ПОЛИТИКА ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

УТВЕРЖДАЮ

Генеральный директор ООО «КАРАТ-КЛИНИК»

___________/Кореневич К.С./

Дата последней редакции: «01» сентября 2025 г.

ПОЛИТИКА 

ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В ООО «КАРАТ-КЛИНИК»

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1.      Настоящая Политика в отношении обработки персональных данных (далее – Политика) составлена в соответствии с Федеральным законом от 27.07.2006 г. №152-ФЗ «О персональных данных» и является основополагающим внутренним регулятивным документом медицинской организации ООО «КАРАТ-КЛИНИК» (далее – Оператор или Организация), определяющим ключевые направления его деятельности в области обработки и защиты персональных данных (далее – ПДн), оператором которых является Организация.

1.2.      Политика разработана в целях реализации требований законодательства в области обработки и защиты ПДн и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его ПДн в Организации, в том числе защиты прав на неприкосновенность частной жизни, личной, семейной и врачебной тайн.

1.3.      Положения Политики распространяются на отношения по обработке и защите ПДн, полученных Организацией как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите ПДн, полученных до ее утверждения.

1.4.      Обработка ПДн в Организации осуществляется в связи с выполнением Организацией функций, предусмотренных ее учредительными документами, и определяется следующими законодательными актами и нормативно-методическими документами:

-        Конституция Российской Федерации;

-        Гражданский Кодекс Российской Федерации;

-        Трудовой Кодекс Российской Федерации;

-        Федеральный закон от 27.07.2006 г. №152-ФЗ «О персональных данных»;

-        Федеральный закон от 27.07.2006 г. №149-ФЗ «Об информации, информационных технологиях и защите информации»;

-        Указы Президента Российской Федерации от 06.03.1997 г. №188 и от 23.09.2005 г. №1111 «Об утверждении Перечня сведений конфиденциального характера»;

-        Федеральный закон от 29.07.2004 г. №98-ФЗ «О коммерческой тайне»;

-        Постановления Правительства Российской Федерации от 17.11.2007 г. №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;

-        Постановления Правительства Российской Федерации от 15.09.2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

-        Постановления Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»: Методическими рекомендациями по обеспечению, с помощью криптографических средств, безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (ФСБ России. 21.02.2008 г.);

-        Постановление Государственного комитета Российской Федерации по статистике от 05.01.2004 г. №1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты»;

-        Федеральный закон от 15.12.2001 г. №167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;

-        Федеральный закон от 06.12.2011 г. №402-ФЗ «О бухгалтерском учете»;

-        Федеральный закон от 21.11.2011 г. №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;

-        Закон Российской Федерации от 07.02.1992 г. №2300-1 «О защите прав потребителей»;

-        Постановление Правительства Российской Федерации от 11.05.2023 г. №736 «Об утверждении Правил предоставления медицинскими организациями платных медицинских услуг»;

-        Приказ Минздрава России от 14.09.2020 г. №972н «Об утверждении Порядка выдачи медицинскими организациями справок и медицинских заключений»;

-        Приказ Минздрава России от 07.09.2020 г. №947н «Об утверждении Порядка организации системы документооборота в сфере охраны здоровья в части ведения медицинской документации в форме электронных документов»;

-        Письмо Минздрава России от 07.12.2015 г. №13-2/1538 «О сроках хранения медицинской документации»;

-        Федеральный закон от 22.10.2004 г. №125-ФЗ «Об архивном деле в Российской Федерации»;

-        иные законодательные акты и нормативно-методические документы.

1.5.      Организация имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.

1.6.      Действующая редакция Политики хранится в месте нахождения Организации по адресу: 141421, Московская обл., г. Химки, мкр. Сходня, ул. Микояна, д. 18, этаж/пом. 1/I-IV., электронная версия Политики – на сайте Организации по адресу: https://karat-klinic.ru/.

2. ТЕРМИНЫ И ПРИНЯТЫЕ СОКРАЩЕНИЯ

– Персональные данные (ПДн) – любая информация, прямо или косвенно относящаяся к определенному или определяемому на основании такой информации физическому лицу;

– Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

– Оператор – юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных субъектов ПДн, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

– Субъект персональных данных (субъект ПДн) – физическое лицо (работник, пациент или его законный представитель), которое может быть однозначно идентифицировано по персональным данным;

– Документы (носители), содержащие персональные данные – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель, содержащая персональных данные субъекта ПДн;

– Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных);

– Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц (передача персональных данных);

– Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта ПДн или других лиц либо иным образом затрагивающих права и свободы субъекта ПДн или других лиц;

– Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

– Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

– Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта ПДн или наличия иного законного основания;

– Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа, в том числе с использованием штатных средств, предоставляемых информационными системами персональных данных;

– Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта ПДн или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;

– Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту ПДн;

– Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

– Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

– Работник – лицо, состоящее с Организацией в трудовых отношениях на основании заключенного трудового договора;

– Пациент – физическое лицо, которому оказывается медицинская помощь или которое обратилось за оказанием медицинской помощи независимо от наличия у него заболевания и от его состояния;

– Законный представитель субъекта ПДн – это родитель, опекун, попечитель и иные лица, полномочия которых установлены действующим федеральным законодательством;

– Врачебная тайна – соблюдение конфиденциальности информации о факте обращения за медицинской помощью, состоянии здоровья пациента, диагнозе его заболевания и иных сведений, полученных при его обследовании и лечении.

3. ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Основной задачей обеспечения безопасности ПДн при их обработке в Организации является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения ПДн, разрушения (уничтожения) или искажения их в процессе обработки.

3.2. Для обеспечения безопасности ПДн Организация руководствуется следующими принципами:

– законность: защита ПДн основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты ПДн;

– системность: обработка ПДн в Организации осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности ПДн;

– комплексность: защита ПДн строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах Организации и других имеющихся в Организации систем и средств защиты;

– непрерывность: защита ПДн обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки ПДн, в том числе при проведении ремонтных и регламентных работ;

– своевременность: меры, обеспечивающие надлежащий уровень безопасности ПДн, принимаются до начала их обработки;

– преемственность и непрерывность совершенствования: модернизация и наращивание мер и средств защиты ПДн осуществляется на основании результатов анализа практики обработки ПДн в Организации с учетом выявления новых способов и средств реализации угроз безопасности ПДн;

– персональная ответственность: ответственность за обеспечение безопасности ПДн возлагается на работников в пределах их обязанностей, связанных с обработкой и защитой ПДн;

– минимизация прав доступа: доступ к ПДн предоставляется уполномоченным работникам и только в объеме, необходимом для выполнения их должностных обязанностей;

– гибкость: обеспечение выполнения функций защиты ПДн при изменении характеристик функционирования информационных систем персональных данных Организации, а также объема и состава обрабатываемых ПДн;

– специализация и профессионализм: реализация мер по обеспечению безопасности ПДн осуществляются работниками, имеющими необходимые для этого квалификацию и опыт;

– эффективность процедур отбора кадров: кадровая политика Организации предусматривает тщательный подбор персонала и мотивацию работников, позволяющую исключить или минимизировать возможность нарушения ими безопасности ПДн;

– наблюдаемость и прозрачность: меры по обеспечению безопасности ПДн должны быть спланированы так, чтобы результаты их применения были явно наблюдаемы (прозрачны) и могли быть оценены лицами, осуществляющими контроль;

– непрерывность контроля и оценки: устанавливаются процедуры постоянного контроля использования систем обработки и защиты ПДн, а результаты контроля регулярно анализируются.

4. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Получение ПДн

4.1.1.   Все ПДн следует получать от самого субъекта ПДн или его законного представителя. Если ПДн субъекта ПДн можно получить только у третьей стороны, то субъект ПДн должен быть уведомлен об этом или от него должно быть получено письменное согласие.

4.1.2.   Оператор должен сообщить субъекту ПДн о целях обработки персональных данных, составе персональных данных, подлежащих обработке, действиях (операциях), совершаемых с персональными данными, предполагаемых источниках и способах получения персональных данных, сроке, в течение которого действует согласие, и порядке его отзыва, а также о последствиях отказа субъекта ПДн дать письменное согласие на их получение.

4.1.3. Оператор не имеет права получать и обрабатывать персональные субъекта ПДн о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации Оператор вправе получать и обрабатывать данные о частной жизни субъекта ПДн только с его письменного согласия.

4.1.4. Оператор не имеет права получать и обрабатывать персональные данные субъекта ПДн о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.

4.1.5. Запрещается требовать от лица, поступающего на работу (или прием), документы помимо предусмотренных Трудовым кодексом Российской Федерации, указами Президента Российской Федерации, постановлениями Правительства Российской Федерации и иными нормативно-правовыми актами Российской Федерации.

4.1.6. Сбор и обработка персональных данных осуществляется исключительно с письменного согласия субъекта ПДн. Персональные данные субъекта ПДн относятся к конфиденциальной информации.

Форма Согласия субъекта ПДн на обработку персональных данных должна включать в себя:

– фамилию, имя, отчество субъекта ПДн, должность (применимо для работника), дату рождения, адрес проживания, номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;

– наименование и адрес Оператора, получающего согласие субъекта ПДн;

– перечень персональных данных, на обработку которых дается согласие субъекта ПДн;

– цели обработки персональных данных;

– перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Оператором способов обработки персональных данных;

– срок, в течение которого действует согласие, а также порядок его отзыва.

