Политика обработки персональных данных

Настоящее Положение по организации обработки и обеспечению безопасности персональных данных в Акционерном обществе «Медицинский центр «Философия красоты и здоровья» (АО «МЦ «Философия красоты и здоровья») (далее – Положение) принято в АО «МЦ «Философия красоты и здоровья» (далее – Оператор) в целях регламентации процессов обработки персональных данных, обеспечения конфиденциальности и защиты персональных данных от несанкционированного доступа, неправомерного их использования, разглашения или утраты, установление ответственности за нарушение требований обработки и защиты персональных данных.

1.2. Задачи

Определение Оператором в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

1.3. Область применения

Настоящее Положение устанавливает цели и способы обработки персональных данных, принципы и условия обработки персональных данных, права субъектов персональных данных, определяет порядок организации обработки и обеспечения безопасности персональных данных, порядок поручения обработки персональных данных и передачи персональных данных третьим лицам, порядок доступа в помещения, в которых осуществляется обработка персональных данных, порядок уничтожения персональных данных, регламентирует особенности взаимодействия с субъектами персональных данных и с уполномоченным органом по защите прав субъектов персональных данных, а также устанавливает ответственность за нарушение нормативных правовых актов Российской Федерации в сфере персональных данных и локальных актов Оператора.

1.4. При разработке настоящего Положения использовались следующие законодательные, нормативные правовые акты

Конституции Российской Федерации, Трудового кодекса Российской Федерации, Налогового кодекса Российской Федерации, Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – 152-ФЗ), Федерального закона от 07.02.1992 № 2300-1 «О защите прав потребителей», постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и иных нормативных правовых актов Российской Федерации, а также локальных актов Оператора, устанавливающих особенности обработки и защиты персональных данных.

1.5. Сокращения, аббревиатуры и термины:

1.5.1. персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);

1.5.2. персональные данные, разрешенные субъектом персональных данных для распространения - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

1.5.3. оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

1.5.4. обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

1.5.5. автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

1.5.6. распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

1.5.7. предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

1.5.8. блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

1.5.9. уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

1.5.10. информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

1.5.11. трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

1.5.12. материальные носители персональных данных – это бумажные носители информации, оптические носители информации (CDs, DVDs, BDs и пр.), магнитные носители информации (жесткие диски, магнитные карты, дискеты, ZIP, магнитные ленты и т.д.), электронные носители информации (Flash, карты памяти, память мобильных устройств и пр.), на которых обрабатываются и хранятся персональные данные.

1.6. Ознакомление работников Оператора с настоящим Положением осуществляется под подпись в Листе ознакомления.

2. Цели обработки персональных данных

2.1. Цели обработки персональных данных, осуществляемой Оператором, категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, а также правовые основания обработки персональных данных, представлены в Приложении №20¹.

¹ Действие Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» не распространяется на отношения, возникающие при организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации

3. Условия обработки персональных данных

3.1. Формы согласий на обработку персональных данных работника, соискателя, участников рекламных акций, контрагента, представителя контрагента, посетителей сайта установлены в Приложениях №№ 10-14 к настоящему Положению.

3.2. Обработка специальных категорий персональных данных и биометрических персональных данных Оператором не осуществляется.

3.3. Обработка персональных данных, разрешенных субъектами для распространения, осуществляется Оператором в соответствии со ст.10.1 152-ФЗ. Формы согласий на обработку персональных данных, разрешенных для распространения участниками рекламных акций, установлены в Приложениях № 15 к настоящему Положению.

3.4. Оператор обязан в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения.

3.5. Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.

3.6. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, прекращается в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению.

3.7. Действие согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается с момента поступления Оператору вышеназванного требования.

3.8. Трансграничная передача персональных данных Оператором не осуществляется.

3.9. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи осуществляется Оператором при условии предварительного согласия субъекта персональных данных. В соответствии со ст.15 152-ФЗ при возникновении спорных ситуаций Оператор обязан предоставить доказательства, что такое согласие было получено, а также обязан немедленно прекратить по требованию субъекта персональных данных указанную обработку персональных данных.

3.10. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, не может быть принято на основании исключительно автоматизированной обработки его персональных данных.

4. Порядок допуска к работе с персональными данными

4.1. Работники Оператора допускаются к работе с персональными данными исключительно в пределах и объеме, необходимом для выполнения ими своих должностных обязанностей и в соответствии с порядком, установленным настоящим Положением.

4.2. Работники Оператора при приеме на работу проходят первичный инструктаж, то есть должны быть ознакомлены подпись с положениями законодательства Российской Федерации о персональных данных и локальными актами Оператора по вопросам обработки персональных данных, в том числе, с настоящим Положением, а также предоставить письменное Обязательство о неразглашении конфиденциальной информации (персональных данных), по форме, установленной в Приложении № 1 к настоящему Положению.

4.3. Перечень лиц (должностей), допущенных к работе с персональными данными, утверждается приказом генерального директора Оператора и пересматривается по мере необходимости, но не реже одного раза в год.

4.4. Допуск к работе с персональным данным может быть прекращен или ограничен в случае нарушения требований настоящего Положения или иных требований, связанных с использованием информационных ресурсов Оператора, с правилами работы с конфиденциальной информацией, а также в случае перевода на другую должность или увольнения работника.

4.5. Работники, допущенные к работе с персональными данными, проходят обучение по направлению организации обработки и обеспечения безопасности персональных данных, а также повторный инструктаж не реже одного раза в год в целях изучения вновь принятых или измененных положений законодательства Российской Федерации о персональных данных и локальных актов Оператора по вопросам обработки персональных данных, а также в целях предупреждения инцидентов, связанных с безопасностью персональных данных. План обучения работников Оператора утверждается приказом генерального директора Оператора. Форма указанного Плана обучения работников, допущенных к работе с персональными данным, установлена в Приложении № 3.1 к настоящему Положению. Факт проведения обучения фиксируется в «Журнале учета инструктажей по правилам обработки и защиты персональных данных», форма которого установлена в Приложении № 3 к настоящему Положению. Организацию и проведение указанного обучения обеспечивает лицо, ответственное за организацию обработки персональных данных.

4.6. В случае нарушения установленного порядка обработки персональных данных работники Оператора несут ответственность в соответствии с разделом 11 настоящего Положения.

5. Передача персональных данных и поручение обработки персональных данных

5.1. Передача персональных данных третьим лицам возможна с согласия субъектов персональных данных, если иное не предусмотрено федеральным законом. Передача персональных данных оформляется в виде Соглашения о передаче персональных данных, форма которой установлена в Приложении № 6 к настоящему Положению.

5.2. Форма согласия соответствующей категории субъектов персональных данных должна содержать согласие на передачу персональных данных третьему лицу, в случае если такая передача предусматривается.

5.3. При передаче персональных данных работников Оператор обеспечивает выполнение следующих принципов и условий:

5.3.1. персональные данные работника не передаются третьей стороне без письменного согласия работника, за исключением случаев, когда передача необходима в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами;

5.3.2. персональные данные работника не передаются в коммерческих целях без его письменного согласия;

5.3.3. лиц, получающие персональные данные работника, уведомляются о том, что данные могут быть использованы исключительно в целях, для которых они сообщены. Лица, получающие персональные данные работника, обязаны соблюдать режим конфиденциальности.

5.3.4. передача персональных данных работника осуществляется между должностными лицами, допущенными к обработке персональных данных в соответствии с настоящим Положением, с которым работник должен быть ознакомлен под подпись;

5.3.5. доступ к персональным данным работников разрешен только допущенным к обработке персональных данных лицам, при этом указанные лица иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

5.3.6. информацию о состоянии здоровья работника не запрашивается, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

5.3.7. персональные данные работника не могут быть переданы третьему лицу без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами.

5.4. Оператор вправе поручить обработку персональных данных третьим лицам с согласия субъектов персональных данных. Поручение обработки персональных данных оформляется в виде Соглашения о поручении обработки персональных данных, форма которого установлена в Приложении № 5 к настоящему Положению.

5.5. В случае, если Оператор поручает обработку персональных данных третьему лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность перед Оператором.

6. Порядок взаимодействия с субъектами персональных данных

6.1 Субъекты персональных данных, их законные представители имеют право на получение сведений об обрабатываемых персональных данных, в том числе содержащих:

6.1.1 подтверждение факта обработки персональных данных Оператором;

6.1.2 правовые основания и цели обработки персональных данных;

6.1.3 цели и применяемые Оператором способы обработки персональных данных;

6.1.4 наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;

6.1.5 обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6.1.6 сроки обработки персональных данных, в том числе сроки их хранения;

6.1.7 порядок осуществления субъектом персональных данных прав, предусмотренных 152-ФЗ;

6.1.8 информация об осуществленной или о предполагаемой трансграничной передаче данных;

6.1.9 наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;

6.1.10 меры, применяемые для обеспечения выполнения обязанностей, предусмотренных 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами;

6.1.11 иные сведения, предусмотренные 152-ФЗ или другими федеральными законами, к которым могут относиться, в том числе, соблюдение условий и принципов обработки персональных данных, сведения о выполнении требований по обеспечению безопасности персональных данных, возможные ограничения на доступ субъектов к своим персональным данным.

6.2 Все запросы и (или) обращения субъектов персональных данных, их законных представителей рассматриваются лицом, ответственным за организацию обработки персональных данных.

6.3 Запросы и (или) обращения регистрируются в «Журнале учета обращений субъектов персональных данных и (или) уполномоченного органа по защите прав субъектов персональных данных» по форме, установленной в Приложении № 2 к настоящему Положению, и хранятся у ответственного за организацию обработки персональных данных.

6.4 Ответ на запрос и (или) обращение субъектов персональных данных направляется в течении 10 дней, согласно ст.21 152-ФЗ.

6.5 Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований 152-ФЗ или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействия Оператора в уполномоченный орган по защите прав субъектов персональных данных (далее – Роскомнадзор) или в судебном порядке.

6.6 Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

6.7 Подтверждение уничтожения персональных данных осуществляется в соответствии с требованиями, установленными Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 28 октября 2022 г. N 179 «Об утверждении Требований к подтверждению уничтожения персональных данных», в порядке, описанном в разделе 9 настоящего Положения. «Форма уведомления об уничтожении персональных данных» при получении отзыва согласия на обработку персональных данных утверждена в Приложении № 7 к настоящему Положению.

7. Порядок взаимодействия с уполномоченным органом по защите прав субъектов персональных данных

7.1 В соответствии со ст. 23 152-ФЗ Роскомнадзор имеет право:

7.1.1 запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;

7.1.2 требовать от Оператора уточнения, блокирования или уничтожения недостоверных, или полученных незаконным путем персональных данных;

7.1.3 принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований 152-ФЗ;

7.1.4 обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных, в том числе в защиту прав неопределенного круга лиц, и представлять интересы субъектов персональных данных в суде;

7.1.5 привлекать к административной ответственности лиц, виновных в нарушении 152-ФЗ.

7.2 Все запросы Роскомнадзора рассматриваются лицом, ответственным за организацию обработки персональных данных.

7.3 Запросы регистрируются в «Журнале учета обращений субъектов персональных данных и (или) уполномоченного органа по защите прав субъектов персональных данных» по форме, установленной в Приложении № 2 к настоящему Положению, и прикрепляются к нему.

