ПОЛИТИКА открытого акционерного общества «Санаторий «Озёрный» в отношении обработки персональных данных.
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Политика открытого акционерного общества «Санаторий «Озёрный» (далее также - Оператор, Санаторий или Организация) в отношении обработки персональных данных отдыхающих, клиентов Санатория (далее Политика) разработана в соответствии с Законом Республики Беларусь от 07.05.2021 № 99-3 «О защите персональных данных» (далее - Закон о защите персональных данных) и иными актами законодательства Республики Беларусь, а также Уставом Организации в целях обеспечения защиты прав и свобод человека при обработке его персональных данных. Политика разъясняет субъектам персональных данных, каким образом и для каких целей их персональные данные собираются, используются или иным образом обрабатываются, а также отражает имеющиеся в связи с этим у субъектов персональных данных права и механизм их реализации.
1.2. Политика является локальным правовым актом Санатория, регламентирующим отношения, связанные с защитой персональных данных при их обработке, осуществляемой: с использованием средств автоматизации; без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и др.).
1.3. Организация уделяет особое внимание защите персональных данных при их обработке и с уважением относится к соблюдению прав субъектов персональных данных. Обработка персональных данных осуществляется Организацией как Оператором в соответствии с Законом о защите персональных данных и настоящей Политикой с учетом особенностей обработки персональных данных, входящих в состав охраняемой законом врачебной тайны, осуществляемой в соответствии с законодательством о здравоохранении.
1.4.Действие Политики не распространяется: на обработку персональных данных работников, соискателей на трудоустройство, обратившихся лиц, подрядчиков, контрагентов, представителей контрагентов, обучающихся, слушателей, посетителей Организации; на обработку персональных данных гостей, проживающих в гостевых домах 4, 5, 6 (пользователей услуг, не являющихся гостями), потенциальных гостей, клиентов (в том числе обращающихся на сайте, в иных интернет-ресурсах Организации), законных представителей гостей, клиентов; на обработку файлов куки; на отношения, касающиеся случаев обработки персональных данных физическими лицами в процессе исключительно личного, семейного, домашнего и иного подобного их использования, не связанного с профессиональной или предпринимательской деятельностью.
1.5.В Политике используются основные термины и их определения в значении, определенном статьей 1 Закона о защите персональных данных.
1.6.В Политике также используются следующие понятия в значении: сайт Оператора / Организации - интернет-ресурс https://ozerny.by/; https:// https://sviatskipalac.by/; иные интернет-ресурсы Организации аккаунты в социальных сетях: Инстаграм: instagram.com/sanozerny/; instagram.com/sviatskipalac /; Фейсбук: facebook.com/sanozerny2003; facebook.com/sviatskipalac; Вконтакте: vk.com/sanatorijozerny; vk.com/sviatski_palac; Ютуб: www.youtube.com/@СанаторийОзерный-ч8р; www.youtube.com/@sviatskipalac; ТикТок: www.tiktok.com/@sanozerny; Телеграм-канал: t.me/sanozerny; Viber: invite.viber.com/?g2=AQBVWogf08OsWkvpF2IG%2FVtWV4auq8ptfZ0iVb5bT3LbBDalIqe8mS%2B5Vq6FHH0Z;
услуги платные услуги, оказываемые Организацией отдыхающим и клиентам Санатория: услуги по санаторно-курортному оздоровлению и лечению (с медицинской программой /оказанием медицинских услуг/ или без медицинских услуг); медицинские консультации и услуги; иные услуги, оказываемые Организацией;
отдыхающий физическое лицо, имеющее намерение заказать (приобрести) и получить услуги по санаторно-курортному оздоровлению и лечению (по путевке) в Санатории и связанные с оздоровлением услуги для себя лично и / или сопровождающих его лиц, либо заказывающее (бронирующее, приобретающее) такие услуги, либо получающее услуги для себя лично, сопровождающих его лиц, либо получившее их ранее, заключающее (заключившее) договор возмездного оказания услуг с Организацией либо в отношении которого заключен такой договор; под отдыхающим также понимается физическое лицо в возрасте шестнадцати лет и старше, проживающее в Санатории по путевке и получающее связанные с оздоровлением услуги;
несовершеннолетний отдыхающий - отдыхающий в возрасте до шестнадцати лет, являющийся потребителем услуг Санатория по санаторно-курортному оздоровлению и лечению (по путевке), в интересах которого его родитель, иной законный представитель имеет намерение заказать или заказывает для него такие услуги, а равно несовершеннолетний отдыхающий, который получает или ранее получил такие услуги Организации; согласие на обработку персональных данных несовершеннолетнего отдыхающего в возрасте до шестнадцати лет дает один из его родителей или иных законных представителей;
клиент физическое лицо, имеющее намерение заказать (приобрести) и получить услуги Санатории (за исключением услуг по санаторно-курортному оздоровлению и лечению /по путевке/) для себя лично и / или сопровождающих его лиц, либо заказывающее (бронирующее, приобретающее) такие услуги, либо получающее услуги для себя лично, сопровождающих его лиц, либо получившее их ранее, заключающее (заключившее) договор возмездного оказания услуг с Организацией либо в отношении которого заключен такой договор; под клиентом также понимается физическое лицо в возрасте шестнадцати лет и старше, получающее услуги Санатория (за исключением услуг по санаторно¬курортному оздоровлению и лечению);