4.1.7.   Документы, содержащие ПДн, создаются путем:

а) копирования оригиналов документов (паспорт, СНИЛС и т. д.);

б) внесения сведений в учетные формы, распорядительные документы и т.п.;

в) получения оригиналов необходимых документов (трудовая книжка и т.п.).

Порядок доступа субъекта ПДн к его ПДн, обрабатываемым Организацией, определяется в соответствии с законодательством и определяется внутренними регулятивными документами Организации.

4.2.      Обработка ПДн

4.2.1.   Обработка персональных данных возможна только с согласия субъекта ПДн либо без его согласия в следующих случаях:

– в случаях, когда обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации функций, полномочий и обязанностей;

– обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;

– в случаях, когда обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласие субъекта ПДн невозможно;

– в случаях, когда осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе (далее – персональные данные, сделанные общедоступными субъектом ПДн);

– обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных.

Доступ работников к обрабатываемым ПДн осуществляется в соответствии с их должностными обязанностями и требованиями внутренних регулятивных документов Организации.

Допущенные к обработке ПДн работники под роспись знакомятся с документами Организации, устанавливающими порядок обработки ПДн, включая документы, устанавливающие права и обязанности конкретных работников.

Организацией производится устранение выявленных нарушений законодательства об обработке и защите ПДн.

4.2.2.   Цели обработки ПДн:

4.2.2.1. Работников:

– Осуществление трудовых отношений, включая оформление приема, перевода и увольнения работников, расчет заработной платы, начисление и уплату налогов и страховых взносов, ведение кадрового учета, формирование и хранение кадровой документации, охрана труда и здоровья работника, обеспечение сохранности имущества, ведение воинского учета, в соответствии с требованиями законодательства Российской Федерации о труде, налогового законодательства Российской Федерации об обязательном социальном страховании и обязательном пенсионном страховании, законодательства Российской Федерации о бухгалтерском учете, а также законодательства Российской Федерации о военном учете;

– Обеспечение организации оказания медицинской помощи населению и исполнение обязательств по предоставлению медицинских услуг (диагностика, профилактика и лечение) в соответствии с Федеральным законом от 21.11.2011 г. №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», Правилами предоставления медицинскими организациями платных медицинских услуг, утвержденными постановлением Правительства Российской Федерации от 11.05.2023 г. №736 «Об утверждении Правил предоставления медицинскими организациями платных медицинских услуг», включая ведение медицинской документации, учет указанных услуг, контроль качества медицинских услуг, контроль соблюдения должностных обязанностей, оценку профессиональной деятельности; осуществлять передачу данных в ЕГИЗС, утвержденную постановлением Правительства Российской Федерации от 09.02.2022 г. №140 «О единой государственной информационной системе в сфере здравоохранения»; обеспечивать прохождение медицинских смотров согласно Приказу Минздрава России от 28.01.2021 г. №29н «Об утверждении Порядка проведения обязательных предварительных и периодических медицинских осмотров работников, предусмотренных частью четвертой статьи 213 Трудового кодекса Российской Федерации, перечня медицинских противопоказаний к осуществлению работ с вредными и (или) опасными производственными факторами, а также работам, при выполнении которых проводятся обязательные предварительные и периодические медицинские осмотры»;

– Осуществление коммерческой деятельности в соответствии с Уставом Организации, включая предоставление стоматологических услуг, расчет стоимости услуг, учет оказанных услуг, взаимодействие с контрагентами и поставщиками, размещение фотографий на сайте организации.

4.2.2.2. Пациентов:

– Обеспечение организации оказания медицинской помощи населению и исполнение обязательств по предоставлению медицинских услуг (диагностика, профилактика и лечение) в соответствии с Федеральным законом от 21.11.2011 г. №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», Правилами предоставления медицинскими организациями платных медицинских услуг, утвержденными постановлением Правительства Российской Федерации от 11.05.2023 г. №736 «Об утверждении Правил предоставления медицинскими организациями платных медицинских услуг» и иными нормативно-правовыми актами, предусмотренными законодательством Российской Федерации, включая идентификацию пациентов и их законных представителей для организации работы с пациентами (запись на прием, информирование о результатах лечения, учет обращений и жалоб), заключение и исполнение договора оказания стоматологических услуг между Оператором и выгодоприобретателем (пациентом или его представителем), осуществление диагностики, профилактики и лечения, ведение медицинской документации и контроль качества медицинских услуг, оформление подтверждающих документов об оплате для получения налогового вычета.

4.2.3.   Категории субъектов ПДн

В Организации обрабатываются ПДн следующих субъектов:

– физические лица, обратившиеся в Организацию за медицинской помощью;

– физические лица, состоящие с Организацией в трудовых отношениях;

– физические лица, являющие близкими родственниками работников;

– физические лица, уволившиеся из Организации;

– физические лица, являющиеся кандидатами на работу;

– физические лица, состоящие с Организацией в гражданско-правовых отношениях.

