Забронировать
8 (800) 707‑41‑05
Забронировать
8 (800) 707‑41‑05

Защита персональных данных

  • Главная
    • /
  • Защита персональных данных

1. Введение

Настоящая Политика в отношении обработки персональных данных в АО «Ульяновсккурорт» (далее Политика) разработана в соответствии с требованиями нормативно-правовых актов Российской Федерации, регулирующих отношения, связанные с обработкой персональных данных (далее ПДн). Политика определяет принципы сбора, обработки, хранения, передачи и защиты ПДн физических лиц (далее субъекты ПДн), реализуемые в АО «Ульяновсккурорт».

Действие настоящей Политики распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению, извлечению, использованию, передаче (распространению, предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению ПДн, осуществляемых как с использованием средств автоматизации, так и без использования таких средств.

В дополнение к настоящей Политике разработаны другие внутренние нормативные документы, регламентирующие отдельные процессы управления ПДн.

2.  Нормативная документация 

При определении комплексной системы управления ПДн использовались положения и требования следующих нормативно-правовых документов:

  • Федеральный закон Российской Федерации от 27 июля 2006 г. №152-ФЗ «О персональных данных»;
  • Федеральный закон Российской Федерации от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Трудовой кодекс Российской Федерации;
  • Постановление Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • Постановление Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

3. Цели, основания и порядок обработки персональных данных

Цели сбора персональных данных

Обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.

Целями обработки ПДн работников в АО «Ульяновсккурорт» являются:

  • обеспечение соблюдения требований законодательства Российской Федерации;
  • оформление и регулирование трудовых отношений;
  • отражение информации в кадровых документах;
  • начисление заработной платы;
  • исчисление и уплата налоговых платежей, предусмотренных законодательством Российской Федерации;
  • представление законодательно установленной отчетности в отношении физических лиц в ИФНС и внебюджетные фонды;
  • подача сведений в банк для оформления банковской карты и последующего перечисления на нее заработной платы;
  • предоставление налоговых вычетов;
  • обеспечение безопасных условий труда;

Целью обработки ПДг клиентов и контрагентов Оператора в АО «Ульяновсккурорт» является оказание услуг АО «Ульяновсккурорт»

Правовые основания обработки персональных данных

Оператор осуществляет обработку ПДн в соответствии и во исполнение следующих правовых актов:

  • Конституция Российской Федерации;
  • ст.ст. 85-90 Трудового кодекса Российской Федерации (Федерального закона от 30.12.2001г. №197-ФЗ);
  • Федеральный закон от 02.05.2006 №59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;
  • Устав АО «Ульяновсккурорт»;
  • договоры, заключенные между Оператором и работниками (регулирующие трудовые отношения);
  • договоры, заключенные между Оператором и клиентами или контрагентами Оператора (регулирующие услуги, предоставляемые Оператором);
  • согласия на обработку персональных данных.

Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.

Оператор осуществляет обработку ПДн следующих категорий субъектов ПДн:

  • работники Оператора, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников: фамилия, имя, отчество; место и дата рождения; регистрация по месту жительства; адрес проживания (фактический); телефонный номер (домашний, рабочий, мобильный), адрес электронной почты; паспортные данные (серия, номер паспорта, кем и когда выдан); сведения о денежных начислениях и удержаниях; сведения о предоставленных законом льготах; сведения о свидетельстве ПФР; номер счета; ИНН; страховое свидетельство;  сведения о воинском учете; семейное положение; социальное положение; имущественное положение; образование, профессия, доходы; реквизиты лицевых счетов Сотрудников,;
  • клиенты и контрагенты Оператора (физические лица): фамилия, имя, отчество; место и дата рождения; регистрация по месту жительства; адрес проживания (фактический); телефонный номер (домашний, рабочий, мобильный), адрес электронной почты; паспортные данные (серия, номер паспорта, кем и когда выдан); перечень услуг, предоставляемых Оператором, но не содержащий ПДн, относящихся к специальным категориям ПДн ;
  • представители/работники клиентов и контрагентов Оператора (юридических лиц): фамилия, имя, отчество; телефонный номер (домашний, рабочий, мобильный), адрес электронной почты.