несовершеннолетний клиент - клиент в возрасте до шестнадцати лет, являющийся потребителем услуг Санатория (за исключением услуг по санаторно-курортному оздоровлению и лечению /по путевке/), в интересах которого его родитель, иной законный представитель имеет намерение заказать или заказывает для него такие услуги, а равно несовершеннолетний клиент, который получает или ранее получил такие услуги Организации; согласие на обработку персональных данных несовершеннолетнего клиента в возрасте до шестнадцати лет дает один из его родителей или иных законных представителей;
законный представитель - родитель, усыновитель (удочеритель), опекун, попечитель несовершеннолетнего отдыхающего или клиента в возрасте до шестнадцати лет, имеющий намерение заказать, или заказывающий, или получающий, или получивший для несовершеннолетнего гостя услуги Санатория, заключающий (заключивший) договор возмездного оказания услуг с Санаторием;
работник - физическое лицо, состоящее в трудовых отношениях с Организацией на основании заключенного трудового договора (контракта); исключительно для целей настоящей Политики под работниками условно понимаются также лица, оказывающие Организации по гражданско- правовому договору услуги, выполняющие работы, обучающиеся, проходящие практику в Организации;
субъекты персональных данных в данной Политике: отдыхающие Санатория, клиенты Санатория, потенциальные отдыхающие, клиенты (в том числе обращающиеся на сайте, в иных интернет-ресурс ах Организации), законные представители отдыхающих, клиентов.
1.7. Юридическим лицом, которое осуществляет обработку персональных данных, является Открытое акционерное общество «Санаторий «Озёрный», юридический и почтовый адрес: 231753, Гродненская область, Гродненский район, агрогородок Озёры, ОАО «Санаторий «Озёрный», телефон/факс 8-0152- 798-500/ 798-550, УНП 590833407.
1.8. Политика вступает в силу с момента утверждения и распространяет действие на обработку персональных данных субъектов, указанных в пункте 1.6. Политики.
1.9. Во исполнение требований пункта 4 статьи 17 Закона о защите персональных данных Политика является общедоступным документом, размещается для свободного доступа в Организации, а также в сети Интернет на сайте Организации и предусматривает возможность ознакомления с Политикой любых лиц.
1.10. Организация как Оператор вправе при необходимости в одностороннем порядке вносить в Политику изменения и дополнения с последующим размещением новой редакции Политики в общедоступном месте в Организации (ее структурных подразделениях) и на сайте Организации. Субъекты самостоятельно получают в Организации на сайте Организации информацию об изменениях Политики.
2. ЦЕЛИ, ОБЪЕМ, ПРАВОВЫЕ ОСНОВАНИЯ И СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1.Цели обработки персональных данных в Организации основываются на требованиях законодательства, осуществляемой Организацией деятельности, реализуемых бизнес- и иных процессах, положениях договоров.
2.2.2.2.Организация осуществляет обработку персональных данных субъектов персональных данных в целях, объеме (перечне), на правовых основаниях и в сроки, определенные в Реестре обработки персональных данных (приложение к настоящей Политике, являются неотъемлемой частью Политики).
3. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ОПЕРАТОРОМ
3.1.Обработка персональных данных Оператором: осуществляется в соответствии с требованиями законодательства Республики Беларусь как с использованием средств автоматизации, так и без использования таких средств; осуществляется с учетом необходимости обеспечения защиты прав и свобод субъектов персональных данных на законной и справедливой основе; ограничивается достижением конкретных, заранее определенных и законных целей, установленных в реестрах обработки персональных данных. При обработке персональных данных:
обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных; Оператором принимаются необходимые меры по удалению или уточнению неполных или неточных персональных данных;
не допускаются: обработка персональных данных, несовместимая с целями сбора персональных данных, установленными в Реестрах обработки персональных данных; объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой; избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки.
3.2.Обработка персональных данных Оператором осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных статьями 6 и 8 Закона о защите персональных данных и иными законодательными актами (то есть при наличии иных правовых оснований обработки).
3.3.Согласие субъекта персональных данных представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает Организации обработку своих персональных данных. Форма и содержание согласия на обработку персональных данных разрабатываются Организацией с учетом конкретных целей обработки персональных данных (при отсутствии иных правовых оснований обработки персональных данных). До получения согласия Организация предоставляет субъекту информацию, предусмотренную пунктом 5 статьи 5 Закона о защите персональных данных, в письменной или электронной форме, соответствующей форме выражения согласия, отдельно от иной предоставляемой ему информации.
