостоверяющего личность;
• копия документа, удостоверяющего личность;
• идентификационный номер налогоплательщика, дата постановки его на учет, реквизиты свидетельства постановки на учет в налоговом органе, а также его копия;
• номер свидетельства обязательного пенсионного страхования, дата регистрации в системе обязательного пенсионного страхования, а также его копия;
• номер полиса обязательного медицинского страхования;
• адрес фактического места проживания и регистрации по месту жительства и (или) по месту пребывания;
• почтовый и электронный адреса;
• номера телефонов;
• специальные категории ПДн (сведения о состоянии здоровья, сведения об инвалидности, судимости);
• сведения об образовании, профессии, специальности и квалификации, категории, реквизиты документов об образовании;
• сведения о семейном положении и составе семьи;
• реквизиты свидетельства о государственной регистрации актов гражданского состояния, а также их копии;
• сведения об имущественном положении, доходах, задолженности (копии и оригиналы);
• сведения о занимаемых ранее должностях и стаже работы, воинской обязанности, воинском учете;
• биометрические данные (голос, фотоизображение, видеоизображение в
т.ч. с камер видеонаблюдения);
• сведения, содержащие в трудовой книжке, трудовом договоре, приложениях к нему;
• сведения, содержащие в карточке Т-2;
• иные сведения, которые субъект ПДн пожелал сообщить о себе и которые отвечают указанным целям.

— Обработка персональных данных осуществляется на бумажных и электронных носителях, автоматизированным и неавтоматизированным способом, с использованием информационных систем и без таковых, и посредством внесения их в электронную базу данных, включения в списки (реестры) и отчетные формы, предусмотренные документами, регламентирующими предоставление отчетных данных (документов).
— Периоды, в течение которых допускается хранить сведения, содержащиеся в документах работников, установлен приказом Росархива № 236 от 20 декабря 2019.
— Срок обработки персональных данных ограничивается достижением заявленной цели. Срок хранения персональных данных уволенных составляет 5 лет с момента увольнения.
— Уничтожение персональных данных осуществляется в установленные законодательством сроки по истечению периода их хранения, при поступлении отзыва согласия субъекта, либо при наступлении иных законных оснований.

2.5.6. С целью обработки персональных данных учредителей Общества (физ. лиц), не являющихся работниками:
• выполнения требований, предусмотренных законодательством, в том числе обязательное раскрытие информации;
• аудит, проверка возможности совершения сделок;
• совершение сделок;
• ведение корпоративной работы;
• внесение изменений в учредительные документы;
• совершение иных юридически значимых действий в отношении Общества (реорганизация, ликвидация, банкротство и пр.).

3. Цели обработки персональных данных.
3.1. Обработка персональных данных осуществляется Обществом в следующих целях:
• реализация услуг Общества;
• бронирование услуг Общества;
• регистрация граждан по месту пребывания;
• исполнение договоров с контрагентами;
• исполнение требований федерального законодательства РФ;
• ведение корпоративной работы;
• рассмотрение претензий, заявлений;
• реализация трудовых взаимоотношений, ведение кадрового учета и отчетности;
• подбор соискателей, ведение кадрового резерва, трудоустройство;
• ведение архива уволенных работников Общества;
• регистрация и обслуживание личного кабинета субъекта персональных данных на сайте;
• обеспечение безопасности клиентов и работников;
• обеспечение сохранности имущества;
• проведение конкурсов, розыгрышей, рекламных акций, проводимых Обществом;
• информирование об услугах и акциях Общества;
• участие в программах лояльности, проводимых Обществом; • иные цели в рамках деятельности Общества.
При обработке персональных данных в Обществе строго соблюдаются следующие принципы, предусмотренные Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»:
• не допускается обработка персональных данных субъектов персональных данных, несовместимая с целями сбора персональных данных;
• не допускается обработка персональных данных субъектов персональных данных, которые не отвечают целям обработки. Содержание и состав обрабатываемых в Обществе персональных данных субъектов персональных данных соответствуют заявленным целям их обработки;
• при обработке персональных данных субъектов персональных данных обеспечивается точность, достаточность, а в необходимых случаях актуальность персональных данных;
• хранение персональных данных субъектов персональных данных осуществляется не дольше, чем этого требуют цели обработки персональных данных, а также федеральные законы и договоры, сторонами которых, выгодоприобретателем или поручителем, по которым является субъект персональных данных;
• обработка персональных данных субъектов персональных данных осуществляется с соблюдением принципов и правил, предусмотренных законодательством Российской Федерации.