7.4 Ответ на запрос Роскомнадзора направляется в течение 10 десяти рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления Оператором в адрес Роскомнадзора мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

7.5 В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор обязан с момента выявления такого инцидента уведомить Роскомнадзор:

7.5.1 в течение 24 часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с Роскомнадзором, по вопросам, связанным с выявленным инцидентом (лице, ответственном за организацию обработки персональных);

7.5.2 в течение 72 двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии). В случае получения запроса от Национального координационного центра по компьютерным инцидентам (далее - НКЦКИ) о проведении проверки сведений о компьютерном инциденте, повлекшем неправомерную передачу (предоставление, распространение, доступ) персональных данных с использованием электронной связи на адреса (телефонные номера) лица, ответственного за организацию обработки персональных, Оператор обязан проинформировать НКЦКИ о результатах проверки в течение 24 часов с момента получения такого запроса по тем же каналам, по которым оно было направлено.

7.6 Уведомление Роскомнадзора, указанное в п.7.5 настоящего Положения, осуществляется путем заполнения формы уведомления о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, на официальном сайте Роскомнадзора в сети «Интернет».

8. Защита персональных данных

8.1 Оператор обеспечивает конфиденциальность и безопасность персональных данных в соответствии с требованиями действующего законодательства Российской Федерации и реализует следующие меры:

8.1.1 назначает ответственное лицо за организацию обработки персональных данных;

8.1.2 издает документы, определяющие политику Оператора в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также внутренних локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений действующего законодательства Российской Федерации, устранение последствий таких нарушений;

8.1.3 применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со статьей 19 152-ФЗ;

8.1.4 осуществляет внутренний контроль и (или) аудита соответствия обработки персональных данных 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора;

8.1.5 проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения 152-ФЗ, соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных 152-ФЗ. Форма «Акта оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных» утверждена в Приложении № 9 к настоящему Положению;

8.1.6 ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с правилами и требованиями действующего законодательства Российской Федерации, с локальными актами Оператора, касающимися обработки персональных данных и требований по обеспечению безопасности, и(или) обучение указанных работников;

8.1.7 определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз и их нейтрализация;

8.1.8 определение уровней защищенности персональных данных при обработке в информационных система персональных данных Оператора;

8.1.9 применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

8.1.10 оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

8.1.11 учет машинных носителей персональных данных;

8.1.12 обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;

8.1.13 восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8.1.14 установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

8.1.15 контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

8.2 Реализация мер по обеспечению безопасности персональных данных осуществляется с помощью разработанной системы защиты персональных данных, нейтрализующей актуальные угрозы безопасности персональных данных.

8.3 Уровень защищенности персональных данных устанавливается решением комиссии, назначенной приказом генерального директора Оператора, в форме Акта определения уровня защищенности персональных данных.

8.4 Оператор обеспечивает взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных, в порядке, предусмотренном действующим законодательством Российской Федерации.

9. Хранение и уничтожение персональных данных

9.1. Материальные носители персональных данных могут располагаться на рабочих столах или в специальных папках только в течение рабочего дня. По окончании рабочего дня данные носители должны убираться в запирающиеся шкафы и (или) сейфы.

9.2. Все виды носителей (бумажных и машинных), содержащие персональные данные, учитываются в «Журнале учета материальных носителей (бумажных и машинных) персональных данных», установленной в Приложении № 4 к настоящему Положению.

9.3. Срок обработки персональных данных, осуществляемой с использованием средств автоматизации, соответствует сроку обработки персональных данных, осуществляемой без использования средств автоматизации.

9.4. Оператор обязан прекратить обработку и уничтожить персональные данные (либо обеспечить прекращение и уничтожение персональных данных, если обработку осуществляет третье лицо по поручению) в случаях:

9.3.1 прекращения деятельности Оператора;

9.3.2 ликвидации Оператора;

9.3.3 достижения цели обработки персональных данных, в том числе истечения срока хранения, или утраты необходимости в ее достижении, если иное не определено законодательством Российской Федерации;

9.3.4 отзыва согласия на обработку субъекта персональных данных, если хранение персональных данных более не требуется для целей обработки;

9.3.5 неправомерной обработки персональных данных;

9.3.6 получения требования субъекта прекратить обработку персональных данных.

9.5. В случае отсутствия возможности уничтожения персональных данных в течение сроков, предусмотренных 152-ФЗ, Оператор осуществляет блокирование таких персональных данных (либо обеспечивает блокирование персональных данных, если обработку осуществляет третье лицо по поручению) и обеспечивает уничтожение персональных данных в срок не более шести месяцев, если иной срок не установлен федеральными законами.

9.6. Удаление и уничтожение персональных данных подтверждаются комиссией, назначенной Генеральным директором Оператора.

9.7. В случае если обработка персональных данных осуществляется Оператором без использования средств автоматизации, документом, подтверждающим уничтожение персональных данных, является «Акт об уничтожении персональных данных», форма которого установлена в Приложении № 8 к настоящему Положению.

9.8. В случае если обработка персональных данных осуществляется Оператором с использованием средств автоматизации, документами, подтверждающими уничтожение персональных данных, являются «Акт об уничтожении персональных данных» и выгрузка из журнала регистрации событий в информационной системе персональных данных (далее выгрузка из журнала).

9.9. В случае если обработка персональных данных осуществляется Оператором одновременно с использованием средств автоматизации и без использования средств автоматизации, документами, подтверждающими уничтожение персональных данных, являются «Акт об уничтожении персональных данных» и выгрузка из журнала.

9.10. Требования к содержанию «Акта об уничтожении персональных данных» установлены Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27.10.2022 № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных». Форма акта об уничтожении персональных данных приведена в Приложении № 8 к настоящему Положению.

9.11. Выгрузка из журнала должна содержать:

9.10.1 фамилию, имя, отчество (при наличии) субъекта (субъектов) или иную информацию, относящуюся к определенному (определенным) физическому (физическим) лицу (лицам), чьи персональные данные были уничтожены;

9.10.2 перечень категорий уничтоженных персональных данных субъекта (субъектов) персональных данных;

9.10.3 наименование информационной системы персональных данных, из которой были уничтожены персональные данные субъекта (субъектов) персональных данных;

9.10.4 причину уничтожения персональных данных;

9.10.5 дату уничтожения персональных данных субъекта (субъектов) персональных данных.

9.12. В случае если выгрузка из журнала не позволяет указать отдельные сведения, недостающие сведения вносятся в «Акт об уничтожении персональных данных».

10. Требования к помещениям, в которых осуществляется обработка персональные данные

10.1. Помещения, в которых располагаются технические средства информационных систем персональных данных (далее – ИСПДн), включая сетевое оборудование, серверы и автоматизированные рабочие места (далее – АРМ), должны обеспечиваться охраной и физической защитой, исключающими несанкционированный доступ к техническим средствам ИСПДн и носителям информации, их хищение и нарушение работоспособности.

10.2. Сетевое оборудование размещается в месте недоступном для посторонних лиц.

10.3. Для помещений, в которых размещаются компоненты ИСПДн, должны быть утверждены правила доступа в помещения в рабочее/нерабочее время и в нештатных ситуациях, а также должен быть определен перечень лиц, имеющих право доступа в данные помещения.

10.4. Уборка помещений и обслуживание технических средств ИСПДн должна осуществляться только авторизованным персоналом под контролем ответственных за данные помещения и технические средства лиц с соблюдением мер, исключающих несанкционированный доступ к персональным данным, носителям информации, программным и техническим средствам обработки, передачи и защиты информации ИСПДн.

10.5. Помещения, в которых располагаются технические средства ИСПДн, должны быть подключены к системе гарантированного энергоснабжения с целью обеспечения высококачественного бесперебойного электропитания ИСПДн. Система должна обеспечивать функцию оповещения персонала о возникающих аварийных ситуациях в системах электропитания.

10.6. Помещения, в которых располагаются технические средства ИСПДн оборудованы системами пожарной сигнализации, а помещения с дорогостоящим и легкоуязвимым серверным оборудованием должны также обеспечиваться системами автоматического газового пожаротушения.

11. Осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных

11.1. Оператор несет ответственность за нарушение действующего законодательства Российской Федерации в области персональных данных, настоящего Положения и других локальных актов Оператора о персональных данных.

11.2. Внутренний контроль состоит из перечня мероприятий (внутренних проверок), выполнение которых позволяет оценить соответствие обработки персональных данных требованиям 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, и Политики в отношении обработки персональных данных АО «МЦ «Философия красоты и здоровья».

11.3. В целях организации и осуществления внутреннего контроля по соответствию обработки персональных данных в АО «МЦ «Философия красоты и здоровья» требованиям, установленным 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, создается комиссия из числа работников АО «МЦ «Философия красоты и здоровья» (далее Комиссия). Состав Комиссии назначается приказом АО «МЦ «Философия красоты и здоровья».

11.4. Внутренний контроль проводится не реже одного раза в год.

11.5. Проверки, осуществляемые в рамках внутреннего контроля, могут быть плановыми и внеплановыми.

11.6. Плановые проверки соответствия обработки персональных данных установленным требованиям проводятся на основании подготовленного Комиссией ежегодного плана проведения внутренних проверок режима обработки и защиты персональных данных в АО «МЦ «Философия красоты и здоровья» (далее - План проведения внутренних проверок).

11.7. План проведения внутренних проверок должен содержать следующую информацию:

наименование мероприятий (внутренних проверок);
периодичность мероприятий (внутренних проверок);
планируемые даты мероприятий (внутренних проверок);
перечень лиц, ответственных за проведение мероприятий (внутренних проверок).

11.8. Ежегодный план проведения внутренних проверок утверждается локальным актом АО «МЦ «Философия красоты и здоровья». Проект Ежегодного плана мероприятий по контролю обеспечения информационной в АО «МЦ «Философия красоты и здоровья» представлен в Приложении №17.

11.9. В проведении мероприятий внутреннего контроля не могут участвовать работники АО «МЦ «Философия красоты и здоровья», прямо или косвенно заинтересованные в их результатах.

11.10. Контроль соответствия условий обработки персональных данных осуществляется непосредственно на месте обработки персональных данных путем опроса либо, при необходимости, путем осмотра рабочих мест работников АО «МЦ «Философия красоты и здоровья», участвующих в процессе обработки персональных данных.

11.11. При проведении внутреннего контроля должны быть установлены:

порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
соблюдение мер по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации;
эффективность принимаемых мер по обеспечению безопасности персональных данных, обрабатываемых в информационной системе персональных данных;
состояние учета машинных носителей персональных данных;
соблюдение правил доступа к персональным данным;
порядок и условия применения средств защиты информации;
наличие (отсутствие) фактов несанкционированного доступа к персональным данным и принятие необходимых мер;

осуществление мероприятий по обеспечению целостности персональных данных;
соответствие содержания и объема обрабатываемых персональных данных
заявленным целям обработки персональных данных;
наличие правовых оснований по сбору копий документов, содержащих персональные данные

11.12. По результатам проведения внутренней проверки оформляется Протокол о результатах проведения внутренней проверки режима обработки и защиты персональных данных в АО «МЦ «Философия красоты и здоровья» (далее – Протокол о результатах проведения внутренней проверки). Форма Протокола о результатах проведения внутренней проверки приведена в Приложении № 18.

11.13. В случае выявления нарушений соответствия обработки персональных данных установленным требованиям сведения о выявленных нарушениях фиксируются в протоколе о результатах проведения внутренней проверки.