3.4.Согласие на обработку персональных данных:
3.4.1. предоставляется субъектом Организации в письменной форме путем собственноручного подписания согласия раздельно на несвязанные между собой цели обработки персональных данных; согласие может быть отозвано в письменной форме путем подачи в Организацию соответствующего заявления;
3.4.2. может предоставляться субъектом Организации в электронной форме посредством проставления соответствующей отметки («галочки»), подтверждающей согласие, на сайте Организации, раздельно на несвязанные между собой цели обработки персональных данных; там же на сайте согласие может быть отозвано субъектом в электронной форме.
3.5.Субъект персональных данных при даче своего согласия Оператору: в письменном виде указывает свои фамилию, имя, отчество, дату согласия и ставит подпись; в электронном виде - в объеме, предусмотренном регистрационной формой.
3.6.Обработка персональных данных в Организации осуществляется только работниками, которые в соответствии со своей трудовой функцией непосредственно осуществляют обработку персональных данных в Организации, и иными лицами, допущенными к обработке персональных данных в установленном порядке.
3.7.Работники Организации и иные лица, непосредственно осуществляющие обработку персональных данных, а также получившие доступ к персональным данным, обрабатываемым Организацией, обязаны выполнять требования законодательства о защите персональных данных и локальных правовых актов Организации в сфере обеспечения защиты персональных данных.
3.8.Организация вправе поручить обработку персональных данных уполномоченному лицу на основании договора, при этом: уполномоченное лицо обязано соблюдать требования к обработке персональных данных, предусмотренные Законом о защите персональных данных и иными актами законодательства; ответственность перед субъектом персональных данных за действия уполномоченного лица несет Организация как Оператор; уполномоченное лицо несет ответственность перед Организацией как Оператором.
3.9.Уполномоченными лицами, осуществляющими обработку персональных данных отдыхающих, клиентов по поручению Организации как Оператора на основании договоров, могут быть юридические лица, индивидуальные предприниматели, оказывающие услуги Организации:
по распространению (размещению в сети Интернет и на сайте Организации) информационных и рекламных материалов;
по изготовлению рекламных материалов:
по экскурсионному и / или транспортному обслуживанию;
услуги хостинга;
услуги по предоставлению и обслуживанию программного обеспечения.
3.10. Обработка персональных данных Организацией осуществляется путем:
получения персональных данных в устной или письменной форме непосредственно от субъектов персональных данных;
получения персональных данных от третьих лиц в порядке, установленном законодательством, а также в соответствии с договорами;
получения персональных данных из общедоступных источников;
обработки персональных данных в информационных ресурсах (системах), базах данных, реестрах, журналах и других документах Организации;
использования иных предусмотренных законодательством способов обработки персональных данных.
3.11. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено законодательством.
3.12. Передача персональных данных государственным органам и организациям, в том числе правоохранительным органам и судам, а также иным организациям и учреждениям осуществляется в соответствии с требованиями законодательства Республики Беларусь (без согласия субъекта персональных данных при наличии правовых оснований предоставления, в иных случаях с согласия субъекта).
3.13. Оператор осуществляет обработку, в том числе хранение персональных данных, не дольше, чем этого требуют цели обработки персональных данных. Определенный срок обработки персональных данных может быть установлен законодательством Республики Беларусь, договором, согласием субъекта персональных данных. Конкретные сроки обработки персональных данных, в том числе их хранения, отражаются для каждой цели обработки в Реестрах обработки персональных данных.
3.14. Обработка персональных данных прекращается при наступлении одного или нескольких из указанных событий (если отсутствуют иные правовые основания для обработки, предусмотренные Законом о защите персональных данных и иными законодательными актами):
поступление от субъекта персональных данных в установленном порядке отзыва согласия на обработку его персональных данных;
поступление от субъекта персональных данных в установленном порядке требования о прекращении обработки его персональных данных и (или) их удалении;
достижение целей обработки персональных данных;
истечение срока действия согласия субъекта персональных данных;
истечение срока хранения персональных данных;
обнаружение неправомерной обработки персональных данных;
по требованию Национального центра защиты персональных данных (НЦЗПД);
ликвидация Организации.
3.15. Хранение персональных данных осуществляется Оператором в соответствии с требованиями законодательства о защите персональных данных: документы на бумажных и иных материальных носителях, содержащие персональные данные, хранятся в помещениях и местах, позволяющих исключить к ним доступ посторонних лиц;
документы в электронной форме, содержащие персональные данные, хранятся в информационной системе Организации с обязательным использованием паролей доступа, ограничением и разграничением доступа;
документы в электронном виде, содержащие персональные данные, также хранятся в облачном хранилище, защита которого обеспечивается собственником (владельцем, управляющим) данным интернет-ресурсом, с использованием паролей доступа.
3.17. Документы на бумажных и иных материальных носителях, содержащие персональные данные, а также персональные данные в электронной форме после прекращения обработки персональных данных уничтожаются / удаляются (блокируются) в соответствии с требованиями законодательства о защите персональных данных, иными актами законодательства и локальными правовыми актами Организации.
4. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ОБЯЗАННОСТИ ОПЕРАТОРА ПО ИХ РЕАЛИЗАЦИИ
4.1. Субъект персональных данных имеет право:
4.4.1 в любое время без объяснения причин отозвать свое согласие на обработку персональных данных;
4.1.2. требовать бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для их обработки, предусмотренных Законом о защите персональных данных и иными законодательными актами;
4.1.3. получать информацию, касающуюся обработки своих персональных данных (при этом не должен обосновывать свой интерес к запрашиваемой информации), содержащую:
наименование и место нахождения Организации;
подтверждение факта обработки персональных данных Организацией (уполномоченным им лицом);
его персональные данные и источник их получения;
правовые основания и цели обработки персональных данных;
срок, на который дано его согласие;
наименование и место нахождения уполномоченного лица, которое является государственным органом, иной организацией, если обработка персональных данных поручена такому лицу;
иную информацию, предусмотренную законодательством;
4.1.4. требовать внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными (с приложением соответствующих документов и (или) их заверенных в установленном порядке копий, подтверждающих необходимость внесения изменений в персональные данные);
4.1.5. получать информацию о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно, если иное не предусмотрено Законом о защите персональных данных и иными законодательными актами.
4.2.Субъект персональных данных также имеет право обжаловать действия (бездействие) и принятые Организацией решения, нарушающие его права при обработке персональных данных, в НЦЗПД как уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц; принятое НЦЗПД по защите прав субъектов персональных данных решение может быть обжаловано субъектом персональных данных в суд в порядке, установленном законодательством.
4.3.Субъект персональных данных для реализации прав, предусмотренных статьями 10-13 Закона о защите персональных данных и пунктом 4.1. Политики, подает в Организацию заявление в письменной форме, оформленное в соответствии со статьей 14 Закона о защите персональных данных, на почтовый адрес, указанный в пункте 1.7: Политики. Законодательными актами может быть предусмотрена обязательность личного присутствия субъекта персональных данных и предъявления документа, удостоверяющего личность, при подаче им заявления Оператору в письменной форме.
4.4.Заявление субъекта персональных данных о реализации его прав должно содержать: его персональные данные - фамилию, собственное имя, отчество (если таковое имеется), адрес его места жительства (места пребывания), дату рождения, идентификационный номер (при отсутствии такого номера - номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия Оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных); изложение сути его требований; его личную подпись.
4.5.За содействием в реализации прав субъект персональных данных может также обратиться к лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных в Организации, в том числе направив сообщение на электронный адрес или обратившись по телефону, указанными в пункте 1.7 Политики.
4.6.Ответ на заявление субъекта персональных данных о реализации его прав, предусмотренных пунктом 4.1. Политики, направляется субъекту персональных данных в форме, соответствующей форме подачи заявления, если в самом заявлении не указано иное.
4.7.Работники Организации, непосредственно осуществляющие обработку персональных данных, обязаны на основании поданного субъектом персональных данных:
4.7.1. заявления об отзыве своего согласия на обработку персональных данных в пятнадцатидневный срок после получения заявления:
в соответствии с содержанием заявления прекратить обработку персональных данных, осуществить их удаление и уведомить об этом субъекта персональных данных, если отсутствуют иные основания для таких действий с персональными данными, предусмотренные Законом о защите персональных данных и иными законодательными актами;
при отсутствии технической возможности удаления персональных данных принять меры по недопущению их дальнейшей обработки, включая их блокирование, и уведомить об этом субъекта персональных данных в тот же срок.
4.7.2. заявления, содержащего требования о бесплатном прекращении обработки своих персональных данных, включая их удаление, в пятнадцатидневный срок после получения заявления:
прекратить обработку персональных данных, а также осуществить их удаление (обеспечить прекращение обработки персональных данных, а также их удаление уполномоченным лицом) и уведомить об этом субъекта персональных данных;
при отсутствии технической возможности удаления персональных данных принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомить об этом субъекта персональных данных в тот же срок;
Оператор вправе отказать субъекту персональных данных в удовлетворении требований о прекращении обработки его персональных данных и (или) их удалении при наличии оснований для обработки персональных данных, предусмотренных Законом о защите персональных данных и иными законодательными актами, в том числе если они являются необходимыми для заявленных целей их обработки, с уведомлением об этом субъекта персональных данных в пятнадцатидневный срок;
4.7.3.заявления о получении информации, касающейся обработки персональных данных, в течение пяти рабочих дней после его получения, если иной срок не установлен законодательными актами, предоставить субъекту персональных данных в доступной форме эту информацию, либо уведомить его о причинах отказа в ее предоставлении; информация, указанная в подпункте 4.1.3. пункта 4.1. Политики, не предоставляется субъекту персональных данных в случаях, предусмотренных частью 3 статьи 11 Закона о защите персональных данных;
4.7.4.заявления, содержащего требования о внесении изменений в свои персональные данные, в пятнадцатидневный срок после его получения внести соответствующие изменения в персональные данные и уведомить об этом субъекта персональных данных либо уведомить его о причинах отказа во внесении таких изменений, если иной порядок внесения изменений в персональные данные не установлен законодательными актами;
4.7.5.заявления о получении информации о предоставлении своих персональных данных третьим лицам в пятнадцатидневный срок после его получения предоставить субъекту персональных данных информацию о том, какие его персональные данные и кому предоставлялись в течение года, предшествовавшего дате подачи заявления, либо уведомить субъекта персональных данных о причинах отказа в ее предоставлении; указанная информация может не предоставляться в случаях, предусмотренных пунктом 3 статьи 11 Закона о защите персональных данных, а также если обработка персональных данных осуществляется в соответствии с законодательством об исполнительном производстве, при осуществлении правосудия и организации деятельности судов общей юрисдикции.