4. Правовые основания обработки персональных данных.
4.1. Политика обработки персональных данных Общества определяется в соответствии со следующими нормативными правовыми актами:
• Устав Общества;
• Конституция Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Договоры, заключаемые между Оператором и субъектом персональных данных; • Согласия субъектов персональных данных на обработку персональных данных;
• Договоры с поставщиками товаров и услуг;
• Локальные нормативные акты Общества;
• Постановление Правительства РФ от 11 мая 2023 г. № 736 «Об утверждении правил предоставления медицинскими организациями платных медицинских услуг»;
• Федеральный закон от 21.11.2011г. № 323-ФЗ «Об основах охраны здоровья граждан в РФ»;
• Постановление Правительства РФ от 18.11.2020 № 1853 «Об утверждении Правил предоставления гостиничных услуг в Российской Федерации»;
• Федеральный закон «Об основах туристской деятельности в Российской Федерации» от 24.11.1996 г. № 132-ФЗ;
• Постановлением Правительства РФ от 17 июля 1995 г. № 713 «Об утверждении Правил регистрации и снятия граждан Российской Федерации с регистрационного учета по месту пребывания и по месту жительства в пределах Российской Федерации и перечня лиц, ответственных за прием и передачу в органы регистрационного учета документов для регистрации и снятия с регистрационного учета граждан Российской Федерации по месту пребывания и по месту жительства в пределах Российской Федерации»; • Федеральный закон от 18 июля 2006 года № 109-ФЗ «О миграционном учете иностранных граждан и лиц без гражданства в Российской Федерации»; • Указ Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;
• Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Постановление Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
• Приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
• иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.
4.2. В случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям Общества, обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
4.3. Согласие на обработку персональных данных Клиентов Общества/ посетителей сайта утверждено Обществом (Приложение № 1 к Политике) и опубликовано на сайте www.sanatory.pro
4.4. Обработка персональных данных прекращается при реорганизации или ликвидации Общества.

5. Условия обработки персональных данных.
5.1. Обработка персональных данных в Обществе осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации.
5.2. Общество без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством Российской Федерации.
5.3. Общество вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
5.4. В случае если Общество поручает обработку персональных данных третьему лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Общество. Лицо, осуществляющее обработку персональных данных по поручению Общества, несет ответственность перед Обществом.
5.5. В целях внутреннего информационного обеспечения Общество может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, могут включаться его фамилия, имя, отчество, фотография, место работы, должность, дата рождения, абонентский номер, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.
5.6. Доступ к обрабатываемым в Обществе персональным данным разрешается только уполномоченным работникам Общества.

6. Перечень действий с персональными данными и способы их обработки.
6.1. Общество осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.
6.2. Сбор, запись, систематизация, накопление и уточнение (обновление и изменение) персональных данных субъектов осуществляется путем:
— копирование оригиналов документов;
— внесения сведений в учетные формы (на бумажных и электронных носителях); — формирование персональных данных в ходе кадровой, бухгалтерской работы, при оказании услуг;
— внесение персональных данных в информационные системы Оператора.
6.3. Обработка персональных данных в Обществе осуществляется на бумажных и электронных носителях, автоматизированным и неавтоматизированным способом, с использованием информационных систем и без таковых, а также с использованием телемедицинских технологий, и посредством внесения их в электронную базу данных, включения в списки (реестры) и отчетные формы, предусмотренные документами, регламентирующими предоставление отчетных данных (документов).

