1. Назначение документа
1.1. Политика Общество с ограниченной ответственностью «МедМаркет» (далее также — «Общество») в области обработки и защиты персональных данных (далее – «Политика») разработана в соответствии с требованиями Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее - «Федеральный закон»), Конституции и международных договоров Российской Федерации, а также иных федеральных законов и нормативных актов Российской Федерации в области персональных данных (далее также – «ПДн»).
1.2. Настоящая Политика определяет основные принципы, цели, способы и условия обработки ПДн, перечни субъектов ПДн, права и обязанности Общества при обработке ПДн, права и обязанности субъектов ПДн, а также реализуемые в Обществе требования и меры к защите ПДн.
2. Термины и определения
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
Защита персональных данных - комплекс мероприятий технического, организационного и организационно-технического характера, направленных на обеспечение безопасности ПДн и защиту сведений, относящихся к определенному или определяемому на основании такой информации субъекту ПДн.
Информационная система персональных данных - (далее - «ИСПДн») информационная система, представляющая собой совокупность ПДн, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществить обработку таких ПДн с использованием средств автоматизации или без использования таких средств.
Конфиденциальность персональных данных - обязательное для выполнения оператором или иным лицом, получившим доступ к персональным данным, требование не раскрывать персональные данные третьим лицам и нераспространять ихбез согласия субъекта ПДн или наличия иного законного основания
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту.
 Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
Оператор - юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные, ПДн - любая информация, относящаяся к прямо или косвенно определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Персональные данные, разрешенные для распространения - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
Распространение персональных данных - действия, направленные на раскрытие ПДн неопределенному кругу лиц.
Предоставление персональных данных - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.
Работник - физическое лицо, состоящее в трудовых отношениях с Обществом.
Субъект персональных данных - физическое лицо, ПДн которого обрабатываются Обществом в соответствии с положениями действующих нормативных правовых актов Российской Федерации и внутренних документов Общества.
Трансграничная передача персональных данных - передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и (или) в результате которых уничтожаются материальных носители ПДн.
3. Общие принципы обработки Персональных данных
Обработка ПДн в Обществе осуществляется с учетом необходимости обеспечения защиты прав и свобод Работников Общества и других субъектов ПДн, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов: 3.1. Обработка ПДн осуществляется в Обществе на законной и справедливой основе;
3.2. Обработке подлежат только ПДн, которые отвечают целям их обработки;
.3. Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;
3.4. Содержание и объем обрабатываемых ПДн соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых ПДн по отношению к заявленным целям их обработки;
3.5. Не допускается обработка ПДн, не совместимая с целями сбора ПДн;
3.6. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
3.7. При обработке ПДн обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Общество принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных ПДн;
3.8. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем того требуют цели обработки ПДн, если срок хранения ПДн не установлен Федеральным законом либо договором, стороной, выгодоприобретателем или поручителем по которому является субъект ПДн;
3.9. Обрабатываемые ПДн уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом.
4. Цели обработки Персональных данных Общество осуществляет обработку ПДн в следующих целях:
4.1. Выполнение функций и обязанностей работодателя (в том числе выплата заработной платы, отпускных, доплат, командировочных расходов, расчеты по представительским расходам, и т.д.), регулирование трудовых отношений, предоставление Работникам и членам их семей дополнительный гарантий и компенсаций, исполнение обязанностей по предоставлению персональных данных работников Общества в государственные органы, ведение архива сведений о работниках Общества в соответствии с законодательством Российской Федерации;
4.2. Рассмотрение резюме соискателей и заполнение вакансий Общества, формирование кадрового резерва;
4.3. Обучение и повышение квалификации Работников;
4.4. Обеспечение безопасности Работников и сохранности имущества Общества, обеспечение антитеррористической защиты и установление личности субъекта персональных данных посредством осуществления контрольно-пропускного режима;
4.5. Предоставление возможности пользования сервисами Общества в Интернете;
4.6. Организация, участие и проведение переговоров, встреч и совещаний, выставок, презентаций и иных мероприятий в деятельности Общества;
 4.7. Формирование статистических данных для разных целей (с обезличиванием персональных данных);
4.8. Заключение и исполнение договоров с контрагентами, в том числе с аудиторами, кредитными организациями, договоров с консультантами и иными субъектами персональных данных;
4.9. Выполнение задач, функций и обязанностей, возложенных на Обществом в соответствии с нормами законодательства Российской Федерации, в соответствии с уставной деятельностью и локальными нормативными актами Общества.