Порядок и условия обработки персональных данных

Обработка ПДн в АО «Ульяновсккурорт» осуществляется только с согласия субъекта ПДн в случае, если получение такого согласия необходимо в соответствии с требованиями Федерального закона №152-ФЗ от 27 июля 2006 года «О персональных данных» и иных нормативных актов РФ, регулирующих порядок обработки и обеспечения информационной безопасности ПДн. Данное согласие дается на обработку ПДн не дольше, чем этого требуют цели их обработки.

Обработка ПДн осуществляется путем: сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, удаления, уничтожения персональных данных.

Оператор по возможности получает все обрабатываемые им ПДн непосредственно у субъектов ПДн. В случаях, когда получение ПДн непосредственно у субъектов ПДн невозможно, Оператор предпринимает предусмотренные действующим законодательством меры по соблюдению прав субъектов ПДн при получении их ПДн от третьих лиц.

В случаях, когда действующим законодательством требуется получение согласия субъекта ПДн на обработку его ПДн, Оператор обрабатывает его ПДн только при наличии такого согласия и с соблюдением ограничений на объем, сроки и способы обработки ПДн, предусмотренных таким согласием.

Оператор не получает и не обрабатывает ПДн субъекта ПДн о его политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях или его профсоюзной деятельности.

Оператор предоставляет своим работникам доступ к минимальному объему ПДн, необходимому им для выполнения своих служебных обязанностей.

Обработка ПДн осуществляется Оператором только в целях, заявленных при их сборе (получении). В частности:

  • обработка ПДн работников осуществляется в целях исполнения возложенных на Оператора действующим законодательством и трудовым договором обязанностей работодателя;
  • обработка ПДн по договорам страхования осуществляется в рамках законодательства для составления соглашения между страхователем и страховщиком, в соответствии с условиями которого страховщик обязуется компенсировать ущерб в той или иной форме либо выплатить страхователю или выгодоприобретателю определенную денежную сумму при наступлении предусмотренного договором страхового случая. Страхователь по договору страхования обязуется выплатить страховщику страховую премию, выполнять ряд других обязанностей и соблюдать предусмотренные соглашением ограничения.

При определении объема и содержания, обрабатываемых ПДн, Оператор руководствуется Конституцией Российской Федерации, Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и иными федеральными законами в области защиты ПДн, а также принципом соответствия объема и содержания обрабатываемых ПДн заявленным целям их обработки.

При принятии решений, затрагивающих интересы субъекта ПДн, Оператор не имеет права основываться на результатах исключительно автоматизированной обработки его ПДн, кроме случаев, наличия согласия в письменной форме субъекта ПДн на принятие таких решений и случаев, предусмотренных федеральными законами.

Работники Оператора допускаются к обработке ПДн только после ознакомления с требованиями действующего законодательства и внутренних нормативных и распорядительных документов Оператора, регулирующих обработку и защиту ПДн, и подписания обязательства о неразглашении конфиденциальной информации.

Оператор передает находящиеся в его распоряжении ПДн третьим лицам в следующих случаях:

  • при наличии письменного согласия субъекта ПДн на передачу его ПДн третьему лицу, включающего наименование или фамилию, имя, отчество и адрес третьего лица, цели, сроки и способы обработки третьим лицом ПДн.
  • в случае если передача ПДн третьему лицу необходима для выполнения обязательств Оператора перед субъектом ПДн.
  • в случае если обязанность по передаче ПДн третьему лицу возложена на Оператора действующим законодательством.

Смешанная обработка ПДн осуществляется на бумажных носителях и с использованием ПЭВМ с передачей полученной информации по внутренней сети Оператора и с передачей информации по защищенным каналам связи и в зашифрованном виде во исполнение законодательства Российской Федерации.

В иных случаях необходимых для осуществления деятельности Оператора передача ПДн третьим лицам осуществляется с согласия субъектов ПДн, в котором указано конкретное наименование и нахождение третьих лиц, цели осуществляемой передачи, условия передачи (наличие договора поручения).

Оператор вправе передавать ПДн органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

Защита ПДн субъекта ПДн от неправомерного их использования или утраты обеспечивается Оператором за счет его средств в порядке, установленном федеральными законами Российской Федерации в области защиты ПДн.