5. ОБЯЗАННОСТИ ОПЕРАТОРА И МЕРЫ, ПРИНИМАЕМЫЕ ОПЕРАТОРОМ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1.Оператор обязан:
5.1.1. разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
5.1.2. получать согласие субъекта персональных данных на их обработку, за исключением случаев, предусмотренных Законом о защите персональных данных и иными законодательными актами (при наличии иных правовых оснований обработки);
5.1.3. до получения согласия субъекта персональных данных в письменной либо электронной форме, соответствующей форме выражения такого согласия, предоставить субъекту персональных данных информацию, содержащую: наименование и место нахождения Оператора, получающего согласие субъекта персональных данных; цели обработки персональных данных; перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; срок, на который дается согласие субъекта персональных данных; информацию об уполномоченных лицах в случае, если обработка персональных данных будет осуществляться такими лицами; перечень действий с персональными данными, на совершение которых дается согласие субъекта персональных данных, общее описание используемых Оператором способов обработки персональных данных; иную информацию, необходимую для обеспечения прозрачности процесса обработки персональных данных;
5.1.4. до получения согласия субъекта персональных данных простым и ясным языком разъяснить субъекту персональных данных его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия; эта информация должна быть предоставлена Оператором субъекту персональных данных в письменной либо электронной форме, соответствующей форме выражения его согласия, отдельно от иной предоставляемой ему информации;
5.1.5. обеспечивать защиту персональных данных в процессе их обработки;
5.1.6. в случае необходимости изменения первоначально заявленных целей обработки персональных данных получить согласие субъекта персональных данных на обработку его персональных данных в соответствии с измененными целями обработки персональных данных при отсутствии иных оснований для такой обработки, предусмотренных Законом о защите персональных данных и иными законодательными актами.
5.1.7. принимать меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновлять их;
5.1.8. предоставлять субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных Законом о защите персональных данных и иными законодательными актами;
5.1.9. вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
5.1.10. прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных Законом о защите персональных данных и иными законодательными актами;
5.1.11. принимать правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.
5.1.12. обеспечить неограниченный доступ, в том числе с использованием сети Интернет, к Политике до начала обработки персональных данных;
5.1.13. уведомлять НЦЗПД о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как Оператору стало известно о таких нарушениях, за исключением случаев, предусмотренных НЦЗПД;
5.1.14.осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию НЦЗПД, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;
5.1.15. исполнять иные требования НЦЗПД об устранении нарушений законодательства о персональных данных;
5.1.17.выполнять иные обязанности, предусмотренные Законом о защите персональных данных и иными законодательными актами.
Приложение к Политике ОАО «Санаторий «Озёрный» в отношении обработки ПД отдыхающих, клиентов ОАО «Санаторий «Озёрный» (далее – Организация)
Реестр обработки ПД (субъект ПД отдыхающие, клиенты (пользователи услуг, не являющиеся отдыхающими), потенциальные отдыхающие, клиенты (в том числе обращающиеся на сайте, в иных интернет-ресурсах Организации), законные представители отдыхающих, клиентов)
Цели обработки ПД | Перечень обрабатываемых ПД | Перечень действий с персональными данными (и категории получателей в случае предоставления) | Правовые основания обработки ПД | Срок хранения ПД |
|---|
Подготовка, заключение, исполнение, изменение, расторжение договора возмездного оказания услуг с Организацией | Фамилия, имя, отчество, адрес регистрации и места жительства, паспортные данные (данные иного документа, удостоверяющего личность), банковские реквизиты (при оплате в безналичной форме), номер телефона, адрес эл. почты, подпись, другая информация, предусмотренная законодательством для заключения и исполнения договора, иная информация, сообщенная субъектом для этой цели | сбор, систематизация, хранение, использование, удаление | без согласия субъекта: абз. 15 ст. 6 Закона «О защите ПД» (далее - Закон): без согласия субъекта «при получении ПД оператором (Организацией) на основании договора, заключенного (заключаемого) с субъектом ПД, в целях совершения действий, установленных этим договором» | 3 года после окончания срока действия договора и проведения налоговыми органами проверки соблюдения налогового законодательства. Если такая проверка не проводилась - 10 лет после окончания срока действия договора (и. 70 Перечня типовых документов.(утв. постановлением Министерства юстиции Республики Беларусь от 24.05.2012 № 140 (далее Перечень № 140)) (п. 94 Перечня документов Национального архивного фонда Республики Беларусь, образующихся в процессе деятельности государственных органов, иных организаций и индивидуальных предпринимателей по здравоохранению, физической культуре и спорту, туризму, с указанием сроков хранения (приложение к приказу Департамента по архивам и делопроизводству Министерства юстиции Республики Беларусь от 01.04.2019 № 11, далее - Перечень в здравоохранении) |