5. Способы и условия обработки Персональных данных
5.1. Обработка ПДн в Обществе осуществляется с использованием средств автоматизации, в том числе, в информационных системах ПДн, и без использования средств автоматизации.
5.2. При автоматизированной обработке ПДн применяется передача ПДн по внутренней сети Общества и с использованием информационно-телекоммуникационной сети «Интернет».
5.3. Трансграничная передача ПДн осуществляется при наличии письменного согласия субъекта ПДн, если иное не предусмотрено нормами действующего законодательства Российской Федерации.
5.4. Общество осуществляет передачу обрабатываемых ПДн органам власти на основании и во исполнение действующего законодательства Российской Федерации.
5.5. Передача ПДн на обработку третьим лицам осуществляется во исполнение требований действующего законодательства Российской Федерации, в рамках заключенных Обществом договоров, в том числе с субъектами ПДн, или на основании письменного согласия субъекта ПДн.
6. Сроки обработки и хранения Персональных данных
6.1. Порядок хранения ПДн, обрабатываемых в Обществе, определяется нормативными документами Общества в соответствии с положениями Федерального закона.
6.2. Обработка персональных данных прекращается при достижении целей обработки, утрате правовых оснований обработки, окончании сроков хранения документов, установленных законодательством об архивном деле в Российской Федерации и локальными нормативными актами Общества.
6.3. По истечении срока обработки ПДн уничтожаются или обезличиваются, если иное не предусмотрено Федеральным законом, нормами законодательства Российской Федерации или нормативными документами Общества. Хранение ПДн после истечения срока хранения допускается только после их обезличивания.
7. Блокирование Персональных данных
Основанием блокирования ПДн, относящихся к соответствующему субъекту ПДн, является:
7.1. Обращение или запрос субъекта ПДн при условии подтверждения факта недостоверности, устаревания, неполноты ПДн, отсутствия необходимости в них для заявленной цели обработки, неправомерных действий с ними, незаконного их получения;
7.2. Обращение или запрос законного представителя субъекта при условии подтверждения факта недостоверности, устаревания, неполноты ПДн, отсутствия необходимости в них для заявленной цели обработки, неправомерных действий с ними, незаконного их получения;
7.3. Обращение или запрос уполномоченного органа по защите прав субъектов ПДн при условии подтверждения факта недостоверности, устаревания, неполноты ПДн, отсутствия необходимости в них для заявленной цели обработки, неправомерных действий с ними, незаконного их получения.
8. Уничтожение Персональных данных Основанием для уничтожения ПДн, обрабатываемых в Обществе, является:
8.1. Достижение цели обработки ПДн;
8.2. Утрата необходимости в достижении цели обработки ПДн;
8.3. Отзыв субъектом ПДн согласия на обработку своих ПДн, за исключением случаев, когда обработка указанных ПДн является обязательной в соответствии с нормами законодательства Российской Федерации или договором;
8.4. Выявление неправомерных действий с ПДн и невозможности устранения допущенных нарушений в срок, не превышающий трех рабочих дней с даты такого выявления;
8.5. Истечение срока хранения ПДн, установленного законодательством Российской Федерации и нормативными документами Общества;
8.6. Предписание уполномоченного органа по защите прав субъектов ПДн, Прокуратуры Российской Федерации или решение суда.
9. Субъекты Персональных данных Общество осуществляет обработку ПДн следующих категорий субъектов ПДн:
9.1. Физические лица – акционеры/участники, руководители Общества
9.2. Работники Общества;
9.3. Соискатели на вакантные должности в Обществе;
9.4. Контрагенты - физические лица и индивидуальные предприниматели, состоящие в договорных отношениях с Обществом и/или ведущих переговоры с Обществом, в том числе участвующие в закупочных процедурах;
9.5. Контрагенты - представители юридических лиц, состоящих в договорных отношениях с Обществом и/или ведущих переговоры с Обществом, в том числе участвующие в закупочных процедурах;
9.6. Пользователи Сервисов Общества (физические лица).