7. Меры по обеспечению безопасности персональных данных.
7.1. Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
7.2. Принимаемые Оператором меры основаны на требованиях ст. 18.1, ст. 19 Федерального закона № 152-ФЗ «О персональных данных», а также иных нормативных актов в сфере персональных данных. Такие меры, в том числе, включают следующие:
• назначение ответственного за организацию обработки персональных данных;
• издание внутренних локальных актов Оператора, регламентирующих вопросы обработки и защиты персональных данных;
• ограничение и регламентация состава работников, функциональные обязанности которых требуют доступа к персональным данным;
• ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, локальными актами Оператора в отношении обработки персональных данных, с информацией об ответственности за разглашение персональных данных, нарушение порядка их обработки и иные неправомерные действия в отношении персональных данных, а также обучение указанных работников правилам работы с персональными данными;
• осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федерального закона № 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам Оператора;
• оценка вреда, который может быть причинен субъектам персональных данных;
• учет материальных (бумажных, машинных) носителей персональных данных и обеспечение их сохранности;
• своевременное обнаружение фактов разглашения, утечки, несанкционированного доступа к персональным данным и принятие соответствующих мер, включая восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного
• доступа к ним;
• уведомление уполномоченного органа об разглашении, утечке, несанкционированном доступе к персональным данным субъектов
• персональных данных в установленные законодательством сроки;
• определение угроз безопасности персональных данных субъектов персональных данных при их обработке в информационных системах персональных данных Общества;
• применение организационных и технических мер по обеспечению безопасности персональных данных субъектов персональных данных при их обработке в информационных системах персональных данных Общества, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
• оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных Общества;
• установление правил доступа (в том числе ограничением доступа) к персональным данным субъектов персональных данных, обрабатываемым в информационных системах персональных данных Общества, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных Общества»;
• контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных Общества;  иные необходимые меры безопасности.
7.3. В случае достижения целей обработки персональных данных Общество прекращает ее обработку и уничтожает персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено соглашением между Обществом и субъектом персональных данных.
7.4. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных Общество прекращает их обработку, если иное не предусмотрено соглашением между Обществом и субъектом персональных данных, либо если Общество вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных действующим законодательством, регулирующим процессы обработки персональных данных.
7.5. В случае выявления неправомерной обработки персональных данных Общество предпринимает меры по уничтожению этих персональных данных в срок, не превышающий трех рабочих дней со дня выявления неправомерной обработки.
7.6. В случае если обеспечить правомерность обработки персональных данных невозможно, Общество в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязана уничтожить такие персональные данные или обеспечить их уничтожение. В случае отсутствия возможности уничтожения персональных данных в течение указанного срока, Общество осуществляет их блокирование и обеспечивает уничтожение в срок, не превышающий 6 (шести) месяцев со дня выявления неправомерной обработки, если иной срок не установлен действующим законодательством или иными нормативными правовыми актами, регулирующими процессы обработки персональных данных.
7.7. В случае, обращения субъекта персональных данных с заявлением об уничтожении его персональных данных, Общество обязано прекратить обработку или обеспечить прекращение обработки персональных данных данного субъекта и уничтожить указанные в заявлении персональные данные в срок, не превышающий тридцати дней с момента подачи субъектом персональных данных соответствующего заявления, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Обществом и субъектом персональных данных.
7.8. Персональные данные на бумажных носителях уничтожаются с помощью средств, гарантирующих невозможность восстановления носителя.
7.9. Уничтожение информации с машиночитаемых носителей персональных данных производится способом, исключающим возможность использования и восстановления информации.
7.10. Уничтожение персональных данных производится в соответствии с актуальными внутренними процессами Общества.

8. Права и обязанности Общества и субъектов персональных данных.
8.1. Общество как оператор персональных данных вправе:
 отстаивать свои интересы в суде;
 предоставлять персональные данные субъектов персональных данных третьим лицам, если это предусмотрено законодательством Российской Федерации (налоговые, правоохранительные органы и др.);
 отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством Российской Федерации;
 использовать персональные данные субъектов персональных данных без его согласия в случаях, предусмотренных законодательством Российской Федерации.
• 8.2. Общество, как Оператор персональных данных обязан:
 предоставлять субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
 разъяснить субъекту персональных данных юридические последствия его отказа в предоставлении Обществу его персональных данных при условии, что такое предоставление субъектом персональных данных своих персональных данных Обществу является обязательным в соответствии с федеральным законом;
 в случае получения персональных данных не от субъекта персональных данных, за исключением случаев, предусмотренных частью 4 статьи 18 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», до начала обработки таких персональных данных предоставить субъекту персональных данных следующую информацию:
 наименование либо фамилию, имя, отчество и адрес оператора или его представителя;
 цель обработки персональных данных и ее правовое основание;
 предполагаемые пользователи персональных данных;
 установленные Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» права субъекта персональных данных;
 источник получения персональных данных.
 при сборе персональных данных субъектов персональных данных, в том числе посредством сети Интернет, обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных субъектов персональных данных с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
8.3. Общество предпринимает разумные меры для поддержания точности и актуальности имеющихся персональных данных, а также удаления персональных данных субъектов персональных данных в случаях, если они являются устаревшими, недостоверными или излишними либо если достигнуты цели их обработки.
8.4. Субъект персональных данных имеет право:
• на отзыв согласия на обработку персональных данных;
• требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
• требовать перечень своих персональных данных, обрабатываемых в Обществе, и источник их получения;
• получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
• требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
• обжаловать в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие при обработке его персональных данных;
• на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
8.5. Субъекты персональных данных несут ответственность за предоставление Обществу достоверных сведений, а также за своевременное обновление предоставленных данных в случае каких-либо изменений.