Оператор принимает необходимые организационные, а также технические меры для защиты ПДн от несанкционированного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также от иных неправомерных действий.

Оператор привлекает к дисциплинарной ответственности работников, виновных в нарушении норм, регулирующих получение, обработку, хранение и защиту ПДн субъекта ПДн.

Оператор исключает доступ к ПДн субъектов ПДн своих работников, не включенных в Перечень лиц, допущенных к обработке ПДн.

Копировать и делать выписки ПДн субъектов ПДн сотрудникам Оператора разрешается исключительно в служебных целях с письменного разрешения руководителя.

Сохранение и защита ПДн субъектов ПДн осуществляются Оператором в соответствии с требованиями действующего законодательства независимо от наличия соответствующих требований со стороны субъектов ПДн.

Оператор осуществляет учет всех хранимых им ПДн, независимо от формы их представления.

ПДн на бумажных носителях хранятся Оператором в специально оборудованных шкафах и сейфах, которые запираются на ключ.

В процессе хранения ПДн субъектов ПДн Оператор осуществляет контроль за достоверностью и полнотой ПДн, их регулярное обновление и внесение по мере необходимости соответствующих изменений.

При осуществлении хранения ПДн Оператор использует базы данных, находящиеся на территории Российской Федерации.

АО «Ульяновсккурорт» своевременно вносит изменения в обрабатываемые ПДн с целью обеспечения их точности, достоверности и актуальности, в том числе по отношению к целям обработки ПДн. Изменения в ПДн вносятся уполномоченными работниками АО «Ульяновсккурорт» только на основании предоставленных надлежащим образом оформленных документов. АО «Ульяновсккурорт» не несет никакой ответственности за убытки, возникшие в результате предоставления субъектами ПДн неполных или недостоверных ПДн.

Отзыв согласия на обработку ПДн может быть осуществлен субъектом ПДн либо его законным представителем только путем подачи письменного заявления в АО «Ульяновсккурорт».

Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

В случае подтверждения факта неточности ПДн или неправомерности их обработки, ПДн подлежат их актуализации, а их обработка прекращается.

  • Уничтожение ПДн производится Оператором в случаях и в порядке, предусмотренных действующими законами и принятыми в соответствии с ними нормативными правовыми актами.
  • При уничтожении ПДн как на бумажных, так и на электронных носителях Оператор обеспечивает невозможность их последующего восстановления.

ПДн подлежат уничтожению при достижении целей их обработки и в случае отзыва субъектом ПДн согласия на их обработку, если: иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн; иное не предусмотрено иным соглашением между оператором и субъектом ПДн. Оператор не вправе осуществлять обработку без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ или иными федеральными законами.

Оператор обязан сообщить субъекту ПДн информацию об осуществляемой им обработке ПДн по запросу. Регламент реагирования на запросы представлен в Приложении 1.

4.  Основные принципы политики

Общие сведения

Настоящая Политика разработана в соответствии с требованиями нормативно-правовых актов Российской Федерации, регулирующих отношения, связанные с обработкой ПДн.

Политика определяет принципы обработки и защиты ПДн субъектов ПДн, в целях осуществления деятельности АО «Ульяновсккурорт», а также принципы реализации политики по отношению к ответственным лицам за организацию ПДн, к уполномоченным лицам по обработке ПДн.

Настоящая Политика утверждена АО «Ульяновсккурорт» для опубликования (размещения в сети Интернет) на официальном сайте компании АО «Ульяновсккурорт» ulkurort.ru.

Действие настоящей Политики распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению, извлечению, использованию, передаче (распространению, предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению ПДн, осуществляемых как с использованием средств автоматизации, так и без использования таких средств.

В рамках реализации настоящей Политики Оператором разработаны другие внутренние нормативные документы, регламентирующие отдельные процессы обработки и защиты ПДн.

Принципы обработки ПДн

Оператор осуществляет обработку ПДн субъектов ПДн, руководствуясь следующими принципами:

  • обработка ПДн осуществляется исключительно на законных основаниях;
  • обработка ПДн осуществляется исключительно для достижения конкретных, заранее определенных и законных целей; обработка ПДн, не оправданная достижением таких целей, не осуществляется;
  • ПДн, цели обработки которых не совместимы, не объединяются;
  • содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки, обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки;
  • при обработке ПДн обеспечивается их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям их обработки;
  • хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн.