10. Права и обязанности субъектов Персональных данных
Субъект ПДн вправе:
10.1. Направлять запрос в Общество в целях получения информации, касающейся обработки его ПДн;
10.2. Получать информацию о наличии его ПДн в Обществе, в том числе содержащую:
10.2.1. Подтверждение факта обработки ПДн в Обществе;
 10.2.2. Правовые основания и цели обработки ПДн;
10.2.3. Цели и применяемые в Обществе способы обработки п ПДн;
10.2.4. Наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты ПДн на основании договора с Обществом или на основании Федерального закона;
10.2.5.Обрабатываемые персональные данные, относящиеся к соответствующему субъекту, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;
10.2.6. Сроки обработки ПДн, в том числе сроки их хранения;
10.2.7. Порядок осуществления субъектом ПДн своих прав, предусмотренных Федеральным законом;
10.2.8. Информацию об осуществленной или о предполагаемой трансграничной передаче ПДн; 10.2.9. Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Общества, если обработка поручена или будет поручена такому лицу.
10.3. Потребовать дополнить, исправить или удалить любые неполные, неточные или устаревшие ПДн;
 10.4. Отозвать свое согласие на обработку ПДн (порядок отзыва согласия на обработку ПДн прописан в согласии на обработку ПДн, выданное субъектом ПДн);
10.5. Обжаловать в суде любые неправомерные действия или бездействие Общества при обработке и защите его ПДн;
10.6. Осуществлять защиту своих прав и законных интересов, в том числе право на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;
10.7. Субъекты ПДн могут нести ответственность за предоставление Обществу недостоверных сведений, а также за своевременное обновление предоставленных данных в случае каких-либо изменений.
11. Права и обязанности Общества при обработке Персональных данных
11.1. Общество обязано:
11.1.1. Осуществлять обработку ПДн субъектов с соблюдением принципов и правил, предусмотренных действующим законодательством Российской Федерации и внутренними документами Общества в области ПДн;
11.1.2. Получать письменное согласие Работника Общества на обработку персональных данных, разрешенных субъектом персональных данных для распространения (при наличии такой необходимости);
11.1.3. Сообщать субъекту ПДн или его законному представителю по его запросу информацию о наличии в Обществе ПДн, относящихся к соответствующему субъекту ПДн;
11.1.4. Безвозмездно предоставить возможность ознакомления субъекта ПДн или его законного представителя с ПДн субъекта в течение 10 рабочих дней с даты получения запроса;
11.1.5. В случае принятия решения об отказе в предоставлении субъекту ПДн информации о наличии у Общества ПДн субъекта, в течение 10 рабочих дней со дня обращения или получения запроса дать в письменной форме мотивированный ответ субъекту ПДн;
11.1.6. Внести необходимые изменения ПДн в срок, не превышающий 7 рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными. О внесенных изменениях и предпринятых мерах Общество обязано уведомить субъекта ПДн или его представителя, и принять разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы;
11.1.7. В случае достижения цели обработки ПДн, прекратить обработку ПДн и уничтожить соответствующие ПДн в срок, не превышающий 30 дней с момента достижения цели обработки ПДн, если иное не предусмотрено договором между Обществом и субъектом ПДн, либо если Общество не вправе осуществлять обработку ПДн без согласия субъекта ПДн;
11.1.8. В случае отзыва субъектом ПДн согласия на обработку своих ПДн (а также ПДн разрешенных для распространения) прекратить обработку ПДн и уничтожить ПДн в срок, не превышающий 30 дней с момента поступления указанного отзыва, если иное не предусмотрено договором между Обществом и субъектом ПДн, либо если Общество не вправе осуществлять Обработку ПДн без согласия субъекта ПДн;
11.1.9. Сообщить в уполномоченный орган по защите прав субъектов ПДн по его запросу информацию и документы, необходимые для осуществления деятельности указанного органа, в течение 30 дней с момента получения такого запроса.
11.2. Общество вправе: Поручить обработку ПДн другому лицу, с согласия субъекта ПДн, если иное не предусмотрено Федеральным законом или иными нормами законодательства Российской Федерации, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта.
12. Трансграничная передача Персональных данных В Обществе может осуществляться трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.