9. Передача и хранение персональных данных. Сроки обработки персональных данных.
9.1. Передача персональных данных третьим лицам возможна только с согласия субъекта и только с целью исполнения Обществом обязательств в рамках существующих договорных отношений, кроме случаев, когда такая обязанность наступает в результате требований действующего законодательства Российской Федерации или при поступлении запроса от уполномоченных государственных органов. В указанном случае Оператор обеспечивает передачу персональных данных в запрошенном объеме.
9.2. Персональные данные субъекта (в том числе результаты исследований) могут быть предоставлены родственникам или членам его семьи с разрешения самого субъекта персональных данных, оформленного в том числе в виде нотариальной доверенности.
9.3. Оператор в ходе своей деятельности поручает обработку персональных данных третьим лицам с согласия субъектов персональных данных, если иное не предусмотрено действующим законодательством Российской Федерации, при обязательном условии соблюдения лицом, осуществляющим обработку персональных данных по поручению Оператора, принципов и правил обработки и обеспечения безопасности персональных данных, установленных законодательством Российской Федерации.
9.4. Оператор не осуществляет трансграничную передачу персональных данных.
9.5. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют соответствующие цели их обработки, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки, или в случае утраты необходимости в достижении этих целей.
9.6. Персональные данные субъектов обрабатывается как на бумажных носителях, так и/или в электронном виде.
9.7. Персональные данные на бумажных носителях хранится в запираемых шкафах или сейфах.
9.8. Персональные данные в электронном виде обрабатывается в компьютерных сетях Общества.
9.9. Сроки обработки персональных данных субъектов персональных данных определяются в соответствии с действующим законодательством Российской Федерации и иными нормативными правовыми актами.

10. Обратная связь.
10.1. В случаях если субъект персональных данных хочет узнать, какими персональными данными о нем располагает Общество, либо дополнить, исправить, обезличить или удалить любые неполные, неточные или устаревшие персональные данные, либо хочет прекращение обработки Общества его персональных данных, либо имеет другие законные требования, он может в установленном порядке и в соответствии с законодательством Российской Федерации реализовать такое право, обратившись в Общество.
10.2. При этом в некоторых случаях (например, если субъект персональных данных хочет удалить свои персональные данные или прекратить их обработку) такое обращение (запрос) также может означать, что Общество больше не сможет предоставлять услуги субъекту персональных данных.
10.3. Для выполнения запросов субъектов персональных данных Общество может потребовать установить личность такого субъекта персональных данных и запросить дополнительную информацию, подтверждающую его участие в отношениях с Обществом, либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом. Кроме того, право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с законодательством Российской Федерации в области персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
10.4. Порядок направления запросов субъектом персональных данных определен требованиями Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных». В частности, в соответствии с указанными требованиями, запрос должен содержать:
• серию, номер документа, удостоверяющего личность субъекта персональных данных (его представителя), сведения о дате выдачи указанного документа и выдавшем его органе;
• сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом;
• подпись субъекта персональных данных (его представителя).
В случае направления запроса представителем субъекта персональных данных, запрос должен содержать документ (копию документа), подтверждающий полномочия данного представителя.
Запрос субъектом персональных данных может быть направлен в электронном виде. Такие запросы должны быть подписаны усиленной квалифицированной электронной подписью субъекта персональных данных.
Контакты ООО «АВК» для направления запросов субъектов персональных данных:
— адрес: 115551, Москва, Шипиловский проезд 39к2 пом. 77
— cайт www.sanatory.pro

11. Заключительные положения.
11.1. Настоящая Политика является внутренним документом Общества и вступает в силу с момента ее утверждения, а также является общедоступной и подлежит размещению (опубликованию) на web-ресурсе Общества с доменным именем: www.sanatory.pro
11.2. Общество имеет право вносить изменения в настоящую Политику. При внесении изменений в титульном листе документа указывается последняя версия настоящей Политики. Изменения, вносимые в настоящую Политику, вступают в силу со дня их утверждения, если иное не установлено самими изменениями.
11.3. Действующая редакция настоящей Политики на бумажном носителе хранится в месте нахождения Общества по адресу: 115551, Шипиловский проезд 39к2 пом.77
11.4. Общество своим внутренним приказом назначает ответственное лицо за организацию обработки и обеспечения безопасности персональных данных.
11.5. Доступ к персональным данным предоставляется только тем работникам Общества, которым он необходим для исполнения своих непосредственных должностных обязанностей.
11.6. Работник Общества допускается к обработке персональных данных только после ознакомления с действующими нормативными правовыми актами, регламентирующими обработку персональных данных, локальными нормативными актами Общества, регламентирующими обработку персональных данных, и после подписания обязательства о неразглашении информации, содержащей персональные данные.
11.7. Работники Общества, виновные в нарушении нормативных правовых актов и локальных нормативных актов Общества, регулирующих процессы обработки и защиты персональных данных, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной, уголовной ответственности в порядке, установленном действующим законодательством Российской Федерации.
11.8. Уполномоченным органом по защите прав субъектов персональных данных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
11.9. Во всем, что не предусмотрено настоящей Политикой, стороны руководствуются положениями законодательства РФ.