4.2.4.   ПДн, обрабатываемые Организацией:

– данные, полученные при оказании медицинской помощи;

– данные, полученные при осуществлении трудовых отношений;

– данные, полученные для осуществления отбора кандидатов на работу в Организацию;

– данные, полученные при осуществлении гражданско-правовых отношений.

4.2.5.   Обработка персональных данных ведется:

– с использованием средств автоматизации;

– без использования средств автоматизации.

4.2.6. При обработке ПДн Оператор будет осуществлять следующие действия: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.

4.2.7. Оператор прекращает обработку персональных данных субъекта ПДн в следующих случаях:

– выявлен факт их неправомерной обработки. Срок прекращения обработки – в течение трех рабочих дней с даты выявления;

– достигнута цель их обработки;

– истек срок действия или отозвано согласие субъекта ПДн на обработку указанных данных, когда по Закону о персональных данных обработка этих данных допускается только с согласия.

При достижении целей обработки персональных данных, а также в случае отзыва субъектом ПДн согласия на их обработку Оператор прекращает обработку этих данных, если:

– иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн;

– Оператор не вправе осуществлять обработку без согласия субъекта ПДн на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;

– иное не предусмотрено другим соглашением между Оператором и субъектом ПДн.

4.2.8. При обращении субъекта ПДн к Оператору с требованием о прекращении обработки персональных данных в срок, не превышающий десять рабочих дней с даты получения Оператором соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных Законом о персональных данных. Указанный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить субъекту ПДн мотивированное уведомление с указанием причин продления срока.

4.2.9. В Организации не производится обработка ПДн, несовместимая с целями их сбора. Если иное не предусмотрено федеральным законом, по окончании обработки ПДн в Организации, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, обрабатывавшиеся Организацией ПДн уничтожатся или обезличиваются.

4.2.10. При обработке ПДн обеспечиваются их точность, достаточность, а при необходимости – и актуальность по отношению к целям обработки. Организация принимает необходимые меры по удалению или уточнению неполных или неточных ПДн.

4.3.      Хранение ПДн

4.3.1.   Полученные Организацией ПДн субъектов проходят дальнейшую обработку и передаются на хранение как на бумажных носителях, так и в электронном виде.

4.3.2.   ПДн, зафиксированные на бумажных носителях, хранятся в закрытых помещениях в закрывающихся на ключ шкафах или сейфах с ограниченным правом доступа.

4.3.3.   ПДн субъектов, обрабатываемые с использованием средств автоматизации для различных целей, хранятся в разных папках (вкладках).

4.3.4.   Не допускается хранение и размещение документов, содержащих ПДн, в открытых электронных каталогах (файлообменниках) в Информационной системе персональных данных (ИСПД).

4.3.5.   Хранение ПДн в форме, позволяющей определить субъекта ПДн, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.

Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.

4.3.6. Конкретные обязанности по ведению, заполнению и хранению документов, содержащих персональные данные субъектов ПДн возлагается на уполномоченных работников Организации и закрепляются в должностных инструкциях.

4.3.7. Хранение документов, содержащих персональные данные субъектов ПДн, осуществляется в течение установленных действующими нормативно-правовыми актами сроков хранения данных документов.

Сроки хранения сведений, документов и баз данных, содержащих персональные данные субъектов ПДн, указаны в следующих нормативно-правовых актах Российской Федерации:

– Письмо Минздрава России от 07.12.2015 г. №13-2/1538 «О сроках хранения медицинской

документации»;

– Федеральный закон от 22.10.2004 г. №125-ФЗ «Об архивном деле в Российской Федерации»;

– Приказ Минздрава России от 07.09.2020 г. №947н «Об утверждении Порядка организации системы документооборота в сфере охраны здоровья в части ведения медицинской документации в форме электронных документов»;

– иные нормативно-правовые акты Российской Федерации.

По истечении установленных сроков хранения документы подлежат уничтожению в порядке, предусмотренном приказом генерального директора Организации.

4.4.      Уничтожение ПДн

4.4.1.   Уничтожение документов (носителей), содержащих ПДн, производится путем сожжения, дробления (измельчения), превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.

4.4.2.   ПДн на электронных носителях уничтожаются путем стирания или форматирования носителя.

4.4.3.   Уничтожение производится комиссией. Факт уничтожения ПДн подтверждается документально актом об уничтожении носителей, подписанным членами комиссии.

4.5.      Передача ПДн

4.5.1.   Организация передает ПДн третьим лицам в следующих случаях:

– субъект ПДн выразил свое согласие на такие действия;

– передача предусмотрена Федеральным законом от 27.07.2006 г. №152-ФЗ «О персональных данных» и иными нормативно-правовыми актами Российской Федерации.