Онлайн бронирование | Фамилия, имя, отчество, гражданство, номер телефона, адрес эл. почты | сбор, систематизация, хранение, использование, удаление | без согласия субъекта: абз. 15 ст. 6 Закона | 3 года после окончания срока действия договора и проведения налоговыми органами проверки соблюдения налогового законодательства. Если такая проверка не проводилась 10 лет после окончания срока действия договора (п. 70 Перечня № 140) |
Обеспечение ведения бухгалтерского учета (составление первичных учетных и иных документов) | в объеме, предусмотренном законодательством о бухгалтерском учете, необходимом для достижения цели | сбор, систематизация, хранение, использование, удаление | без согласия субъекта: абз. 20 ст. 6 Закона: «в случаях, когда обработка ПД является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами» - ст. 10 Закона «О бухгалтерском учете и отчетности» | 3 года после окончания срока действия договора и проведения налоговыми органами проверки соблюдения налогового законодательства. Если такая проверка не проводилась - 10 лет после окончания срока действия договора /оказания услуг (и. 70, 197 Перечня № 140) |
Оказание медицинских услуг, ведение медицинской документации в письменном виде | Фамилия, имя, отчество, адрес регистрации и места жительства, паспортные данные (данные иного документа, удостоверяющего личность), банковские реквизиты (при оплате в безналичной форме), номер телефона, адрес эл. почты, подпись, другая информация, предусмотренная законодательством для заключения и исполнения договора, сведения о состоянии здоровья, назначенном лечении, иная информация, сообщенная субъектом для этой цели | сбор, систематизация, хранение, использование, удаление | без согласия субъекта при ведении медицинской документации в письменном виде: - обработка специальных ПД о здоровье субъекта - в соответствии с абз. 6 и. 2 ст. 8 Закона: «в целях организации оказания медицинской помощи при условии, что такие персональные данные обрабатываются медицинским, фармацевтическим или иным работником здравоохранения, на которого возложены обязанности по обеспечению защиты ПД и в соответствии с законодатель-ством распространяется обязанность сохранять врачебную тайну» | - Договоры об оказании платных медицинских услуг и документы к ним - 5 лет (после окончания срока действия договора, выделяются к уничтожению по прошествии не менее 3 лет после проведения налоговыми органами проверки соблюдения налогового законодательства; если такая проверка не проводилась - 10 лет после окончания срока действия договора (и. 94 Перечня в здравоохранении) - Книга регистрации договоров об оказании платных медицинских услуг - 5 лет (п. 95 Перечня в здравоохранении) - Журналы регистрации амбулаторных пациентов - 5 лет (п. 53 Перечня в здравоохранении) - Карты больных, лечащихся в физиотерапевтических отделениях (кабинетах) - 1 год (п. 37 Перечня в здравоохранении) - Журналы учета инфекционных заболеваний, пищевых отравлений, осложнений после прививки - 5 лет (и. 64 Перечня в здравоохранении) - Документы об оказании платных медицинских услуг населению (справки, информации, переписка и др.) - 3 года (и. 93 Перечня в здравоохранении) - Стоматологические амбулаторные карты - 25 лет (п. 108 Перечня в здравоохранении) - Дневники учета работы врачей-стоматологов (фельдшеров зубных) - 3 года (п. 107 Перечня в здравоохранении) - Листки ежедневного учета работы врачей- стоматологов (фельдшеров зубных) - 1 год (п. 109 Перечня в здравоохранении) |
Ведение документации о санаторно-курортном лечении и оздоровлении в письменном виде | Фамилия, имя, отчество, адрес регистрации и места жительства, дата рождения, диагноз, рост, вес, индекс массы тела, иные сведения о состоянии здоровья | сбор, систематизация, хранение, использование, удаление | без согласия субъекта: абз. 20 ст. 6, абз. 17 п.2 ст. 8 Закона | - Документы о регистрации отдыхающих в санаторно-курортных и оздоровительных организациях (списки, графики, журналы и др.) - 1 год (и. 431 Перечня в здравоохранении) - Санаторно-курортные карты - 3 года (п. 433 Перечня в здравоохранении) - Санаторно-курортные карты несовершен-нолетних пациентов 10 лет (п. 434 Перечня в здравоохранении) - Санаторно-курортные (процедурные) книжки 3 года (п. 436 Перечня в здравоохранении) - Путевки (обратные талоны к путевкам) на санаторно-курортное лечение и оздоровление - 3 года (п. 437 Перечня в здравоохранении) - Направления (требования) на процедуры - 1 год (п. 438 Перечня в здравоохранении) - Документы о нарушении отдыхающими санаторно-курортного режима (акты, докладные записки, переписка и др.) 3 года (п. 441 Перечня в здравоохранении) |