11.14. Для устранения нарушений, выявленных по результатам внутренних проверок. Председатель комиссии формирует План мероприятий по устранению нарушений, выявленных в результате проведения внутренней проверки режима обработки и защиты персональных данных в АО «МЦ «Философия красоты и здоровья» (далее - План мероприятий по устранению нарушений). Форма Плана мероприятий по устранению нарушений приведена в Приложении № 19.

11.15. После утверждения Плана мероприятий по устранению нарушений, по результатам определения мероприятий, необходимых для устранения выявленных нарушений, и сроков их выполнения, лица, причастные к выявленному нарушению, приступают к их устранению.

11.16. По результатам проведения мероприятий, включенных в ежегодный План проведения внутренних проверок. Комиссия ежегодно или по запросу Генерального директора АО «МЦ «Философия красоты и здоровья» формирует Отчет о выполнении плана проведения внутренних проверок режима обработки и защиты персональных данных в АО «МЦ «Философия красоты и здоровья» (далее Отчет о выполнении плана проведения внутренних проверок). Форма Отчета о выполнении плана проведения внутренних проверок приведена в Приложении № 20 к настоящим Правилам.

11.17. Отчет по результатам внутреннего контроля Комиссия направляет Генеральному директору АО «МЦ «Философия красоты и здоровья».

11.18. Внеплановые проверки соответствия обработки персональных данных установленным требованиям проводятся на основании поступившей информации о нарушении правил обработки персональных данных в АО «МЦ «Философия красоты и здоровья». Проведение внеплановой проверки организуется Председателем Комиссии в течение трех рабочих дней со дня поступления информации о нарушениях правил обработки персональных данных.

11.19. По результатам проведения внеплановой проверки также составляется Протокол о результатах проведения внутренней проверки.

11.20. Члены Комиссии и лица, ответственные за проведение мероприятий согласно Плану проведения внутренних проверок, обеспечивают конфиденциальность персональных данных, ставших известными им в ходе мероприятий внутреннего контроля.

12. Ответственность

12.1. Лица, виновные в нарушении требований Федерального закона «О персональных данных», несут предусмотренную законодательством Российской Федерации ответственность.

12.2. Ущерб, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Федеральным законом «О персональных данных», а также требований к защите персональных данных, установленных в соответствии с Федеральным законом «О персональных данных», подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

12.1. На Оператора возложена ответственность за обеспечение выполнения требований Федерального закона «О персональных данных», и иных нормативных актов, регламентирующих обработку и обеспечение безопасности персональных данных.

12.2. На работников Оператора, допущенных к обработке персональных данных, возложена ответственность за выполнение требований настоящего Положения и иных локальных актов Оператора, в том числе регламентирующих процесс обработки и обеспечения безопасности персональных данных.

12.3. На работника, ответственного за организацию обработки персональных данных, возложена ответственность за выполнение требований п.4. ст.22.1. 152-ФЗ и настоящего Положения.

12.4. За нарушение требований Федерального закона «О персональных данных» предусмотрена ответственность в соответствии с действующим законодательством Российской Федерации.

Приложение № 1

к Положению по организации обработки
и обеспечению безопасности персональных данных

Обязательство о неразглашении конфиденциальной информации (персональных данных)

Я, ____________________________,

(фамилия, имя, отчество)

____________________________

(должность, наименование структурного подразделения)

предупрежден(а), что на период трудовых и иных гражданско-правовых отношений с АО «МЦ «Философия красоты и здоровья» мне будет предоставлен допуск к конфиденциальной информации (персональным данным). Настоящим добровольно принимаю на себя обязательства:

1. Не разглашать третьим лицам конфиденциальные сведения, которые мне доверены (будут доверены) или станут известными в связи с выполнением должностных обязанностей.

2. Не передавать и не раскрывать третьим лицам конфиденциальные сведения, которые мне доверены (будут доверены) или станут известными в связи с выполнением должностных обязанностей.

3. В случае попытки третьих лиц получить от меня конфиденциальные сведения, сообщать непосредственному руководителю.

4. Не использовать конфиденциальные сведения с целью получения выгоды.

5. Выполнять требования локальных актов АО «МЦ «Философия красоты и здоровья», регламентирующих вопросы обеспечения информационной безопасности конфиденциальной информации.

6. В течение года после прекращения права на допуск к конфиденциальным сведениям не разглашать и не передавать третьим лицам известную мне конфиденциальную информацию.

Я предупрежден (а), что в случае нарушения данного обязательства буду привлечен (а) к дисциплинарной ответственности и/или иной ответственности в соответствии с законодательством Российской Федерации.

«__» _____ 20___ года

____________________________

(подпись)

Приложение № 2

к Положению по организации обработки
и обеспечению безопасности персональных данных

ЖУРНАЛ УЧЕТА²

обращений субъектов персональных данных и (или) уполномоченного органа по защите
прав субъектов персональных данных

на _____ листах

Журнал начат «__» _____ 20__г.
завершен «__» _____ 20__г.

Должность лица, ответственного
за ведение журнала

_____ ФИО
подпись г. Пермь

№ п/п	ФИО субъекта ПДн или его законного представителя/ уполномоченного органа	Дата обращения	Цель обращения субъекта ПДн или его законного представителя/ уполномоченного органа	ФИО лица, ответственного за своевременный ответ субъекту ПДн (с указанием должности и структурного подразделения)	Дата ответа субъекту ПДн (с указанием реквизитов направленного официального ответа)
1
2
3
4
5
6

² Журнал сшивается и скрепляется печатью, листы журнала должны быть пронумерованы.

Приложение № 3

к Положению по организации обработки
и обеспечению безопасности персональных данных

ЖУРНАЛ УЧЕТА³

инструктажей по правилам обработки и защиты персональных данных

на _____ листах

Журнал начат «__» _____ 20__г.
завершен «__» _____ 20__г.

Должность лица, ответственного
за ведение журнала

_____ ФИО
подпись

г. Пермь

Дата проведения инструктажа	Инструктируемое лицо			Инструктирующее лицо⁴
	ФИО	Табельный номер	Подпись	ФИО	Подпись
1
2
3
4
5
6

³ Журнал сшивается и скрепляется печатью, листы журнала должны быть пронумерованы.
⁴ Рекомендуемое содержание инструктажа:

Информирование о факте обработки персональных данных
Информирование о категориях обрабатываемых персональных данных
Разъяснение порядка организации обработки и обеспечения безопасности ПДн
Разъяснение порядка обработки согласно локальным актам Оператора

Приложение № 3.1

к Положению по организации обработки
и обеспечению безопасности персональных данных

ПЛАН ОБУЧЕНИЯ

работников, допущенных к работе с персональными данными

№ п/п	ФИО, должность	Дата последнего обучения	Дата планируемого обучения	Место обучения	Наименование обучающей программы
1
2
3
4
5
6

Приложение № 4

к Положению по организации обработки
и обеспечению безопасности персональных данных

ЖУРНАЛ УЧЕТА⁵

материальных носителей (бумажных и машинных) персональных данных

на _____ листах

Журнал начат «__» _____ 20__г.
завершен «__» _____ 20__г.

Должность лица, ответственного
за ведение журнала

_____ ФИО
подпись

г. Пермь

Учетный/регистрационный (заводской) номер	Дата постановки на учет	Вид носителя	Место хранения/размещения⁶	Дата уничтожения	Реквизиты акта об уничтожении	ФИО лица, ответственного за использование и хранение носителя	Дата выдачи носителя	Подпись ответственного лица	Дата возврата носителя	Подпись ответственного лица
1
2
3

⁵ Журнал сшивается и скрепляется печатью, листы журнала должны быть пронумерованы.
⁶ Адрес, номер помещения, номер шкафа, сейфа и т.п.

Приложение № 5

к Положению по организации обработки
и обеспечению безопасности персональных данных

СОГЛАШЕНИЕ О ПОРУЧЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

г. Пермь «__» _____ 20__ года

АО «МЦ «Философия красоты и здоровья», именуемый в дальнейшей Оператор, в лице
____________________________, действующего на основании _________________, с одной
стороны, и __________________________, именуемый в дальнейшей лицо, осуществляющее
обработку персональных данных по поручению Оператора, в лице
____________________________, действующего на основании ___________________________, с
другой стороны, в дальнейшем именуемые совместно «Стороны», а по отдельности – «Сторона»,
договорились о нижеследующем:

Оператор на основании и во исполнение заключенных или заключаемых между Сторонами договоров и соглашений поручает лицу, осуществляющему обработку персональных данных по поручению Оператора, обработку персональных данных (указать перечень персональных данных) ____________________________________________________ в следующих целях (указать цель/цели обработки персональных данных): ___________________.
Лицо, осуществляющее обработку персональных данных по поручению Оператора, вправе осуществлять с персональными данными такие действия (операции) как (указать перечень действий (операций) с персональными данными) _______________________.
Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязуется при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязуется принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, к которым относятся, в частности:
- назначение ответственного за организацию обработки персональных данных;
- издание документов, определяющих политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
- применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике в отношении обработки персональных данных, локальным актам;
- оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
- ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязуется в течение срока действия настоящего поручения, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения настоящего поручения требований, установленных в соответствии со статьей 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязуется обеспечивать безопасность персональных данных при их обработке, а также реализовывать следующие требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»:
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- учет машинных носителей персональных данных;
- обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
- уведомление оператора о случаях установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, не позднее сроков, установленных частью 3.1 статьи 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязуется возместить Оператору убытки в размере причиненного и документально подтвержденного реального ущерба, причиненного Оператору вследствие несоблюдения указанным лицом цели и состава действий по обработке персональных данных, указанных в данном поручении, или нарушения по вине указанного лица конфиденциальности и (или) безопасности персональных данных, обрабатываемых указанным лицом в рамках данного поручения.
Настоящее Соглашение вступает в силу с момента его подписания обеими Сторонами и утрачивает свою силу:
1. с момента, предусмотренного взаимным соглашением Сторон;
2. по истечении ___ дней с момента получения лицом, осуществляющим обработку персональных данных по поручению Оператора, письменного уведомления от Оператора о прекращении действия настоящего Соглашения и о требовании прекратить обработку персональных данных, обрабатываемых указанным лицом в рамках данного поручения.
Настоящее Соглашение составлено в двух экземплярах на русском языке, имеющих равную юридическую силу, по одному для каждой из Сторон.