4.5.2.   Перечень третьих лиц, которым передаются ПДн:

– Налоговые органы Российской Федерации (на законных основаниях);

– Пенсионный фонд Российской Федерации для учета (на законных основаниях);

– Фонд социального страхования (на законных основаниях);

– Страховые медицинские организации по обязательному и добровольному медицинскому страхованию (на законных основаниях);

– Военные комиссариаты Российской Федерации (на законных основаниях);

– Банки для начисления заработной платы (на основании договора);

– Судебные и правоохранительные органы в случаях, установленных законодательством;

– Юридические лица и индивидуальные предприниматели, находящиеся с Организацией в гражданско-правовых отношениях, для осуществления деятельности которых необходимо предоставить ПДн (с согласия субъекта ПДн);

– Единая государственная информационная система здравоохранения (на законных основаниях);

– иные лица, передача персональных данных которым необходима для осуществления и выполнения возложенных законодательством Российской Федерации функций, полномочий и обязанностей.

4.5.3. Передача ПДн третьим лицам осуществляется Оператором только с письменного согласия субъекта ПДн, с подтверждающей визой генерального директора ООО «КАРАТ-КЛИНИК», за исключением случаев, если:

– передача необходима для защиты жизни и здоровья субъекта ПДн, либо других лиц и получение его согласия невозможно;

– в целях обследования и лечения субъекта ПДн (пациента), не способного из-за своего состояния выразить свою волю;

– в случаях, предусмотренных ст. 13 Федерального закона от 21.11.2011 г. №323-ФЗ «Об основах охраны здоровья граждан», в том числе по запросу органов дознания, следствия, прокуратуры и суда в связи с проведением расследования или судебным разбирательством, в соответствии с Законом об оперативно-розыскной деятельности;

– при наличии оснований, позволяющих полагать, что права и интересы субъекта ПДн могут быть нарушены противоправными действиями других лиц;

– в иных случаях, прямо предусмотренных Законом о персональных данных.

Лица, которым в установленном Федеральным законом от 27.07.2006 г. №152-ФЗ «О персональных данных» порядке переданы сведения, составляющие ПДн субъекта, несут дисциплинарную, административную или уголовную ответственность за разглашение в соответствии с законодательством Российской Федерации.

Передача ПДн субъекта третьим лицам осуществляется на основании запроса третьего лица с разрешающей визой генерального директора ООО «КАРАТ-КЛИНИК» при условии соблюдения требований, предусмотренных п 4.5. настоящей Политики.

В случае если лицо, обратившееся с запросом, не уполномочено Федеральным законодательством на получение ПДн субъекта, либо отсутствует письменное согласие субъекта па передачу его ПДп, Оператор обязан отказать в предоставлении персональных данных. В данном случае лицу, обратившемуся с запросом, выдается мотивированный отказ в предоставлении персональных данных в письменной форме, копия отказа хранится у Оператора.

5. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.

Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.

Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

– обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

– соблюдение конфиденциальности информации ограниченного доступа;

– реализацию права на доступ к информации.

Организация при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

К таким мерам, в соответствии со ст. ст. 18.1, 19 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных», в частности, относятся:

5.1.1.   Назначение лица, ответственного за обработку ПДн, которое осуществляет организацию обработки ПДн, обучение и инструктаж, внутренний контроль за соблюдением его работниками Организации требований к защите ПДн.

Ответственный за обработку и защиту персональных данных субъектов ПДн в Организации:

– генеральный директор Организации.

Защита персональных данных субъектов ПДн в Организации также возлагается на:

– генерального директора Организации;

– заместителя генерального директора;

– администратора;

– врачей и средний медицинский персонал.

5.1.2.   Определение актуальных угроз безопасности ПДн при их обработке Организацией, а также оценка вреда, который может быть причинен субъектам ПДн в случае нарушения Закона, соотношение указанного вреда и принимаемых Организацией мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом.

5.1.3.   Установление правил доступа к ПДн, обрабатываемым в ИСПД, а также обеспечения регистрации и учета всех действий, совершаемых с ПДн в ИСПД.

5.1.4.   Ограничение прав доступа работников к ИСПД: установление индивидуальных паролей доступа работников в информационную систему в соответствии с их обязанностями. Перечень сотрудников Организации, обладающих правом доступа в ИСПД, определяется и утверждается в установленном порядке приказом генерального директора Организации.

5.1.5.   Учет машинных носителей ПДн и обеспечение их сохранности.

5.1.6.   Регулярное обновление операционной системы персональных компьютеров (далее – ПК). На ПК установлено сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами, а также брандмауэр.