12.1. Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных (перечень таких стран утверждается уполномоченным органом по защите прав субъектов персональных данных), может осуществляться без получения письменного согласия субъекта персональных данных на трансграничную передачу с учетом целей обработки персональных данных, указанных в пункте 4 Политики.
12.2. Трансграничная передача персональных данных в страны, не обеспечивающие адекватной защиты прав субъектов персональных данных, осуществляется:
12.2.1. При наличии согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;
12.2.2. Для исполнения договора, стороной которого является субъект персональных данных;
12.2.3. Для защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия субъекта персональных данных в письменной форме;
12.2.4. В случаях, предусмотренных международными договорами Российской Федерации, федеральными законами (если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства);
12.2.5. При наличии предварительного (до начала осуществления трансграничной передачи персональных данных) письменного уведомления от Оператора в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять трансграничную передачу персональных данных и отсутствии запрета или ограничения указанного уполномоченного органа, принятого по факту рассмотрения уведомления Оператора.
13. Конфиденциальность Персональных данных.
Меры по защите Персональных данных, принимаемые в Обществе
13.1. Персональные данные являются конфиденциальной информацией. Общество обеспечивает конфиденциальность ПДн, не раскрывает третьим лицам и не распространяет ПДн без согласия субъекта ПДн, если иное не предусмотрено нормами действующего законодательства РФ. Работники Общества, имеющие доступ к ПДн, обязаны соблюдать режим конфиденциальности. Режим конфиденциальности распространяется на все носители информации, как на бумажные, так и на автоматизированные.
13.2. Общество при обработке ПДн принимает все необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или  случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн. К таким мерам, принимаемым Обществом, относятся:
13.2.1. Назначение в Обществе Работника, ответственного за организацию обработки ПДн.
13.2.2. Определение перечня должностей, при замещении которых замещающими специалистами осуществляется обработка персональных данных.
13.2.3. Ознакомление Работников Общества, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации в области ПДн, в том числе требованиями к защите ПДн.
13.2.4. Утверждение локальных нормативных актов по вопросам обработки и защиты ПДн, направленных на предотвращение и выявление нарушений законодательства Российской Федерации устранение последствий таких нарушений.
13.2.5. Исключение несанкционированного доступа к ПДн, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение ПДн, а также иных несанкционированных действий.
13.2.6. При обработке ПДн в информационной системе обеспечивается проведение мероприятий, направленных на предотвращение несанкционированного доступа к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации, в том числе: ­ персональные компьютеры, в которых содержатся персональные данные, должны быть защищены паролями доступа; ­ своевременное обнаружение фактов несанкционированного доступа к персональным данным; ­ недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование; ­ возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; ­ постоянный контроль за обеспечением уровня защищенности персональных данных.
13.2.7. Определение угроз безопасности ПДн при их обработке в информационных системах персональных данных, разработка, при необходимости, системы ПДн при их обработке в информационных системах персональных данных и установление правил доступа к ПДн. Безопасность ПДн при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (криптографические средства, средства защиты от несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства 13 обработки персональных данных), а также используемые в информационной системе информационные технологии.
13.2.8. Ведение обработки ПДН в границах охраняемой территории, а также организация физической защиты носителей ПДн, мест и средств их обработки.
13.2.9. Обеспечение учета совершаемых с ПДн действий, обнаружение (отслеживание) фактов несанкционированного доступа к ПДн и принятие соответствующих мер.
13.2.10. Осуществление внутреннего контроля и (или) аудита соответствия обработки ПДн действующему законодательству Российской Федерации в области ПДн. Периодический контроль за соответствием принимаемых мер по обеспечению безопасности ПДн законодательству Российской Федерации в области ПДн и принятым в его исполнение локальным нормативным актам.
14. Заключительные положения
14.1. Положения настоящей Политики являются обязательными для исполнения всеми Работниками Общества, имеющими доступ к ПДн.
14.2. Настоящая Политика вступает в силу с даты подписания приказа о ее утверждении, действует в отношении всех ПДн, обрабатываемых в Обществе, является общедоступным документом и подлежит размещению на официальном сайте Общества. Решение о внесении изменений и/или дополнений в настоящую Политику принимается в соответствии с локальными нормативными актами Общества.
14.3. Уполномоченный орган по защите прав субъектов персональных данных - Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), Управление по защите прав субъектов персональных данных.