Оказание медицинских услуг: проведение консультации, установление диагноза (диагностика), назначение процедур (хранение в электронном виде в программном обеспечении на сервере Организации) | Фамилия, имя, отчество, адрес регистрации, адрес проживания, паспортные данные, номер телефона, адрес электронной почты, сведения о состоянии здоровья, назначенном лечении, другая информация, предусмотренная законодательством о здравоохранении для заполнения и ведения медицинской документации, иная информация, сообщенная субъектом для этой цели в объеме данных, предусмотренном формой платежного поручения / иного документа, формируемого банком / системой платежей | сбор, систематизация, хранение, использование, удаление | Согласие субъекта | на период услуг и в течение 3 лет после их прекращения |
Перечисление субъектом денежных средств Организации в качестве оплаты за услуги | Фамилия, имя, отчество, адрес регистрации, адрес проживания, паспортные данные, номер телефона, адрес электронной почты, иная информация, сообщенная субъектом для этой цели в объеме данных, предусмотренном формой платежного поручения / иного документа, формируемого банком / системой платежей | сбор, систематизация, хранение, использование, удаление | без согласия субъекта: абз. 15 ст. 6 Закона | 3 года после окончания срока действия договора и проведения налоговыми органами проверки соблюдения налогового законодательства. Если такая проверка не проводилась 10 лет после окончания срока действия договора (п. 70 Перечня № 140) |
Возврат субъекту денежных средств за неполученные услуги, уведомление об этом | фамилия, имя, отчество; номер паспорта, адрес регистрации, банковские реквизиты, подпись | сбор, систематизация, хранение, использование, удаление | без согласия субъекта: абз. 15 ст. 6 Закона | 3 года после окончания срока действия договора и проведения налоговыми органами проверки соблюдения налогового законода- тельства. Если такая проверка не проводилась - 10 лет после окончания срока действия договора (п. 70 Перечня № 140) |
Заказ услуг, консультации, обратной связи при устном обращении в Организацию по телефону, обратная связь от Организации | фамилия, имя, отчество, номер телефона, иная информация, сообщенная субъектом по своей инициативе для этой цели | сбор, систематизация, хранение, использование (в том числе для обратной связи с субъектом), удаление/блокирование | без согласия субъекта: абз. 15 ст. 6, абз. 6 п. 2 ст. 8 Закона | 3 года с момента последнего обращения в Организацию |
Заказ услуг, консультации, обратной связи на сайте и в иных интернет-ресурсах Организации, обратная связь от Организации | фамилия, имя, отчество, номер телефона, адрес электронной почты, иная информация, сообщенная субъектом по своей инициативе для этой цели | сбор, систематизация, хранение, использование (в том числе для обратной связи с субъектом), удаление/блокирование | без согласия субъекта: абз. 15 ст. 6, абз. 6 п. 2 ст. 8 Закона | 3 года с момента последнего обращения в Организацию |
Создание и ведение базы отдыхающих, клиентов в информационной системе Организации «Умный Санаторий» на сервере Организации, обратная связь Организации с субъектами. Реализация акций и программ лояльности, систем скидок и бонусов | в объеме, собранном при заключении и исполнении договора, иные сведения, предоставленные гостем | сбор, систематизация, хранение, использование, удаление/ блокирование | Согласие субъекта | на период услуг и в течение 3 лет после их прекращения |
Обеспечение коммуникации с субъектом представителей Организации за пределами договора / без договора | Фамилия, имя, отчество, номер телефона, адрес электронной почты | сбор, систематизация, хранение, использование, удаление | Согласие субъекта | на период услуг и в течение 3 лет после их прекращения |
Поздравление отдыхающего с днем рождения | Фамилия, имя, отчество, дата рождения, корпус Санатория, номер проживания | сбор, систематизация, хранение, использование, распространение, удаление | Согласие субъекта | на период услуг |
Получение обратной связи от отдыхающих, клиентов, проведение их опросов, анкетирования с целью улучшения оказания услуг (путем заполнения и предоставления анкет, посредством направления субъектам и получения от них обратной связи, результатов опросов по электронной почте, с использованием мессенджеров, других служб обмена сообщениями) | Фамилия, имя, отчество, номер телефона, адрес электронной почты, информация, предусмотренная в анкете (опросе) | сбор, систематизация, хранение, использование, удаление | Согласие субъекта | на период услуг и в течение 3 лет после их прекращения |