Принципы защиты ПДн

В целях обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами Оператор:

  • определяет угрозы безопасности ПДн при их обработке в информационных системах ПДн;
  • применяет организационные и технические меры по обеспечению безопасности ПДн при их обработке в информационных системах ПДн, необходимые для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн;
  • применяет прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации;
  • оценивает эффективность принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационной системы ПДн;
  • ведет учет машинных носителей ПДн: использование мобильных носителей (флеш-накопителей, оптических дисков) запрещено, накопители на жестких магнитных дисках подлежат учёту совместно с ЭВМ, в которые они встроены;
  • производит обнаружение фактов несанкционированного доступа к ПДн и принимает соответствующие меры;
  • обеспечивает возможность восстановления ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • устанавливает правила доступа к ПДн, обрабатываемым в информационной системе ПДн, а также обеспечивает регистрацию и учет всех действий, совершаемых с ПДн в информационной системе ПДн;
  • осуществляет контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности информационных систем ПДн.
  • не раскрывает третьим лицам и не распространяет ПДн без согласия субъекта ПДн, если иное не предусмотрено Федеральным законом.
  • назначает ответственного за организацию обработки ПДн из числа своих сотрудников;
  • осуществляет внутренний контроль и (или) внешний аудит соответствия обработки ПДн требованиям Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», принятых в соответствии с ним нормативных правовых актов, внутренних нормативных и распорядительных документов Оператора, регулирующих обработку ПДн.

Принципы реализации политики по отношению к субъектам ПДн

Оператор руководствуется следующими принципами:

  • пропагандирует безопасную обработку ПДн, способствует повышению уровня доверия между Оператором и субъектами ПДн;
  • утверждает настоящую Политику, а также внутренние нормативные и распорядительные документы по вопросам обработки ПДн, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
  • принимает необходимые меры  (либо обеспечивает их принятие) по удалению или уточнению неполных или неточных ПДн;
  • проводит оценку вреда, который может быть причинен субъектам ПДн в случае нарушения Оператором требований законодательства в области ПДн, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения своих обязанностей, предусмотренных законодательством в области ПДн;
  • публикует настоящую Политику на официальном сайте Оператора, обеспечивая беспрепятственный доступ к ней неограниченного круга лиц.

Принципы реализации политики по отношению к уполномоченным, отвечающим за обработку ПДн

При реализации Политики по отношению к ответственным сотрудникам Оператор руководствуется следующими принципами:

  • обеспечивает предоставление необходимых ресурсов для успешной реализации мер по безопасной обработке;
  • ознакомляет своих работников, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации в области ПДн, в том числе с требованиями к защите ПДн, внутренними нормативными и распорядительными документами Оператора, регулирующими обработку ПДн.

5.   Права и обязанности оператора

Права Оператора

Оператор ПДн вправе:

  • отстаивать свои интересы в суде;
  • предоставлять ПДн субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
  • отказывать в предоставлении ПДн в случаях предусмотренных законодательством;
  • использовать ПДн субъекта без его согласия, в случаях предусмотренных законодательством.

Обязанности Оператора

Оператор обязан:

  • обеспечивать безопасность обработки ПДн, принимать необходимые организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также от иных неправомерных действий.
  • до начала обработки ПДн уведомить уполномоченный орган по защите прав субъектов ПДн о своем намерении осуществлять обработку ПДн.
  • при получении ПДн (в том числе от третьих лиц) оператор ПДн до начала обработки обязан получить у субъекта этих ПДн письменное разрешение на их обработку (за исключением случаев, если ПДн были предоставлены оператору на основании федерального закона или если они являются общедоступными).
  • предоставить субъекту ПДн по требованию все имеющиеся сведения о нем, целях и условиях обработки, способах защиты его ПДн.
  • уничтожить или блокировать соответствующие ПДн, внести в них необходимые изменения по предоставлении субъектом ПДн или его законным представителем сведений, подтверждающих, что ПДн, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
  • предоставить доказательство получения согласия субъекта ПДн на обработку его ПДн, а в случае обработки общедоступных ПДн доказать, что обрабатываемые ПДн являются общедоступными.
  • сообщать в уполномоченный орган по защите прав субъектов ПДн по его запросу информацию, необходимую для осуществления деятельности указанного органа.