Реквизиты и подписи Сторон:

_________________________________

Приложение № 6

к Положению по организации обработки
и обеспечению безопасности персональных данных

СОГЛАШЕНИЕ О ПЕРЕДАЧЕ ПЕРСОНАЛЬНЫХ ДАННЫХ⁷

г. Пермь «__» _____20__ года

АО «МЦ «Философия красоты и здоровья», в лице ____________________________,
действующего на основании _________________, с одной стороны, и
__________________________, в лице ____________________________, действующего на
основании ___________________________, с другой стороны, в дальнейшем именуемые
совместно «Стороны», а по отдельности – «Сторона», договорились о нижеследующем:

Стороны в соответствии с требованиями ч.1 ст.6 и ч.4 ст.18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обязуются обеспечивать правомерную передачу персональных данных друг другу в составе и объеме, необходимом для достижения одной, нескольких или всех нижеперечисленных целей, актуальных для взаимоотношений между Сторонами:
- выполнения Сторонами своих обязательств по заключенным или заключаемым между Сторонами договорам и соглашениям;
- ведения деловых переговоров между Сторонами;
- проявления Сторонами должной осмотрительности;
- ____________________________________________.
Каждая из Сторон является самостоятельно действующим оператором в отношении передаваемых друг другу персональных данных. Иное должно быть прямо указано в соглашении о поручении обработки персональных данных, если такое соглашение будет заключено между Сторонами в отношении отдельных случаев обработки персональных данных.
Передающая Сторона, на основании соответствующего запроса, поступившего от получающей Стороны, предоставляет получающей Стороне подтверждение либо факта получения согласия субъектов на осуществление передачи их персональных данных, либо подтверждение наличия иных правовых оснований для осуществления передачи персональных данных субъектов и подтверждение факта надлежащего уведомления субъектов о передаче их персональных данных.
Стороны обязуются обеспечивать конфиденциальность и безопасность передаваемых друг другу персональных данных при их обработке в соответствии с требованиями ст.7 и ч.1 ст.19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Получающая Сторона имеет право привлекать третьих лиц к обработке полученных персональных данных в предусмотренных настоящим Соглашением целях без дополнительного согласия передающей Стороны при условии обеспечения указанными третьими лицами конфиденциальности и безопасности персональных данных при обработке.

Получающая Сторона обязана по запросу передающей Стороны предоставить сведения о привлекаемых к обработке персональных данных третьих лицах, а также сведения о том, какие персональные данные, каких субъектов и в каких целях были переданы третьим лицам.
Одна Сторона обязуется возместить другой Стороне убытки в размере причиненного и документально подтвержденного реального ущерба, причиненного потерпевшей Стороне вследствие осуществления виновной Стороной неправомерной передачи персональных данных в адрес потерпевшей Стороны или нарушения виновной Стороной конфиденциальности и (или) безопасности передаваемых потерпевшей Стороной персональных данных при их обработке.
Настоящее Соглашение вступает в силу с момента его подписания обеими Сторонами и будет действовать бессрочно. Настоящее Соглашение может быть расторгнуто по взаимному соглашению Сторон.

Реквизиты и подписи Сторон:

_________________________________

Приложение № 7

к Положению по организации обработки
и обеспечению безопасности персональных данных

УВЕДОМЛЕНИЕ ОБ УНИЧТОЖЕНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ

В связи с тем, что АО «МЦ «Философия красоты и здоровья» от Вас получен отзыв согласия на обработку персональных данных _____, сообщаем Вам, что в соответствии с Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» обработка Ваших персональных данных в информационных системах

(наименования информационных систем персональных данных)

прекращена. АО «МЦ «Философия красоты и здоровья» уничтожены Ваши персональные данные в сроки, установленные Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных».

«__» _____ 20___ года

ФИО подпись уполномоченного лица

Приложение № 8

к Положению по организации обработки
и обеспечению безопасности персональных данных

Акт № ___ об уничтожении персональных данных

Форма акта

АО «МЦ «Философия красоты и здоровья»
614107, Россия, г.Пермь, ул.КИМ, д.64

«__» _____ 20___г.

п/или
наименование (юридического лица) или фамилия, имя, отчество (при наличии) (физического лица), адрес лица (лиц), осуществляющего (осуществляющих) обработку персональных данных субъекта (субъектов) персональных данных по поручению оператора (если обработка была поручена такому (таким) лицу (лицам)
_____

Комиссия в составе:

Председатель комиссии: ФИО Должность (лицо, ответственное за организацию обработки персональных данных)

Члены комиссии: ФИО Должность (лицо, ответственное за обеспечение безопасности персональных данных в информационных системах персональных данных)

ФИО Должность

провела процедуру уничтожения персональных данных субъектов персональных данных, указанных в Таблице 1, в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», приказом Роскомнадзора от 28.10.2022 № 179 «Об утверждении требований к подтверждению уничтожения персональных данных», а также локальными актами АО «МЦ «Философия красоты и здоровья», регламентирующими порядок обработки и обеспечения безопасности персональных данных.

Таблица 1

№ п/п	ФИО (при наличии) субъекта (субъектов) или иная информация, относящаяся к определенному (определенным) физическому (физическим) лицу (лицам), чьи ПДн были уничтожены	Перечень категорий уничтоженных ПДн субъекта (субъектов) ПДн	Наименование уничтоженного материального (материальных) носителя (носителей), содержащего (содержащих) ПДн количество листов в отношении каждого материального носителя (в случае обработки ПДн без использования средств автоматизации)	Наименование информационной (информационных) системы (систем) ПДн, из которой (которых) были уничтожены ПДн (в случае обработки персональных данных с использованием средств автоматизации)	Способ уничтожения ПДн	Причина уничтожения ПДн	Дата уничтожения ПДн

Дополнительные сведения:

_____

Председатель комиссии: ФИО Подпись

Члены комиссии: ФИО Подпись

ФИО Подпись

Приложение № 9

к Положению по организации обработки
и обеспечению безопасности персональных данных

Форма акта

Акт оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных»

<дата составления акта> <номер акта>

Комиссия АО «МЦ «Философия красоты и здоровья», действующая на основании приказа от <дата приказа> <номер приказа>, в составе

Председатель комиссии: <ФИО> – <Должность Председателя комиссии>

Члены комиссии:

<ФИО> – <Должность члена комиссии>

провела <дата оценки возможного вреда> оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», и установила следующее:

1. Персональные данные субъектов персональных данных обрабатываются в следующих информационных системах АО «МЦ «Философия красоты и здоровья»:
1.1 _____

2. АО «МЦ «Философия красоты и здоровья» осуществляет обработку следующих персональных данных:

персональных данных, предполагающих получение согласия на обработку персональных данных, содержащего положения о предоставлении права осуществлять обработку персональных данных определенному и (или) неопределенному кругу лиц.

Степень вреда, который может быть причинен субъектам персональных данных, — _____.

Председатель комиссии: ФИО Подпись

Члены комиссии: ФИО Подпись

ФИО Подпись

Приложение № 10

к Положению по организации обработки
и обеспечению безопасности персональных данных

Согласие на обработку персональных данных работника

Я, Ф.И.О., полностью, проживающий (ая) по адресу: по месту регистрации, паспорт: серия _____ номер _____ выдан дата выдачи наименование выдавшего органа, в соответствии с требованиями Федерального закона от 27.07.2006 г. «О персональных данных» № 152-ФЗ, своей волей и в своем интересе настоящим выражаю свое согласие на обработку Акционерному обществу «Медицинский центр «Философия красоты и здоровья», зарегистрированному по адресу: 614107, Россия, г.Пермь, ул.КИМ, д.64 (далее – Оператор) моих персональных, включающих:

фамилия, имя, отчество
фамилия, имя, отчество (прежние)
дата рождения
месяц рождения
год рождения
место рождения
семейное положение
социальное положение
доходы
пол
адрес электронной почты
адрес места жительства
адрес регистрации
номер телефона
данные документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета (СНИЛС)
ИНН
гражданство
данные документа, удостоверяющего личность
данные документа, содержащиеся в свидетельстве о рождении
реквизиты банковской карты
номер расчетного счета
номер лицевого счета
профессия
должность
сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации)
отношение к воинской обязанности, сведения о воинском учете
сведения об образовании
сведения о владении иностранными языками
сведения о государственных наградах, иных наградах, поощрениях и знаках отличия
сведения о повышении квалификации
данные свидетельств о государственной регистрации актов гражданского состояния
сведения о составе семьи
данные страхового медицинского полиса обязательного медицинского страхования
сведения о социальных льготах
данные об изображении лица
серия и номер выданного листка нетрудоспособности
подразделение
сведения из сертификата о вакцинации

с целью

Обеспечение соблюдения налогового законодательства РФ
Ведение кадрового и бухгалтерского учета
Подготовка, заключение и исполнение гражданско-правового договора
Расчет и выплата заработной платы, иных вознаграждений, расчет и перечисление налогов и страховых взносов, предоставление работникам дополнительных гарантий, компенсаций и льгот
Содействие работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества
Создание общедоступных источников информационного обеспечения (в том числе справочники, адресные книги, ведение официального сайта организации)

Разрешаю оператору передавать персональные данные, приведенные в настоящем согласии, третьим лицам для осуществления действий по обмену информацией в установленных федеральным законом случаях, а также в: (наименование и адрес организации, в которую разрешается передавать персональные данные)

Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных:

любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение.

Я предупрежден (а), что обработка моих персональных данных осуществляется с использованием бумажных носителей и средств вычислительной техники, с соблюдением конфиденциальности, принципов и правил обработки персональных данных, предусмотренных Федеральным законом от 27 июля 2006 г №152-ФЗ «О персональных данных», а также необходимых правовых, организационных и технических мер, обеспечивающих их защиту от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Настоящее согласие действует с даты подписания настоящего согласия до достижения вышеуказанных целей обработки персональных данных или в течение срока хранения персональных данных в соответствии с законодательством Российской Федерации. Согласие может быть досрочно отозвано путем подачи письменного заявления в адрес Оператора.

Я предупрежден (а), что в случае отзыва согласия на обработку персональных данных, Оператор вправе продолжить обработку персональных данных без согласия при наличии оснований, указанных в пп.2-11 ч.1 ст.6 и ч.2 ст.10 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных».

«__» _____ 20___ года

ФИО подпись

Приложение № 11

к Положению по организации обработки
и обеспечению безопасности персональных данных

Согласие на обработку персональных данных соискателя

фамилия, имя, отчество
дата рождения
адрес электронной почты
адрес места жительства
номер телефона
профессия
должность
сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации)
сведения об образовании
сведения о владении иностранными языками
сведения о государственных наградах, иных наградах, поощрениях и знаках отличия
сведения о повышении квалификации

с целью

Подбор персонала (соискателей) на вакантные должности

Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных:

Настоящее согласие действует с даты подписания настоящего согласия до достижения выше указанных целей обработки персональных данных или в течение срока хранения персональных данных в соответствии с законодательством Российской Федерации. Согласие может быть досрочно отозвано путем подачи письменного заявления в адрес Оператора.

Подробная информация об условиях обработки и защиты персональных данных, обрабатываемых оператором представлена на сайте оператора в сети Интернет: https://medic-group.ru/

«__» _____ 20___ года

ФИО подпись

Приложение № 12

к Положению по организации обработки и обеспечению безопасности персональных данных

Согласие на обработку персональных данных пациента/законного представителя

Я,

Ф.И.О., полностью

проживающий(ая) по адресу: по месту регистрации

паспорт: серия номер выдан дата выдачи

наименование выдавшего органа

в соответствии с требованиями Федерального закона от 27.07.2006 г. «О персональных данных» № 152-ФЗ, своей волей и в своем интересе настоящим выражаю свое согласие на обработку Акционерному обществу «Медицинский центр «Философия красоты и здоровья», зарегистрированному по адресу: 614107, Россия, г.Пермь, ул.КИМ, д.64 (далее – Оператор) моих персональных, включающих:

фамилия, имя, отчество;
пол;
дата рождения;
возраст;
место рождения;
гражданство;
данные документа, удостоверяющего личность;
место жительства;
место регистрации;
дата регистрации;
данные об изображении лица (фотография, видеозапись);
страховой номер индивидуального лицевого счета, принятый в соответствии с законодательством
Российской Федерации об индивидуальном (персонифицированном) учете в системе обязательного
пенсионного страхования;
номер полиса обязательного медицинского страхования застрахованного лица;
номер полиса добровольного медицинского страхования;
сведения об организации, оказавшей медицинские услуги;
вид оказанной медицинской помощи;
факт обращения гражданина за оказанием медицинской помощи, условия оказания медицинской помощи;
сроки оказания медицинской помощи;
объем оказанной медицинской помощи; результат обращения за медицинской помощью;
серия и номер выданного листка нетрудоспособности;
сведения об оказанных медицинских услугах;
примененные стандарты медицинской помощи;
сведения о медицинском работнике или медицинских работниках, оказавших медицинскую услугу;
номер телефона;
адрес электронной почты;
состояние здоровья и диагноз

с целью надлежащего оказания медицинских услуг, предусмотренных договором, осуществление прямых контактов с потенциальным потребителем с помощью средств связи.