5.1.7. Ограничение прав доступа работников к бумажным носителям информации: помещения, в которых хранятся персональные данные субъектов ПДн, должны быть запираемыми на ключ или оборудованными специальными сейфами или металлическими шкафами с установленной охранно-пожарной сигнализацией. Перечень сотрудников Организации, имеющих доступ к помещениям, в которых хранятся персональные данные субъектов ПДн, определяется и утверждается в установленном порядке приказом генерального директора Организации

Бумажные носители информации могут выдаваться на рабочие места, только работникам Организации, допущенным приказом генерального директора Организации к работе с персональными данными субъектов ПДн.

5.1.8.   Соблюдение условий, обеспечивающих сохранность ПДн и исключающих несанкционированный к ним доступ, оценка эффективности принимаемых и реализованных мер по обеспечению безопасности ПДн.

5.1.9.   Обнаружение фактов несанкционированного доступа к ПДн и принятие мер, восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

5.1.10. Осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27.07.2006 г. №152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми и локальными актами.

5.3. Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и т.д.

5.4. Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности Организации: посетители, работники других организационных структур. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения источников информации о состоянии здоровья субъектов ПДн.

5.5. Для защиты персональных данных субъектов ПДн необходимо соблюдать ряд мер:

– порядок приема, учета и контроля деятельности посетителей;

– технические средства охраны;

– порядок охраны территории, зданий, помещений;

– требования к защите информации при опросе и сборе анамнеза.

5.6. Для обеспечения безопасности персональных данных субъектов ПДн при неавтоматизированной обработке предпринимаются следующие меры:

5.6.1. Все действия по обработке персональных данных субъектов ПДн осуществляются только сотрудниками Оператора, допущенными приказом генерального директора Организации к работе с персональными данными субъектов ПДн, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции.

5.6.2. Обработка персональных данных осуществляется с соблюдением порядка, предусмотренного Постановлением Правительства от 15.09.2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

5.7. Для обеспечения безопасности персональных данных субъектов ПДн при автоматизированной обработке предпринимаются следующие меры:

5.7.1. Персональные компьютеры (ПК), с которых осуществляется доступ к персональным данным, защищены паролями доступа. Пароли устанавливаются и сообщаются индивидуально сотруднику Организации, допущенному к работе с персональными данными и осуществляющему обработку персональных данных субъектов ПДн на данном ПК.

5.7.2. Обработка персональных данных осуществляется с соблюдением порядка, предусмотренного Постановлением Правительства от 01.11.2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

5.8. Хранение персональных данных субъектов ПДн осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

5.9. Защита персональных данных субъектов ПДн от неправомерного их использования или утраты должна быть обеспечена Оператором за счет своих средств в порядке, установленном федеральным законом.

6. ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА ПДн И ОПЕРАТОРА

6.1. Субъект ПДн имеет право:

– на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

1.      подтверждение факта обработки персональных данных Оператором;

2.      правовые основания и цели обработки персональных данных;

3.      цели и применяемые Оператором способы обработки персональных данных;

4.      наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;

5.      обрабатываемые персональные данные, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6.      сроки обработки персональных данных, в том числе сроки их хранения;

7.      порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом от «27» июля 2006 г. № 152-ФЗ «О персональных данных»;

8.      информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9.      наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;

10. иные сведения, предусмотренные настоящим Законом или другими федеральными законами.

– на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке;

– на обжалование действии или бездействия Оператора в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке;

– для реализации своих прав и законных интересов субъекты ПДн имеют право обратиться к Оператору либо направить запрос лично или с помощью представителя. Запрос должен содержать сведения, указанные в ч. 3 ст. 14 Федерального закона от «27» июля 2006 г. № 152-ФЗ «О персональных данных»;

– субъект ПДн может требовать известить всех лиц, которым ранее были сообщены его неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.

6.2. Субъект ПДн вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

6.3. Субъект ПДн имеет право на отзыв данного им согласия на обработку ПДн. В случае отзыва субъектом ПДн согласия на обработку персональных данных, а также, направления обращения с требованием о прекращении обработки персональных данных, Оператор вправе продолжить обработку персональных данных без согласия субъекта ПДн при наличии оснований, указанных в Законе о персональных данных.

6.4. Субъект ПДн обязан:

– передавать лицу обрабатывающему ПДн комплекс достоверных, документированных персональных данных, информацию о состоянии здоровья;

– своевременно сообщать лицу, использующему ПДн субъекта об их изменениях.