6.   Права субъекта ПДн

Субъект ПДн вправе требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:

  • подтверждение факта обработки ПДн Оператором;
  • правовые основания и цели обработки ПДн;
  • цели и применяемые Оператором способы обработки ПДн;
  • сроки обработки ПДн, в том числе сроки их хранения;

Субъект ПДн имеет право требовать исключить или исправить неверные или неполные ПДн, а также данные, обрабатываемые с нарушением требований Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

Субъект ПДн имеет право на обжалование в судебном порядке любых неправомерных действий или бездействии АО «Ульяновсккурорт» при обработке и защите его ПДн.

7.  Ответственность

Лица, виновные в нарушении требований федеральных законов РФ, несут предусмотренную законодательством РФ ответственность.

Моральный вред, причиненный субъекту ПДн вследствие нарушения его прав, нарушения правил обработки ПДн, установленных федеральными законами, а также нарушения требований к защите ПДн подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом ПДн убытков.

 

Приложение 1

Регламент реагирования на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным

Введение

Настоящий Регламент разработан на основании и во исполнение Федерального закона РФ «О персональных данных» от 27.07.2006 г. № 152-ФЗ, Федерального закона РФ «О порядке рассмотрения обращений граждан РФ» от 02.05.2006 г. № 59-ФЗ. 

Целью настоящего Регламента является:

  • обеспечение прав субъектов ПДн на доступ к их ПДн, обрабатываемым АО «Ульяновсккурорт»;
  • обеспечение прав уполномоченного органа по защите прав субъектов ПДн на получение информации, необходимой ему для реализации полномочий по защите прав субъектов ПДн;
  • упорядочение действий сотрудников АО «Ульяновсккурорт» при обращении либо при получении запроса субъекта ПДн или его законного представителя, а также уполномоченного органа по защите прав субъектов ПДн.

Настоящий Регламент распространяется на должностных лиц и специалистов АО «Ульяновсккурорт», которые в рамках исполнения своих должностных обязанностей осуществляют прием и регистрацию обращений (запросов) субъектов ПДн, а также уполномоченного органа по защите прав субъектов ПДн, ведут личный прием граждан, осуществляют рассмотрение обращений (запросов), подготовку и направление ответов на них.

Настоящий Регламент подлежит применению исключительно в случаях обращений либо при получении запросов субъектов ПДн или их законных представителей, а также уполномоченного органа по защите прав субъектов персональных данных в рамках Федерального закона РФ «О персональных данных» от 27.07.2006 г. № 152-ФЗ.

Общие положения

В соответствии со ст. 14 Федерального закона РФ «О персональных данных» от 27.07.2006 г. № 152-ФЗ субъект ПДн имеет право:

  • на получение сведений об АО «Ульяновсккурорт», как операторе ПДн, в т.ч. о месте его нахождения;
  • на получение сведений о наличии у АО «Ульяновсккурорт», как у оператора ПДн, относящихся к соответствующему субъекту ПДн;
  • на ознакомление с такими ПДн;
  • требовать уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
  • на получение при обращении или при получении запроса информации, касающейся обработки его ПДн, в том числе содержащей:
  • подтверждение факта обработки ПДн АО «Ульяновсккурорт», а также цель такой обработки;
  • способы обработки ПДн, применяемые АО «Ульяновсккурорт»;
  • сведения о лицах, которые имеют доступ к ПДн или которым может быть предоставлен такой доступ;
  • перечень обрабатываемых ПДн и источник их получения;
  • сроки обработки ПДн, в том числе сроки их хранения;
  • сведения о том, какие юридические последствия для субъекта ПДн может повлечь за собой обработка его ПДн.

В соответствии со ст. 9 Федерального закона РФ «О персональных данных» от 27.07.2006 г. № 152-ФЗ субъект ПДн имеет право отозвать свое согласие на обработку ПДн.