(наименование и адрес организации, в которую разрешается передавать персональные данные)

Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных: любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение.

В процессе оказания Оператором мне медицинской помощи я предоставляю право медицинским работникам передавать мои персональные данные, содержащие сведения, составляющие врачебную тайну, другим должностным лицам Оператора, в интересах моего обследования и лечения при условии, что их обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну.

Я предупрежден(а), что обработка моих персональных данных осуществляется с использованием бумажных носителей и средств вычислительной техники, с соблюдением конфиденциальности, принципов и правил обработки персональных данных, предусмотренных Федеральным законом от 27 июля 2006 г №152-ФЗ «О персональных данных», а также необходимых правовых, организационных и технических мер, обеспечивающих их защиту от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Настоящее согласие действует с даты подписания настоящего согласия до достижения выше указанных целей обработки персональных данных или в течение срока хранения персональных данных в соответствии с законодательством Российской Федерации. Согласие может быть досрочно отозвано путем подачи письменного заявления в адрес Оператора.

Я предупрежден(а), что в случае отзыва согласия на обработку персональных данных, Оператор вправе продолжить обработку персональных данных без согласия при наличии оснований, указанных в пп.2-11 ч.1 ст.6 и ч.2 ст.10 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных».

«__» _____ 20___ года

ФИО _______________________

подпись ___________________

Приложение № 13

к Положению по организации обработки и обеспечению безопасности персональных данных

Согласие на обработку cookies (Предупреждение о сборе статистики)

Сайт https://medic-group.ru/ использует сервис веб-аналитики Яндекс Метрика, предоставляемый компанией ООО «ЯНДЕКС», 119021, Россия, Москва, ул. Л. Толстого, 16 (далее — Яндекс).

Сервис Яндекс Метрика использует технологию «cookie» — небольшие текстовые файлы, размещаемые на компьютере пользователей с целью анализа их пользовательской активности.

Собранная при помощи cookie поможет нам улучшить работу нашего сайта.

Вы можете отказаться от использования cookies, выбрав соответствующие настройки в браузере. Также вы можете использовать инструмент — https://yandex.ru/support/metrika/general/opt-out.html. Однако это может повлиять на работу некоторых функций сайта. Используя этот сайт, вы соглашаетесь на обработку cookies файлов.

Настоящее согласие действует с момента его предоставления и в течение всего периода использования Сайта.

Приложение № 14

к Положению по организации обработки и обеспечению безопасности персональных данных

Согласие на обработку персональных данных посетителя сайта

Я, действуя своей волей и в своем интересе, выражаю согласие в соответствии с требованиями Федерального закона от 27.07.2006 г. «О персональных данных» № 152-ФЗ, своей волей и в своем интересе настоящим подтверждаю свое согласие на обработку Акционерному обществу «Медицинский центр «Философия красоты и здоровья», зарегистрированному по адресу: 614107, Россия, г.Пермь, ул.КИМ, д.64 моих персональных, включающих:

фамилия, имя, отчество
номер телефона
адрес электронной почты
дата рождения
место жительства

с целью получения информации о маркетинговых событиях, проведение аудита и прочих внутренних исследований с целью повышения качеств предоставляемых услуг.

(наименование и адрес организации, в которую разрешается передавать персональные данные)

Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных: любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение.

Я предупрежден(а), что обработка моих персональных данных осуществляется с использованием бумажных носителей и средств вычислительной техники, с соблюдением конфиденциальности, принципов и правил обработки персональных данных, предусмотренных Федеральным законом от 27 июля 2006 г №152-ФЗ «О персональных данных», а также необходимых правовых, организационных и технических мер, обеспечивающих их защиту от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Настоящее согласие действует с даты подписания настоящего согласия до достижения цели обработки персональных данных или в течение срока хранения персональных данных в соответствии с законодательством Российской Федерации. Согласие может быть досрочно отозвано путем подачи письменного заявления в адрес Оператора.

Я предупрежден(а), что в случае отзыва согласия на обработку персональных данных, Оператор вправе продолжить обработку персональных данных без согласия при наличии оснований, указанных в пп.2-11 ч.1 ст.6 и ч.2 ст.10 Федерального закона от 27 июля 2006 г. №152-ФЗ «О персональных данных».

«__» _____ 20____ года

ФИО

подпись

Приложение № 15

к Положению по организации обработки и обеспечению безопасности персональных данных

Форма согласия на обработку персональных данных, разрешённых для распространения работником

Фамилия, имя, отчество (при наличии) субъекта персональных данных
Контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных)
Сведения об операторе: Акционерное общество «Медицинский центр «Философия красоты и здоровья», зарегистрированному по адресу: 614107, Россия, г.Пермь, ул.КИМ, д.64, д.57, стр.2, пом.11 (ИНН 5906064411, ОГРН 1055903435422)
Сведения об информационных ресурсах оператора: https://medic-group.ru, https://ok.ru/group/68872036810797, https://t.me/me_filosophi59, https://vk.com/filosophiakrasoty_perm.
Цель (цели) обработки персональных данных: Создание общедоступных источников информационного обеспечения (в том числе справочники, адресные книги, ведение официального сайта организации)

6. Категории и перечень персональных данных

Категория персональных данных	Перечень персональных данных	Условия и запреты*
Персональные Данные (общие)	фамилия, имя, отчество	* указанное поле заполняется по желанию субъекта персональных данных без ограничений со стороны оператора, осуществляющего обработку персональных данных(Не запрещено/Запрещено: не запрещено/запрещено/не запрещено, с условиями (сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение):
	адрес электронной почты
	номер телефона
	должность
	сведения об образовании
	данные об изображении лица
	год рождения
	сведения о государственных наградах, иных наградах, поощрениях и знаках отличия
Сведения о повышении квалификации

8. Условия, при которых полученные персональные данные могут передаваться оператором, осуществляющим обработку персональных данных, только по внутренней сети, обеспечивающей доступ к информации лишь для строго определенных работников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных (заполняется по желанию субъекта персональных данных):

9. Срок действия согласия: до достижения цели распространения или в течение срока хранения персональных данных в соответствии с законодательством Российской Федерации. Согласие на обработку персональных данных может быть отозвано в любой момент по моему письменному заявлению.

Я подтверждаю, что, давая такое согласие, я действую по собственной воле и в своих интересах.

«__» _____ 20___ года

ФИО

подпись

Приложение № 16

к Положению по организации обработки и обеспечению безопасности персональных данных

Форма согласия на обработку персональных данных, разрешённых для распространения пациентом/законным представителем

Фамилия, имя, отчество (при наличии) субъекта персональных данных
Контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных)
Сведения об операторе: Акционерное общество «Медицинский центр «Философия красоты и здоровья», зарегистрированному по адресу: 614107, Россия, г.Пермь, ул.КИМ, д.64, д.57, стр.2, пом.11 (ИНН 5906064411, ОГРН 1055903435422)
Сведения об информационных ресурсах оператора: https://medic-group.ru, https://ok.ru/group/68872036810797, https://t.me/me_filosophi59, https://vk.com/filosophiakrasoty_perm.
Цель (цели) обработки персональных данных: Размещение (публикация) фото- и видеоматериалов в сети Интернет, в том числе соц. сетях, интернет-видеоканалах, а кроме того, на телеканалах, на бумажных носителях (афиши, плакаты, журналы тематической направленности и др.)

6. Категории и перечень персональных данных

Категория персональных данных	Перечень персональных данных	Условия и запреты*
Персональные Данные (общие)	фамилия, имя, отчество	*указанное поле заполняется по желанию субъекта персональных данных без ограничений со стороны оператора, осуществляющего обработку персональных данных(Не запрещено/Запрещено: не запрещено/запрещено/не запрещено, с условиями (сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение):
	пол
	дата рождения
	возраст
	данные об изображении лица (фотография, видеозапись)
	сведения о медицинской организации, оказавшей медицинскую помощь
	виды оказанной медицинской помощи
	условия оказания медицинской помощи
	сроки оказания медицинской помощи
	объемы оказанной медицинской помощи
	стоимость оказанной медицинской помощи
	профиль оказания медицинской помощи
	сведения о медицинском работнике или медицинских работниках, оказавших медицинскую помощь
Специальные категории персональных данных	сведения о состоянии здоровья

Я подтверждаю, что, давая такое согласие, я действую по собственной воле и в своих интересах.

«__» _____ 20___ года

ФИО

подпись

Приложение №17

к Положению по организации обработки и обеспечению безопасности персональных данных