6.5. Обязанности Оператора:

– организовывать обработку персональных данных в порядке, установленном действующим законодательством Российской Федерации;

– при сборе ПДн предоставить информацию субъекту ПДн об обработке его ПДн;

– в случаях, если ПДн были получены не от субъекта ПДн, уведомить субъекта;

– при отказе в предоставлении ПДн субъекту разъясняются последствия такого отказа;

– опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн;

– принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;

– давать ответы на запросы и обращения субъектов ПДн, их представителей и уполномоченного органа по защите прав субъектов ПДн;

– защищать ПДн субъектов ПДн за счет собственных средств в порядке, установленном Трудовым Кодексом Российской Федерации, Федеральным законом от «27» июля 2006 г. № 152-ФЗ «О персональных данных» и иными федеральными законами;

– разрешать доступ к ПДп субъектов ПДн только допущенным лицам, которые имеют право получать только те данные, которые необходимы для выполнения их функций;

– получать все ПДн субъектов у них самих. Если данные субъекта ПДн возможно получить только у третьей стороны, Оператор заранее уведомляет об этом субъекта ПДн и получает его письменное согласие;

– прекратить передачу (распространение, предоставление, доступ) персональных данных, прекратить обработку и уничтожить персональные данные в порядке и случаях, предусмотренных Законом о персональных данных;

– не сообщать третьей стороне ПДн субъекта ПДн без его письменного согласия, кроме случаев, когда это необходимо для предупреждения угрозы жизни и здоровью субъекта ПДн, а также в других случаях, предусмотренных Трудовым Кодексом Российской Федерации, Законом о персональных данных или иными федеральными законами;

– не сообщать ПДн субъекта в коммерческих целях без его письменного согласия.

6.6. Оператор обрабатывает ПДн субъектов с их согласия. Субъект ПДн принимает решение о предоставлении его персональных данных и даёт согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПДн даётся в письменной форме и должно быть конкретным, информированным и сознательным, оно хранится вместе с его медицинской документацией.

6.7. Оператор обрабатывает ПДн субъектов ПДн в течение сроков действия заключенных с ними договоров. Оператор может обрабатывать ПДн субъектов после окончания сроков действия заключенных с ними договоров в течение срока, установленного ч. 1 ст. 29 Федерального закона от 06.12.2011 г. №402-ФЗ «О бухгалтерском учете» и иными нормативными правовыми актами.

7. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ, УНИЧТОЖЕНИЕ ПДн, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ ПДн

7.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Федерального закона от «27» июля 2006 г. № 152-ФЗ «О персональных данных», предоставляются Оператором субъекту ПДн или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта ПДн или его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору следует направить субъекту ПДн мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.

В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам ПДн, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

Запрос должен содержать:

– номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;

– сведения, подтверждающие участие субъекта ПДн в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;

– подпись субъекта ПДн или его представителя.

Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

Оператор предоставляет сведения, указанные в ч. 7 ст. 14 Федерального закона от «27» июля 2006 г. № 152-ФЗ «О персональных данных», субъекту ПДн или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

Если в обращении (запросе) субъекта ПДн не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

Право субъекта ПДн на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Федерального закона от «27» июля 2006 г. № 152-ФЗ «О персональных данных», в том числе если доступ субъекта ПДн к его персональным данным нарушает права и законные интересы третьих лиц.

7.2. В случае выявления неточных персональных данных при обращении субъекта ПДн или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту ПДн, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта ПДн или третьих лиц.

В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом ПДн или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

7.3. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта ПДн или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту ПДн, с момента такого обращения или получения запроса.

7.4. При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов ПДн, Оператор:

– в течение 24 часов – уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов ПДн, предполагаемом вреде, нанесенном правам субъектов ПДн, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;

– в течение 72 часов – уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).

7.5. Порядок уничтожения персональных данных Оператором.

7.5.1. Условия и сроки уничтожения персональных данных Оператором:

– достижение цели обработки персональных данных либо утрата необходимости достигать эту цель – в течение тридцати рабочих дней;

– достижение максимальных сроков хранения документов, содержащих персональные данные – в течение тридцати рабочих дней;

– предоставление субъектом ПДн (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки – в течение семи рабочих дней;

– отзыв субъектом ПДн согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется – в течение тридцати рабочих дней.

7.5.2. При достижении цели обработки персональных данных, а также в случае отзыва субъектом ПДн согласия на их обработку персональные данные подлежат уничтожению, если:

– иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн;

– Оператор не вправе осуществлять обработку без согласия субъекта ПДн на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;

– иное не предусмотрено другим соглашением между Оператором и субъектом ПДн.

7.5.3. Уничтожение персональных данных осуществляет комиссия, созданная приказом генерального директора ООО «КАРАТ-КЛИНИК».