В соответствии со ст.ст. 14, 20, 21 Федерального закона РФ «О персональных данных» от 27.07.2006 г. № 152-ФЗ АО «Ульяновсккурорт», как оператор ПДн, в случае поступления соответствующего запроса от субъекта ПД обязан:

  • Предоставить субъекту ПДн в доступной форме сведения о наличии его ПДн (при этом указанные сведения не должны содержать ПДн, относящиеся к другим субъектам ПДн).
  • Сообщить субъекту ПДн информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн, и другие сведения, право на получение которых субъектом ПДн предусмотрено ст. 14 Федерального закона РФ «О персональных данных» от 27.07.2006 г. № 152-ФЗ.
  • Предоставить возможность ознакомления с ПДн без взимания платы за это.
  • Внести в ПДн необходимые изменения, уничтожить или блокировать соответствующие ПДн по предоставлении субъектом ПДн сведений, подтверждающих, что ПДн, которые относятся к соответствующему субъекту и обработку которых осуществляет АО «Ульяновсккурорт», являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
  • Прекратить обработку ПДн и уничтожить их в случае отзыва субъектом ПДн согласия на обработку своих ПДн.
  • О внесенных изменениях и предпринятых мерах уведомить субъекта ПДн и третьих лиц, которым ПДн этого субъекта были переданы.
  • Уведомить субъекта ПДн об уничтожении ПДн.

В соответствии с п. 3 ч. 5 ст. 14 Федерального закона РФ «О персональных данных» от 27.07.2006 г. № 152-ФЗ право субъекта ПДн на доступ к своим ПДн ограничивается в случае, если предоставление ПДн нарушает конституционные права и свободы других лиц.

В целях реагирования на соответствующие запросы в сроки, предусмотренные федеральными законами, в АО «Ульяновсккурорт» используется автоматизированный механизм поиска и представления информации, необходимой для подготовки ответов субъектам ПДн и уполномоченному по защите прав субъектов ПДн органу. При этом запросы пользователей информационной системы ПДн на получение ПДн, а также факты предоставления ПДн по этим запросам регистрируются в журнале обращений. Содержание журнала обращений периодически проверяется соответствующими должностными лицами (работниками) АО «Ульяновсккурорт».

Действия при обращении субъекта ПДн

Для целей обеспечения исполнения АО «Ульяновсккурорт» своих обязанностей при обращении субъекта ПДн в АО «Ульяновсккурорт» разработан регламент по рассмотрению обращений граждан.  

В соответствии с Федеральным законом РФ «О порядке рассмотрения обращений граждан РФ» от 02.05.2006 г. № 59-ФЗ при личном приеме гражданин предъявляет документ, удостоверяющий его личность.

В случае, если при личном приеме от имени субъекта ПДн действует его законный представитель, должностное лицо АО «Ульяновсккурорт» обязано удостовериться в наличии у такого лица законных полномочий.

Содержание устного обращения заносится в журнал регистрации обращений граждан. Ответ на обращение с согласия гражданина может быть дан устно в ходе личного приема, а также гражданину предоставляется возможность ознакомления с его ПДн, о чем делается запись в карточке личного приема гражданина. При отсутствии возможности ознакомления субъекта с его ПДн немедленно при его личном обращении, такая возможность должна быть предоставлена субъекту ПДн в течение десяти рабочих дней с даты обращения.

В том случае, когда при личном приеме гражданин изъявил желание получить ответ в письменной форме, должностное лицо, ведущее прием, предлагает гражданину оформить письменный запрос и сообщает ему о сроках, в течение которых АО «Ульяновсккурорт» обязано дать ответ на такой запрос в соответствии с федеральным законом.

При наличии к тому волеизъявления гражданина, письменный запрос может быть оформлен непосредственно в ходе личного приема путем заполнения соответствующей Формы (см. Приложение к Положению об обработке персональных данных).