Цели обработки персональных данных

№	Цель обработки данных	Перечень персональных данных	Категории субъектов, персональные данные которых обрабатываются	Способы обработки	Правовое основание обработки персональных данных
1	Ведение кадрового и бухгалтерского учета	фамилия, имя, отчество фамилия, имя, отчество (прежние) дата рождения месяц рождения год рождения место рождения семейное положение социальное положение доходы пол адрес электронной почты адрес места жительства адрес регистрации номер телефона данные документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета (СНИЛС) ИНН гражданство данные документа, удостоверяющего личность данные документа, содержащиеся в свидетельстве о рождении реквизиты банковской карты номер расчетного счета номер лицевого счета профессия должность сведения о трудовой деятельности (включая стаж работы, данные о трудовой занятости) отношение к воинской обязанности, сведения о воинском учете сведения об образовании сведения о владении иностранными языками сведения о государственных наградах, иных наградах, поощрениях и знаках отличия сведения о повышении квалификации данные свидетельств о государственной регистрации актов гражданского состояния сведения о составе семьи данные страхового медицинского полиса обязательного медицинского страхования сведения о социальных льготах данные об изображении лица серия и номер выданного листка нетрудоспособности подразделение сведения из сертификата о вакцинации	работники уволенные работники родственники работников	сбор запись систематизация накопление хранение уточнение (обновление, изменение) извлечение использование передача (предоставление, доступ) блокирование удаление уничтожение	обработка персональных данных осуществляется с согласия субъекта персональных данных обработка необходима для достижения целей, предусмотренных международным договором или законом ст.65, 66, 66.1, 67, 136 Трудового кодекса РФ п.9 Постановления Правительства РФ от 27.11.2006 № 719 приказ Минграда России от 20.04.2022 № 2234 постановление Госкомстата РФ от 05.01.2004 №1 приказ Росархива от 20.12.2019 № 236 иные федеральные законы
2	Обеспечение соблюдения трудового законодательства РФ	фамилия, имя, отчество дата рождения место рождения доходы пол адрес электронной почты адрес места жительства адрес регистрации номер телефона данные документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета (СНИЛС) ИНН гражданство данные документа, удостоверяющего личность реквизиты банковской карты номер расчетного счета номер лицевого счета профессия должность сведения о трудовой деятельности отношение к воинской обязанности, сведения о воинском учете сведения об образовании сведения о владении иностранными языками сведения о государственных наградах, иных наградах, поощрениях и знаках отличия сведения о повышении квалификации	работники уволенные работники	сбор запись систематизация накопление хранение уточнение (обновление, изменение) извлечение использование передача (предоставление, доступ) блокирование удаление уничтожение	обработка необходима для достижения целей, предусмотренных законом ст.65, 66, 66.1, 67, 136 Трудового кодекса РФ п.9 Постановления Правительства РФ от 27.11.2006 № 719 приказ Минтруда России от 20.04.2022 № 223н постановление Гокомстата РФ от 05.01.2004 №1 приказ Росархива от 20.12.2019 № 236 иные федеральные законы
3	Обеспечение соблюдения налогового законодательства РФ	фамилия, имя, отчество дата рождения место рождения доходы пол адрес электронной почты адрес места жительства адрес регистрации данные документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета (СНИЛС) ИНН гражданство данные документа, удостоверяющего личность реквизиты банковской карты номер расчетного счета номер лицевого счета профессия должность сведения о трудовой деятельности сведения о составе семьи сведения о социальных льготах сведения о пенсиях на льготных условиях по старости	работники уволенные работники контрагенты представители контрагентов пациенты	сбор запись систематизация накопление хранение уточнение (обновление, изменение) извлечение использование передача (предоставление, доступ) блокирование удаление уничтожение	обработка осуществляется с согласия субъекта обработка необходима для достижения целей, предусмотренных законом ст.208 и ст.209 НК РФ ст.65, 66, 66.1, 67, 136 Трудового кодекса РФ п.9 Постановления Правительства РФ от 27.11.2006 № 719 приказ Минтруда России от 20.04.2022 № 223н постановление Госкомстата РФ от 05.01.2004 №1 приказ Росархива от 20.12.2019 № 236 иные федеральные законы
4	Обеспечение соблюдения судебного законодательства РФ	фамилия, имя, отчество дата рождения место рождения семейное положение социальное положение имущественное положение доходы пол адрес электронной почты адрес места жительства адрес регистрации номер телефона данные документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета (СНИЛС) ИНН гражданство данные документа, удостоверяющего личность данные водительского удостоверения данные документа, удостоверяющего личность за пределами Российской Федерации данные документа, содержащиеся в свидетельстве о рождении реквизиты банковской карты номер расчетного счета номер лицевого счета профессия должность сведения о трудовой деятельности отношение к воинской обязанности, сведения о воинском учете сведения об образовании сведения о владении иностранными языками сведения о государственных наградах, иных наградах, поощрениях и знаках отличия сведения о повышении квалификации данные свидетельств о государственной регистрации актов гражданского состояния сведения о составе семьи данные страхового медицинского полиса обязательного медицинского страхования сведения о социальных льготах сведения о пенсиях на льготных условиях по старости (по возрасту) данные об изображении лица серия и номер выданного листка нетрудоспособности	работники родственники работников уволенные работники контрагенты представители контрагентов пациенты законные представители	сбор запись систематизация накопление хранение уточнение (обновление, изменение) извлечение использование передача (предоставление, доступ) блокирование удаление уничтожение	обработка необходима для достижения целей, предусмотренных законом ст.101, 109 Семейного кодекса РФ ст.98 Федерального закона от 02.10.2007 № 229-ФЗ «Об исполнительном производстве» приказ Росархива от 20.12.2019 № 236 иные федеральные законы
5	Обеспечение соблюдения пенсионного законодательства РФ	фамилия, имя, отчество дата рождения место рождения доходы пол адрес электронной почты адрес места жительства адрес регистрации данные документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета (СНИЛС) ИНН гражданство данные документа, удостоверяющего личность реквизиты банковской карты номер расчетного счета номер лицевого счета профессия должность сведения о трудовой деятельности сведения о составе семьи сведения о социальных льготах	работники уволенные работники	сбор запись систематизация накопление хранение уточнение (обновление, изменение) извлечение использование передача (предоставление, доступ) блокирование удаление уничтожение	обработка необходима для достижения целей, предусмотренных законом Федеральный закон от 15.12.2001 N 166-ФЗ «О государственном пенсионном обеспечении в Российской Федерации» Федеральный закон от 16 июля 1999 г. N 165-ФЗ «Об основах обязательного социального страхования» ст.9 Федерального закона от 01.04.1996 N 27-ФЗ «Об индивидуальном (персонифицированном) учете в системах обязательного пенсионного страхования и обязательного социального страхования» иные федеральные законы
6	Обеспечение соблюдения законодательства РФ в сфере здравоохранения	фамилия, имя, отчество пол дата рождения возраст место рождения гражданство данные документа, удостоверяющего личность место жительства место регистрации дата регистрации данные об изображении лица (фотография, видеозапись) страховой номер индивидуального лицевого счета (СНИЛС) номер полиса обязательного медицинского страхования номер полиса добровольного медицинского страхования сведения об организации, оказавшей медицинские услуги вид оказанной медицинской помощи факт обращения гражданина за оказанием медицинской помощи, условия оказания медицинской помощи сроки оказания медицинской помощи объем оказанной медицинской помощи результат обращения за медицинской помощью серия и номер выданного листка нетрудоспособности сведения об оказанных медицинских услугах примененные стандарты медицинской помощи сведения о медицинском работнике или медицинских работниках, оказавших медицинскую услугу номер телефона адрес электронной почты состояние здоровья и диагноз	работники пациенты законные представители	сбор запись систематизация накопление хранение уточнение (обновление, изменение) извлечение использование передача (предоставление, доступ) блокирование удаление уничтожение	обработка необходима для достижения целей, предусмотренных законом обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов Федеральный закон от 21 ноября 2011 г. № 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации" Федеральный закон от 29 ноября 2010 г. N 326-ФЗ "Об обязательном медицинском страховании в Российской Федерации" Постановление Правительства РФ от 4 октября 2012 г. N 1006 гражданско-правовой договор оказания платных медицинских услуг иные федеральные законы
7	Подготовка, заключение и исполнение гражданско-правового договора	фамилия, имя, отчество дата рождения адрес электронной почты адрес места жительства адрес регистрации номер телефона данные документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета (СНИЛС) ИНН гражданство данные документа, удостоверяющего личность реквизиты банковской карты номер расчетного счета номер лицевого счета должность сведения о трудовой деятельности сведения о составе семьи	работники контрагенты представители контрагентов	сбор запись систематизация накопление хранение уточнение (обновление, изменение) извлечение использование передача (предоставление, доступ) блокирование удаление уничтожение	обработка осуществляется с согласия субъекта обработка необходима для достижения целей, предусмотренных законом обработка необходима для исполнения договора Гражданский кодекс Российской Федерации иные федеральные законы
8	Обоснование соблюдения страхового законодательства РФ	фамилия, имя, отчество дата рождения место рождения доходы пол адрес электронной почты адрес места жительства адрес регистрации данные документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета (СНИЛС) ИНН гражданство данные документа, удостоверяющего личность данные документа, содержащиеся в свидетельстве о рождении реквизиты банковской карты номер расчетного счета номер лицевого счета профессия должность сведения о трудовой деятельности сведения о составе семьи сведения о социальных льготах сведения о пенсиях на льготных условиях по старости (по возрасту) данные страхового медицинского полиса обязательного медицинского страхования	работники родственники работников контрагенты представители контрагентов	сбор запись систематизация накопление хранение уточнение (обновление, изменение) извлечение использование передача (предоставление, доступ) блокирование удаление уничтожение	ст.11 Федерального закона от 01.04.1996 № 27-ФЗ Приказ ФСС РФ от 08.04.2022 № 119 приказ Росархина от 20.12.2019 № 236 иные федеральные законы
9	Подбор персонала (соискателей) на вакантные должности	фамилия, имя, отчество дата рождения адрес электронной почты адрес места жительства номер телефона профессия должность сведения о трудовой деятельности сведения об образовании сведения о владении иностранными языками сведения о государственных наградах, иных наградах, поощрениях и знаках отличия сведения о повышении квалификации	соискатели	сбор запись систематизация накопление хранение уточнение (обновление, изменение) извлечение использование передача (предоставление, доступ) блокирование удаление уничтожение	обработка осуществляется с согласия субъекта
10	Обеспечение своевременного рассмотрения обращений граждан и уполномоченных органов	фамилия, имя, отчество дата рождения данные документа, удостоверяющего личность адрес электронной почты адрес места жительства номер телефона	граждане, направившие обращение	сбор запись систематизация накопление хранение уточнение (обновление, изменение) извлечение использование передача (предоставление, доступ) блокирование удаление уничтожение	обработка необходима для достижения целей, предусмотренных законом Федеральный закон от 02.05.2006 г. № 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации" ФЗ «Об оперативно-розыскной деятельности» ФЗ «О полиции» иные федеральные законы
11	Расчет и выплата заработной платы, налогов и страховых взносов	фамилия, имя, отчество дата рождения доходы пол адрес электронной почты адрес места жительства адрес регистрации номер телефона данные документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета (СНИЛС) ИНН гражданство данные документа, удостоверяющего личность реквизиты банковской карты номер расчетного счета номер лицевого счета должность сведения о трудовой деятельности сведения о социальных льготах сведения о пенсиях на льготных условиях по старости	работники родственники работников контрагенты представители контрагентов	сбор запись систематизация накопление хранение уточнение (обновление, изменение) извлечение использование передача (предоставление, доступ) блокирование удаление уничтожение	обработка осуществляется с согласия субъекта обработка необходима для достижения целей, предусмотренных законом обработка необходима для исполнения договора Трудовой кодекс РФ Трудовой договор Налоговый кодекс РФ Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете» иные федеральные законы
12	Содействие работникам в трудоустройстве, образовании и обеспечении безопасности	фамилия, имя, отчество дата рождения место рождения семейное положение социальное положение имущественное положение доходы пол адрес электронной почты адрес места жительства адрес регистрации номер телефона данные документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета (СНИЛС) ИНН гражданство данные документа, удостоверяющего личность данные водительского удостоверения данные документа, удостоверяющего личность за пределами Российской Федерации данные документа, содержащиеся в свидетельстве о рождении реквизиты банковской карты номер расчетного счета номер лицевого счета профессия должность сведения о трудовой деятельности отношение к воинской обязанности, сведения о воинском учете сведения об образовании сведения о владении иностранными языками сведения о государственных наградах, иных наградах, поощрениях и знаках отличия сведения о повышении квалификации данные свидетельств о государственной регистрации актов гражданского состояния сведения о составе семьи данные страхового медицинского полиса обязательного медицинского страхования данные полиса добровольного медицинского страхования сведения о социальных льготах сведения о пенсиях на льготных условиях по старости (по возрасту) данные об изображении лица серия и номер выданного листка нетрудоспособности сведения об ограничениях по состоянию здоровья	работники	сбор запись систематизация накопление хранение уточнение (обновление, изменение) извлечение использование передача (предоставление, доступ) блокирование удаление уничтожение	обработка осуществляется с согласия субъекта обработка необходима для достижения целей, предусмотренных законом Трудовой кодекс РФ Трудовой договор Налоговый кодекс РФ Федеральный закон от 06.12.2011 № 402-ФЗ "О бухгалтерском учете" иные федеральные законы
13	Осуществление прямых контактов с потенциальным потребителем	фамилия, имя, отчество номер телефона адрес электронной почты	посетители сайта пациенты	сбор запись систематизация накопление хранение уточнение (обновление, изменение) извлечение использование передача (предоставление, доступ) блокирование удаление уничтожение	обработка осуществляется с согласия субъекта
14	Надлежащее оказание медицинских услуг	фамилия, имя, отчество пол дата рождения возраст место рождения гражданство данные документа, удостоверяющего личность место жительства место регистрации дата регистрации данные об изображении лица (фотография, видеозапись) страховой номер индивидуального лицевого счета (СНИЛС) номер полиса обязательного медицинского страхования номер полиса добровольного медицинского страхования сведения об организации, оказавшей медицинские услуги вид оказанной медицинской помощи факт обращения гражданина за оказанием медицинской помощи, условия оказания медицинской помощи сроки оказания медицинской помощи объем оказанной медицинской помощи результат обращения за медицинской помощью серия и номер выданного листка нетрудоспособности сведения об оказанных медицинских услугах примененные стандарты медицинской помощи сведения о медицинском работнике или медицинских работниках, оказавших медицинскую услугу номер телефона адрес электронной почты состояние здоровья и диагноз	пациенты законные представители	сбор запись систематизация накопление хранение уточнение (обновление, изменение) извлечение использование передача (предоставление, доступ) блокирование удаление уничтожение	обработка необходима для достижения целей, предусмотренных законом обработка необходима для защиты жизни, здоровья или иных жизненно важных интересов обработка необходима для исполнения договора Федеральный закон от 21 ноября 2011 г. № 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации" Федеральный закон от 29 ноября 2010 г. N 326-ФЗ "Об обязательном медицинском страховании в Российской Федерации" Постановление Правительства РФ от 4 октября 2012 г. N 1006 гражданско-правовой договор иные федеральные законы
15	Получение информации о маркетинговых событиях, проведение аудита	фамилия, имя, отчество номер телефона адрес электронной почты дата рождения место жительства	Посетители сайта	сбор запись систематизация накопление хранение уточнение (обновление, изменение) извлечение использование передача (предоставление, доступ) блокирование удаление уничтожение	обработка осуществляется с согласия субъекта
16	Размещение фото- и видеоматериалов в сети Интернет и СМИ	фамилия, имя, отчество пол дата рождения возраст данные об изображении лица (фотография, видеозапись) сведения о состоянии здоровья сведения о медицинской организации, оказавшей медицинскую помощь виды оказанной медицинской помощи условия оказания медицинской помощи сроки оказания медицинской помощи объемы оказанной медицинской помощи стоимость оказанной медицинской помощи профиль оказания медицинской помощи сведения о медицинском работнике или медицинских работниках, оказавших медицинскую помощь	Пациенты Законные представители	сбор запись систематизация накопление хранение уточнение (обновление, изменение) извлечение использование передача (предоставление, доступ) блокирование удаление уничтожение распространение	обработка осуществляется с согласия субъекта
17	Создание общедоступных источников информационного обеспечения	фамилия, имя, отчество адрес электронной почты номер телефона должность сведения об образовании данные об изображении лица год рождения сведения о государственных наградах, иных наградах, поощрениях и знаках отличия сведения о повышении квалификации	работники	сбор запись систематизация накопление хранение уточнение (обновление, изменение) извлечение использование передача (предоставление, доступ) блокирование удаление уничтожение распространение	обработка осуществляется с согласия субъекта осуществляется обработка персональных данных, подлежащих опубликованию ч. 1 п. 7 ст. 79 Федерального закона от 21 ноября 2022 года № 323-ФЗ Приказ Министерства здравоохранения РФ от 30 декабря 2014 г. N 956н иные федеральные законы