Приложение 1

к Политике в области обработки и защиты персональных данных

ООО «КАРАТ-КЛИНИК»

Перечень персональных данных, обрабатываемых в ООО «КАРАТ-КЛИНИК»

(далее – Оператор)

1. Состав обрабатываемых Оператором персональных данных лиц, обратившихся за оказанием медицинских услуг (далее – пациентов или их законных представителей):

-        Фамилия, имя, отчество;

-        Пол;

-        Дата рождения;

-        Адрес места жительства;

-        Телефон;

-        Адрес электронной почты;

-        Данные паспорта (или иного документа, удостоверяющего личность);

-        Индивидуальный номер налогоплательщика (ИНН);

-        Статус законного представителя (при необходимости);

-        Фамилия, имя, отчество законного представителя (при необходимости);

-        Данные паспорта (или иного документа, удостоверяющего личность) законного представителя (при необходимости);

-        Индивидуальный номер налогоплательщика (ИНН) законного представителя (при необходимости);

-        Сведения о состоянии здоровья, заболеваниях, случаях обращения за медицинской помощью;

-        Сведения о диагностических мероприятиях, назначенном и проведённом лечении, случаях обращения за медицинской помощью в медико-профилактических целях, в целях установления медицинского диагноза и оказания медицинских услуг, данных рекомендациях.

2. Персональные данные пациентов содержатся в следующих документах:

-        Медицинская документация: медицинская карта, информированное добровольное согласие, план лечения, протоколы заседания врачебной комиссии (при необходимости);

-        Договор на оказание платных медицинских услуг;

-        Справка об оплате медицинских услуг для предоставления в налоговый орган (при необходимости).

3. Состав обрабатываемых Оператором персональных данных лиц, состоящих в трудовых отношениях с Оператором (далее – работники) или лиц, являющихся соискателями должностей у Оператора:

-        Фамилия, имя, отчество;

-        Дата рождения;

-        Место рождения;

-        Пол;

-        ИНН;

-        СНИЛС;

-        Гражданство;

-        Адрес регистрации;

-        Адрес фактического проживания;

-        Паспортные данные (серия и номер, кем и когда выдан, код подразделения);

-        Водительское удостоверение (серия и номер, категория ТС, дата выдачи);

-        Сведения об образовании (тип образования, наименование образовательной организации, данные документа, подтверждающего образование: серия и номер, дата выдачи, квалификация, специальность/направление подготовки);

-        Сведения о повышении квалификации/профессиональной переподготовке (наименование образовательной организации, данные документа, подтверждающего повышение квалификации/прохождение профессиональной переподготовки: серия и номер, дата выдачи, образовательная программа/направление подготовки, количество часов);

-        Сертификат специалиста (наименование образовательной организации, данные документа, подтверждающего прохождение аккредитации: серия и номер, дата выдачи, специальность/направление подготовки, срок действия);

-        Сведения о трудовом стаже (данные трудовой книжки: место работы, должность, период работы, причины увольнения);

-        Номер телефона;

-        Адрес электронной почты;

-        Сведения о семейном положении и составе семьи (степень родства, фамилия, имя, отчество, год рождения; свидетельство о заключении брака, свидетельство о рождении детей);

-        Сведения о воинском учете (категория запаса, воинское звание, состав (профиль), номер ВУС, категория годности к военной службе, наименование военного комиссариата по месту воинского учета, информация о воинском учете, данные документа воинского учета: наименование, серия и номер документа, кем и когда выдан), сведения о приеме и увольнении (переводе): дата и номер приказа, наименование должности, на которую принят (переведен) или с которой уволен, военный комиссариат в который направлены сведения, дата и исходящий номер сведений гражданина; информация о снятии с воинского учета);

-        Сведения о работе (информация о приеме на работу, кадровых передвижениях, увольнении; данные трудового договора (№ трудового договора, дата и место заключения, подразделение, должность, вид занятости, система и форма оплаты, место работы, срок действия договора, наличие испытательного срока, условия оплаты, права и обязанности работника, режим труда и отдыха, социальное страхование, гарантии и компенсации, условия прекращения договора, № и дата дополнительного соглашения к трудовому договору));

-        Информация об отпусках;

-        Информация о командировках;

-        Данные больничных листов;

-        Банковские реквизиты лицевого счета;

-        Заключения о прохождении предварительных (при поступлении на работу) и периодических медицинских осмотров;

-        Личная медицинская книжка;

-        Фотографии.

2. Персональные данные работников содержатся в следующих документах (копиях указанных документов):

-        Паспорт (или иной документ, удостоверяющий личность);

-        Страховой номер индивидуального лицевого счета (СНИЛС);

-        Свидетельство о постановке на учет в налоговый орган и присвоении ИНН;

-        Трудовая книжка;

-        Документы воинского учета;

-        Документы об образовании, о квалификации или наличии специальных знаний, специальной подготовки;

-        Медицинское заключение о состоянии здоровья/медицинская книжка/медицинская справка о прохождении медицинских осмотров;

-        Иные документы, содержащие персональные данные, необходимые для работы в Организации (учетные формы, распорядительные документы и т.п.).