Если при обращении субъекта ПДн будет установлено, что предоставление ПДн нарушает конституционные права и свободы других лиц, должностное лицо, осуществляющее личный прием гражданина, сообщает ему об отказе в предоставлении информации о ПДн либо таких ПДн, о чем делается запись в карточке личного приема гражданина. Также в срок, не превышающий семи рабочих дней со дня обращения, АО «Ульяновсккурорт» обязано направить в адрес субъекта ПДн мотивированный ответ в письменной форме, содержащий ссылку на положение  п. 3 ч. 5 ст. 14 Федерального закона РФ «О персональных данных» от 27.07.2006 г. № 152-ФЗ.

Действия при получении запроса субъекта ПДн.

В соответствии с ч. 3 ст. 14 Федерального закона РФ «О персональных данных» от 27.07.2006 г. № 152-ФЗ запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта ПДн или его законного представителя. Также запрос может быть направлен в электронной форме с использованием электронной цифровой подписи в соответствии с законодательством РФ.

Прием и регистрация запросов субъектов ПДн, а также регистрация ответов, направляемых субъектам ПДн, ведется в АО «Ульяновсккурорт»  отдельно от приема и регистрации иной входящей и исходящей корреспонденции, в т.ч. запросов и требований органов, уполномоченных на осуществление государственного контроля (надзора) и муниципального контроля, и ответов на них.

В целях регистрации запросов субъектов ПДн и ответов на такие запросы в АО «Ульяновсккурорт» осуществляется ведение журнала регистрации запросов субъектов ПДн.

При получении запроса (обращения) физического лица специалист АО «Ульяновсккурорт», ответственный за прием и регистрацию входящей корреспонденции в АО «Ульяновсккурорт», непосредственно в день получения устанавливает:

- адресован ли запрос АО «Ульяновсккурорт» (содержит ли наименование адресата);

- содержит ли фамилию, имя, отчество (последнее при его наличии) гражданина;

- содержит ли почтовый адрес, по которому должны быть направлены ответ;

- имеется ли собственноручная подпись, а если запрос направлен в электронной форме, то имеется ли электронная цифровая подпись.

- отвечает ли такой запрос (обращение) требованиям, установленным ст. 14 Федерального закона РФ «О персональных данных» от 27.07.2006г. № 152-ФЗ, к запросу субъекта ПДн, а именно:

  • содержит ли он номер основного документа, удостоверяющего личность гражданина или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
  • является ли содержанием запроса (обращения) требование о предоставлении гражданину информации или о выполнении АО «Ульяновсккурорт» действий, перечисленных в Регламенте.

В случае, если при приеме запроса (обращения) физического лица будет установлено, что он содержит в себе все достаточные сведения, следует сделать вывод о том, что такой запрос (обращение) является запросом субъекта ПДн. Такой запрос подлежит приему и регистрации в журнале регистрации запросов субъектов ПДн в тот же день.

В случае, если при приеме запроса (обращения) физического лица будет установлено, что он не содержит в себе достаточных сведений, следует сделать вывод о том, что такой запрос (обращение) не является запросом субъекта ПДн. Такой запрос подлежит приему и регистрации в порядке, предусмотренном АО «Ульяновсккурорт»  для приема и регистрации прочей входящей корреспонденции.

Запросы субъектов ПДн, зарегистрированные как запросы субъекта ПДн, в день регистрации подлежат передаче соответствующему должностному лицу АО «Ульяновсккурорт».

Должностные лица АО «Ульяновсккурорт» обязаны рассмотреть запрос субъекта ПДн и подготовить ответ на него в письменной форме в течение десяти рабочих дней с даты получения АО «Ульяновсккурорт» указанного запроса.

В случае, если в запросе субъект ПДн изъявил желание ознакомиться со своими ПДн, возможность такого ознакомления должна быть предоставлена субъекту ПДн в  течение десяти рабочих дней с даты получения АО «Ульяновсккурорт» указанного запроса.

Письменный ответ на запрос субъекта ПДн должен быть направлен в его адрес заказным письмом с уведомлением о вручении в течение десяти рабочих дней с даты получения АО «Ульяновсккурорт» указанного запроса.