Приложение № 18

к Положению по организации обработки и обеспечению безопасности персональных данных

План мероприятий по контролю обеспечения информационной безопасности АО «МЦ «Философия красоты и здоровья» (проект)

1. Контроль соблюдения требований законодательства в области персональных данных

№ п/п	Мероприятие	Основание	Ожидаемый результат	Примечание
1.1 Оценка вреда и соответствия требованиям
1.1	Проведение (актуализация) оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения 152-ФЗ, соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных 152-ФЗ	п.18.1.1 (5) 152-ФЗ	Акт оценки вреда	Проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения 152-ФЗ, соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных 152-ФЗ
1.2 Контроль целей обработки данных
1.2	Контроль за соблюдением обязательных требований при обработке персональных данных, включая проверку совместимости с целями сбора данных и соответствие содержания и объема данных заявленным целям обработки	ч. 2 ст. 5 152-ФЗ ч. 5 ст. 5 152-ФЗ	Отчет о внутренней проверке, план устранения несоответствий	Ежегодно запрашивать наличие изменений целей обработки персональных данных у бизнес-подразделений организовывающих процессы обработки персональных данных. В случае необходимости изменений состава целей или содержания обработки – необходимо уведомить ответственное лицо.
1.3 Контроль обработки и согласий
1.3	Контроль за соблюдением обязательных требований по обработке персональных данных, включая случаи предусмотренные Федеральным законом "О персональных данных", нераскрытие третьим лицам и нераспространение данных без согласия субъекта, а также включение или исключение данных из общедоступных источников с согласия или по требованию субъекта или решению уполномоченных органов, а также требований по предоставлению и содержанию доказательств получения согласия субъекта персональных данных на обработку, включая указание оснований, требования к содержанию письменного согласия, наличие согласия на распространение, который должен быть отдельно оформлен от других согласий на обработку персональных данных	ч 1 ст. 6 152-ФЗ ст 7. 152-ФЗ ч. 1 ст. 8 152-ФЗ ч. 2 ст. 8 152-ФЗ ч. 3 ст. 9 152-ФЗ ч. 4 ст. 9 152-ФЗ Ч. 1 ст. 10.1 52-ФЗ Приказ Роскомнадзора от24.02.2021 N 18 "Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения"	Отчет о внутренней проверке, план устранения несоответствий	В целях осуществления контроля организуется проведение периодических проверок условий обработки персональных данных, О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, руководителю компании докладывает ответственный за организацию обработки персональных данных.
1.4 Прекращение передачи данных и исполнение требований субъектов
1.4	Контроль за соблюдением обязательных требований по прекращению передачи данных, ранее разрешенных субъектом персональных данных для распространения по требованию субъекта и исполнению его требований об уточнении, блокировании или уничтожении неполных, устаревших, неточных, незаконно полученных данных или данных, которые не необходимы для заявленной цели обработки	Ч. 14 ст. 10.1 152-ФЗ Ч. 1. Ст.14 152-ФЗ	Отчет о внутренней проверке, план устранения несоответствий	Проверка журнала на наличие фиксации проведения процедур блокирования, уничтожения, изменения, прекращения передачи персональных данных субъекта персональных данных
1.5 Публикация информации об условиях обработки
1.5	Контроль за соблюдением обязательных требований по опубликованию информации об условиях обработки и наличии запретов на обработку персональных данных неограниченным кругом лиц, разрешённых для распространения субъектом данных	ч. 10 ст. 10.1 152-ФЗ	Отчет о внутренней проверке, план устранения несоответствий	Проверка факта опубликования информации об условиях обработки и наличия запретов, полноты необходимых сведений и регулярности проведения данных процедур
1.6 Трансграничная передача данных
1.6	Контроль за соблюдением обязательных требований по трансграничной передаче персональных данных, включая уведомление уполномоченного органа о намерении осуществить такую передачу до начала деятельности, получение необходимых сведений от соответствующих органов и лиц до подачи уведомления, невыполнение передачи на территории иностранных государств, до получения сведений предусмотренных частью 5 статьи 12 Федерального Закона о персональных данных, за исключением ситуаций, когда это необходимо для защиты жизни, здоровья или иных важных интересов субъектов данных, а также обеспечение уничтожения переданных данных по решению уполномоченного органа.	ч. 3 ст. 12 152-ФЗ ч. 5 ст. 12 152-ФЗ ч. 11 ст. 12 152-ФЗ ч. 14 ст. 12 152-ФЗ	Отчет о внутренней проверке, план устранения несоответствий	Проведение внутренней проверки, изучение актуальной информации по процессу трансграничной передачи персональных данных. В случае обнаружения недостающей информации или каких-либо нарушений необходимо сообщить руководителю.
1.7 Обеспечение хранения данных на территории РФ
1.7	Контроль за соблюдением обязательных требований по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, при сборе персональных данных	ч. 5 ст. 18 152-ФЗ	Отчет о внутренней проверке, план устранения несоответствий	Проведение внутренней проверки на предмет соответствия всем требованиям по обеспечению записи, систематизации, хранения, обновления, изменения и извлечения персональных данных. В случае выявления недостатков необходимо сообщить руководителю.
1.8 Публикация политики обработки данных
1.8	Контроль за соблюдением обязательных требований по опубликованию или обеспечению неограниченного доступа к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных	ч. 2 ст. 18.1 152-ФЗ	Отчет о внутренней проверке, план устранения несоответствий	Проверка документа, определяющего политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных, на фактическое обеспечение неограниченного доступа.
1.9 Обработка обращений субъектов
1.9	Организация обработки обращений субъектов персональных данных	ст. 14 152-ФЗ	Отчет о внутренней проверке, план устранения несоответствий	Проверка возможности субъекту персональных данных направить обращение к оператору в письменном виде или через средства электронной почты с подтверждением электронной подписью.
1.10 Мониторинг законодательства
1.10	Мониторинг законодательства в области персональных данных	152-ФЗ	Отчет о внутренней проверке, план устранения несоответствий	Регулярный мониторинг законодательства в области персональных данных на предмет изменений, в случае внесение изменений в законодательство необходимо отразить эти правки в организации защиты персональных данных.
1.11 Внутренние проверки
1.11	Проведение внутренней проверки (контроля) процессов обработки и обеспечения безопасности персональных данных	ч. 18.1 ч. 4 152-ФЗ	Отчет о внутренней проверке, план устранения несоответствий	Внутренняя проверка (контроль) должна содержать плановые и внеплановые проверки. Проверка состоит из следующих этапов: – подготовка к проведению проверки; – сбор свидетельств проверки; – анализ соответствия контрольным параметрам; – подготовка заключения по проверке
1.12-1.15 Обучение персонала
1.12	Организация ознакомления работников, обрабатывающих персональные данные, с положениями законодательства в сфере персональных данных (закрепленных в локальных нормативных актах)	п.18.1.1 (6) 152-ФЗ	Работники осуществляют ознакомление под подпись	Организация ознакомления работников, обрабатывающих персональные данные с положениями законодательства в сфере персональных данных
1.13	Доведение до персонала положений законодательства в сфере защиты информации, в том числе персональных данных		Доведение до персонала положений законодательства в сфере защиты персональных данных
1.14	Доведение до персонала положений внутренних нормативных документов по защите информации		Доведение до персонала положений внутренних нормативных документов по защите информации
1.15	Проверка осведомленности персонала в сфере защиты информации			Устный опрос, письменное тестирование, имитация действий злоумышленника