Если при рассмотрении запроса субъекта ПДн будет установлено, что предоставление ПДн нарушает конституционные права и свободы других лиц, АО «Ульяновсккурорт» сообщает ему об отказе в предоставлении информации о ПДн либо таких ПДн, о чем в срок, не превышающий семи рабочих дней со дня получения запроса субъекта ПДн в адрес субъекта ПДн направляется мотивированный ответ в письменной форме, содержащий ссылку на положение  п. 3 ч. 5 ст. 14 Федерального закона РФ «О персональных данных» от 27.07.2006 г. № 152-ФЗ.

Для обработки ПДн, содержащихся в обращении в письменной форме субъекта ПДн, дополнительного согласия не требуется.

Действия при получении запроса уполномоченного органа по защите прав субъектов ПДн

Прием и регистрация запросов уполномоченного органа по защите прав субъектов ПДн осуществляется АО «Ульяновсккурорт» в порядке, установленном для приема и регистрации входящей корреспонденции.

При получении запроса уполномоченного органа по защите прав субъектов ПДн специалисты АО «Ульяновсккурорт», ответственные за прием и регистрацию входящей корреспонденции, в тот же день осуществляют регистрацию такого запроса и передают его соответствующему должностному лицу.

АО «Ульяновсккурорт» в лице своих должностных лиц сообщает в уполномоченный орган по защите прав субъектов ПДн по его запросу информацию, необходимую для осуществления деятельности указанного органа, а также направляет требуемые им документы в течение семи рабочих дней с даты получения такого запроса.

В случае выявления уполномоченным органом по защите прав субъектов ПДн фактов недостоверности ПДн или неправомерных действий с ними, уточнение, блокирование или уничтожение таких ПДн осуществляется в порядке и сроки, предусмотренные настоящим Регламентом для соответствующих действий (операций) в отношении ПДн. 

Действия при получении требования субъекта ПДн об уточнении своих ПДн, их блокировании или уничтожении; в случае выявления при обращении или по запросу субъекта ПДн фактов недостоверности ПДн или неправомерных действий с ними; в случае отзыва субъектом ПДн согласия на их обработку.

При получении требований субъектов ПДн об уточнении своих ПДн, их блокировании, уничтожении прием и регистрация таких требований осуществляется в порядке, предусмотренном настоящим Регламентом.

Требования субъектов  ПДн в тот же день передаются должностным лицам АО «Ульяновсккурорт».

Полномочные должностные лица АО «Ульяновсккурорт» вносят в ПДн субъекта необходимые изменения, уничтожают или блокируют соответствующие ПДн по предоставлении субъектом ПДн сведений, подтверждающих, что ПДн, которые относятся к соответствующему субъекту и обработку которых осуществляет АО «Ульяновсккурорт», являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

О внесенных изменениях и предпринятых мерах АО «Ульяновсккурорт» обязано уведомить субъекта ПДн и третьих лиц, которым ПДн этого субъекта были переданы.

В случае если факт недостоверности ПДн или неправомерных действий с ними будет выявлен при обращении или по запросу субъекта ПДн АО «Ульяновсккурорт» обязана осуществить блокирование ПДн, относящихся к соответствующему субъекту ПДн, с момента такого обращения или получения такого запроса на период проверки.

В случае подтверждения факта недостоверности ПДн АО «Ульяновсккурорт» на основании документов, представленных субъектом ПДн, или иных необходимых документов обязана уточнить ПДн и снять их блокирование.

В случае выявления неправомерных действий с ПДн АО «Ульяновсккурорт» в срок, не превышающий трех рабочих дней с даты такого выявления, обязана устранить допущенные нарушения.

В случае невозможности устранения допущенных нарушений АО «Ульяновсккурорт» в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с ПДн, обязано уничтожить ПДн.

Об устранении допущенных нарушений или об уничтожении ПДн АО «Ульяновсккурорт» обязано уведомить субъекта ПДн.

В случае отзыва субъектом ПДн согласия на обработку своих ПДн АО «Ульяновсккурорт» обязано прекратить обработку ПДн и уничтожить их в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между АО «Ульяновсккурорт» и субъектом ПДн. Об уничтожении ПДн АО «Ульяновсккурорт» обязано уведомить субъекта ПДн.

Пройти санаторное лечение просто!




8 (800) 707-41-05
О курорте
Контакты
Акции
Новости
Статьи
Частые вопросы
Санатории
Базы отдыха
Лечение
Досуг