2. Эксплуатация средств криптографической защиты информации

№ п/п	Мероприятие	Основание	Ожидаемый результат	Примечание
2.1	Определение обязанностей работников, организующих и осуществляющих работу с СКЗИ	п.18 приказа № 1528	Внести дополнения в должностные инструкции	Проверка должностных инструкций на соответствие обязанностей работников требуемым
2.2	Определение и контроль перечня лиц, допущенных к работе с СКЗИ	п.19 приказа № 152	Приказ об утверждении перечня лиц, допущенных к работе с СКЗИ	Проверка разработанных локально нормативных актов, регулирующих разграничение доступа к СрЗИ
2.3	Проведение обучения работников, допущенных к работе с СКЗИ	п.21 приказа № 152	Работники обучены, имеются подтверждающие обучение документы	Проверка документов, подтверждающих прохождение обучения работников, допущенными к работе с СКЗИ
2.4	Организация пожземплярного учета СКЗИ	п.26 приказа № 152	Ведется учет в соответствии с утвержденными правилами	Проверка журнала пожземплярного учета СКЗИ
2.5	Организация учета и выдачи носителей ключевой информации	п.26 приказа № 152	Ведется учет и выдача в соответствии с утвержденными правилами	Проверка журнала учета и выдачи носителей ключевой информации
2.6	Определение правил доступа в помещения в рабочее и нерабочее время, а также в нештатных ситуациях	п.6 (б) приказа № 3789	Утвержденные правила доступа	Проверка локально нормативного акта, регулирующего правила доступа в помещение в рабочее и нерабочее время, а также в нештатных ситуациях
2.7	Определение/актуализация перечня лиц, имеющих право доступа в помещения	п.6 (в) приказа № 378	Приказ об утверждении перечня лиц	Проверка и по необходимости актуализация локально нормативного акта, регулирующего разграничение доступа в помещения
2.8	Организация хранения и учета документов по поставке СКЗИ, эксплуатационной документации на СКЗИ, актов ввод СКЗИ в эксплуатацию, сертификатов на используемые СКЗИ	п.9 (в) приказа № 378	Осуществляется хранение и ведется учет в соответствии с утвержденными правилами	Проверка наличия документов по поставке СКЗИ, эксплуатационной документации на СКЗИ, актов ввод СКЗИ в эксплуатацию, сертификатов на используемые СКЗИ, а также условий хранения этих документов.

3. Контроль физического доступа

№ п/п	Мероприятие	Основание	Исполнитель	Срок исполнения	Ожидаемый результат	Примечание
3.1	Осмотр помещения с коммутационным оборудованием на предмет несанкционированного доступа					Визуальный осмотр
3.2	Выборочный осмотр рабочих мест пользователей (компьютеров) на предмет несанкционированного доступа					Визуальный осмотр

4. Система защиты персональных данных

№ п/п	Мероприятие	Основание	Исполнитель	Срок исполнения	Ожидаемый результат	Примечание
4.1	Контроль за поддержанием модели угроз в актуальном состоянии					Регулярная проверка модели угроз на возникновение причин для её изменения. Проверки на необходимость изменения модели угроз: а)мониторинг законодательства и анализ изменений; б) запрос в отдел по информационным технологиям (IT) об изменении или отсутствии изменений в архитектуры и условиях функционирования; в)регулярные тестирования на проникновение; г)контроль Банка данных угроз ФСТЭК России отделом по информационным технологиям (IT).

5. Контроль эффективности системы защиты информации

№ п/п	Мероприятие	Примечание
5.1	Контроль актуальности антивирусных баз	Проверка и актуализация (обновление) антивирусных баз
5.2	Тестирование на проникновение	Тестирование на проникновение должно содержать этапы внешнего и внутреннего тестирования, включать вектор социальной инженерии. а также реализацию первого этапа в режиме «черный ящик», после которого следует исследование инфраструктуры в режиме «серый ящик».
5.3	Контроль корректной работы функционала по фильтрации трафика межестевого экрана	Браузер, командная строка. В качестве межестевого экрана выступает устройство, фактически выполняющее данную функцию.
5.4	Контроль корректности разграничения прав доступа к ресурсам	Визуальный осмотр
5.5	Контроль актуальности баз уязвимостей	Визуальный осмотр
5.6	Контроль базовой конфигурации и настроек средств защиты информации	Визуальный осмотр

6. Контроль программного обеспечения и технических средств

№ п/п	Мероприятие	Примечание
6.1	Контроль отсутствия у пользователей на рабочих местах средств разработки и технологий интерпретации мобильного кода (кроме пользователей, которым это необходимо для выполнения своих должностных обязанностей)	Ручной выборочный контроль
6.2	Контроль наличия необходимых обновлений безопасности общесистемного и прикладного программного обеспечения	Ручной выборочный контроль
6.3	Контроль отсутствия подключенных к инфраструктуре посторонних технических средств	Сканер безопасности, ручной выборочный контроль

7. Контроль доступа

№ п/п	Мероприятие	Основание	Исполнитель	Срок исполнения	Ожидаемый результат	Примечание
7.1	Заведение, удаление учетных записей пользователей. Контроль прав доступа					Проверка наличия функций создания, удаления учетных записей, а также наделения, лишения и изменения полномочий пользователей на доступ к ресурсам
7.2	Мониторинг учетных записей на предмет выявления неблокированных временных учетных записей или учетных записей уволенных работников					Еженедельная проверка учетных записей пользователей на предмет незаблокированных временных учетных записей или учетных записей, принадлежащих уволенным работникам

8. Отказоустойчивость

№ п/п	Мероприятие	Основание	Исполнитель	Срок исполнения	Ожидаемый результат	Примечание
8.1	Резервное копирование информации					Штатными средствами операционной системы
8.2	Контроль целостности или тестирование резервных копий					Проверка работоспособности функций контроля целостности, сравнение хэш-сумм копии и оригинала, установка электронной подписи или проверка регулярного проведения тестирования резервных копий, восстановление на тестовом окружении

9. Контроль и поддержка при реализации мероприятий

№ п/п	Мероприятие	Основание	Исполнитель	Срок исполнения	Ожидаемый результат	Примечание
9.1	Контроль своевременности и полноты реализации мероприятий согласно настоящему Плану			Ежеквартально	Ежеквартально формируется промежуточный отчет о выполнении мероприятий, по итогам года – итоговый отчет о выполнении мероприятий.
9.2	Поддержка при реализации мероприятий согласно Плану			На протяжении всего периода		По запросам от участников процесса

Руководитель проекта: ________________________

Дата составления: "__" ___________ 20__ г.

Приложение № 19

к Положению по организации обработки и обеспечению безопасности персональных данных

Протокол о результатах проведения внутренней проверки

1. Внутренняя проверка проведена на основании приказа «О проведении внутренней проверки в АО «МЦ «Философия красоты и здоровья» от 20__ г.

2. Проверка проводилась по адресу:

3. В ходе проверки были проведены следующие мероприятия:

4. Результат проведения мероприятия:

Председатель

Члены комиссии

Приложение № 20

к Положению по организации обработки и обеспечению безопасности персональных данных

План мероприятий по устранению нарушений, выявленных в результате проведения внутренней проверки режима обработки и защиты персональных данных в АО «МЦ «Философия красоты и здоровья»

№ п/п	Мероприятие по устранению нарушений	Мероприятие, при выполнении которого выявлены нарушения	Запланированная дата проведения
1
2
3

Приложение № 21

к Положению по организации обработки и обеспечению безопасности персональных данных

Отчет о выполнении плана проведения внутренних проверок

В целях выполнения требований Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» комиссией по осуществлению внутреннего контроля соответствия обработки персональных данных в АО «МЦ «Философия красоты и здоровья» требованиям, установленным Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами (далее – Комиссия) было организовано проведение мероприятий (внутренних проверок), выполнение которых позволяет оценить соответствие обработки персональных данных в АО «МЦ «Философия красоты и здоровья» требованиям Федерального закона «О персональных данных» и принятыми в соответствии с ним нормативным правовым актам, Политике в отношении обработки персональных данных в АО «МЦ «Философия красоты и здоровья» и иным локальным актам АО «МЦ «Философия красоты и здоровья», а также своевременно выявить и предотвратить нарушения законодательства Российской Федерации в сфере персональных данных.

Мероприятия проводились в соответствии с планом проведения внутренних проверок режима обработки и защиты персональных данных в АО «МЦ «Философия красоты и здоровья», утвержденным .

Таблица №1 Результаты проведения контрольных мероприятий

№ п/п	Наименование мероприятия	Периодичность	Планируемая дата	Фактическая дата	Исполнитель	Результат проверки	Мероприятия по устранению нарушений
1
2

Председатель

Члены комиссии

Политика обработки персональных данных

Оглавление

1. Общие положения и область применения

1.1. Цель

1.2. Задачи

1.3. Область применения

1.4. При разработке настоящего Положения использовались следующие законодательные, нормативные правовые акты

1.5. Сокращения, аббревиатуры и термины:

2. Цели обработки персональных данных

3. Условия обработки персональных данных

4. Порядок допуска к работе с персональными данными

5. Передача персональных данных и поручение обработки персональных данных

6. Порядок взаимодействия с субъектами персональных данных

7. Порядок взаимодействия с уполномоченным органом по защите прав субъектов персональных данных

8. Защита персональных данных

9. Хранение и уничтожение персональных данных

10. Требования к помещениям, в которых осуществляется обработка персональные данные

11. Осуществление внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных

12. Ответственность

Приложение № 1

Обязательство о неразглашении конфиденциальной информации (персональных данных)

Приложение № 2

ЖУРНАЛ УЧЕТА2

Приложение № 3

ЖУРНАЛ УЧЕТА3

Приложение № 3.1

ПЛАН ОБУЧЕНИЯ

Приложение № 4

ЖУРНАЛ УЧЕТА5

Приложение № 5

СОГЛАШЕНИЕ О ПОРУЧЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Приложение № 6

СОГЛАШЕНИЕ О ПЕРЕДАЧЕ ПЕРСОНАЛЬНЫХ ДАННЫХ7

Приложение № 7

УВЕДОМЛЕНИЕ ОБ УНИЧТОЖЕНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Приложение № 8

Акт № ___ об уничтожении персональных данных

Таблица 1

Дополнительные сведения:

Приложение № 9

Форма акта

Акт оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных»

Приложение № 10

Согласие на обработку персональных данных работника

Приложение № 11

Согласие на обработку персональных данных соискателя

Приложение № 12

Согласие на обработку персональных данных пациента/законного представителя

Приложение № 13

Согласие на обработку cookies (Предупреждение о сборе статистики)

Приложение № 14

Согласие на обработку персональных данных посетителя сайта

Приложение № 15

Форма согласия на обработку персональных данных, разрешённых для распространения работником

6. Категории и перечень персональных данных

Приложение № 16

Форма согласия на обработку персональных данных, разрешённых для распространения пациентом/законным представителем

6. Категории и перечень персональных данных

Приложение №17

Цели обработки персональных данных

Приложение № 18

План мероприятий по контролю обеспечения информационной безопасности АО «МЦ «Философия красоты и здоровья» (проект)

Приложение № 19

Протокол о результатах проведения внутренней проверки

Приложение № 20

Приложение № 21

Отчет о выполнении плана проведения внутренних проверок

Таблица №1 Результаты проведения контрольных мероприятий

ЖУРНАЛ УЧЕТА²

ЖУРНАЛ УЧЕТА³

ЖУРНАЛ УЧЕТА⁵

СОГЛАШЕНИЕ О ПЕРЕДАЧЕ ПЕРСОНАЛЬНЫХ ДАННЫХ⁷