Изготовление с участием субъекта (с его изображением, голосом, иными сообщенными субъектом данными) фото- видео-(аудио) материалов - отзывов субъекта, информационных, новостных, рекламных материалов, записей мероприятий, а также в отношении перечисленных материалов их использование (демонстрация), предо- ставление, распространение (размещение в сети Интернет) на сайте и в других интернет-ресурсах Организации | Изображение (фото-, видео-), голос человека, фамилия, имя, отчество, иные сообщенные субъектом персональные данные | сбор, систематизация, хранение, использование, предоставление, распространение, в том числе в сети Интернет, удаление | Согласие субъекта | на период услуг и в течение 3 лет после их прекращения |
Подготовка и отправка (рассылка) коммерческих предложений, уведомлений (за пределами договора), информационных, новостных и рекламных материалов, в т.н. предложений услуг (на личную электронную почту, на личный телефон с использованием мессенджеров) | Фамилия, имя, отчество, номер телефона, электронная почта | сбор, систематизация, хранение, использование, удаление | Согласие субъекта | на период услуг и в течение 3 лет после их прекращения |
Репост распространенных ранее субъектами ПД постов в социальных сетях и иных интернет-ресурсах | В объеме распространенных ранее ПД | сбор, систематизация, хранение, использование, предоставление, распространение в сети Интернет, удаление | без согласия субъекта: абз. 19 ст. 6 Закона: без согласия субъекта «в отношении р аспр остраненных ранее ПД» | до момента заявления субъектом ПД требований о прекращении обработки распространенных ПД, а также об их удалении при отсутствии иных оснований для обработки ПД |
Осуществление внутреннего контроля за соблюдением законодательства о защите ПД | Фамилия, имя, отчество | сбор, систематизация, хранение, использование, предоставление НЦЗПД, удаление | без согласия субъекта: абз. 20 ст. 6 Закона - ст. 17 Закона о защите ПД | 5 лет (в течение срока давности привлечения к уголовной ответственности по ст. 203-1 УК) |
Оформление согласия на обработку ПД и учет согласий | в соответствии с формой согласия, разработанной в Организации | сбор, систематизация, хранение, использование, удаление | без согласия субъекта: абз. 3 ст. 4, абз. 20 ст. 6 Закона | на период действия согласия и 1 год после окончания срока, на который дается согласие (и. 33-1 Перечня № 140) |
Направление в НЦЗПД уведомлений, информации, связанных с обработкой ПД Оператором | в соответствии с формой уведомления, утв. приказом директора НЦЗПД от 15.11.2021 № 13 «Об уведомлении о нарушениях систем защиты ПД», содержанием запроса НЦЗПД | сбор, систематизация, хранение, использование, предоставление НЦЗПД, удаление | без согласия субъекта: абз. 20 ст. 6 Закона - ст. 16, 18 Закона о защите ПД - п. 8, 26 Положения о Национальном центре защиты ПД (утв. Указом Президента Республики Беларусь от 28.10.2021 № 422) - приказ директора НЦЗПД от 15.11.2021 № 13 «Об уведомле-нии о нарушениях систем защиты ПД» | 3 года |
Предоставление информации в соответствии с требованиями законодательства по запросам / требованиям органов управления здравоохранением и организаций здравоохранения | в соответствии с требованиями законодательства или содержанием запроса | сбор, систематизация, хранение, использование, предоставление заир ашивающему органу, удаление | без согласия субъекта: абз. 20 ст. 6 Закона - ст. 46 Закона «О здравоохранении» | 3 года |
Предоставление информации в соответствии с требованиями законодательства по запросам / требованиям органов внутренних дел | в соответствии с требованиями законодательства или содержанием запроса | сбор, систематизация, хранение, использование, предоставление запрашивающему органу, удаление | без согласия субъекта: абз. 20 ст. 6 Закона - ст. 7, 24 Закона «Об органах внутренних дел Республики Беларусь» - ст. 46 Закона «О здравоохранении» | 3 года |
В процессе видеонаблюдения: - обеспечение общественной безопасности; - контроль за обстановкой в Организации, соблюдением отдыхающими, клиентами, работниками общественного порядка, требований и правил электро- и пожарной безопасности, санитарных требований и правил, иных правил безопасности; - обеспечение охраны помещений (объектов) Организации, сохранности имущества Организации, а также имущества отдыхающих, клиентов, работников, их защита от противоправных посягательств; - обеспечение безопасности и защита отдыхающих, клиентов, работников, поддержание общественного порядка; - контроль за работой с денежными средствами, исключение ошибок при этом, обеспечение сохранности денежных и материальных средств; - обеспечение и поддержание производственнотехнологической, исполнительской и трудовой дисциплины, рационального использования труда работников, контроль за рабочими процессами при работе с отдыхающими, клиентами, материальными средствами, соблюдением работниками требований по охране труда, профилактика и предупреждение производственного травматизма; - предупреждение спорных и конфликтных ситуаций, обеспечение объективности при их разрешении; - предупреждение, предотвращение, выявление и пресечение чрезвычайных ситуаций, происшествий, преступлений, административных и дисциплинарных правонарушений, локализация и минимизация их последствий, оперативное реагирование на эти факты, обеспечение объективности проведения расследования, в процессе видеонаблюдения с аудиозаписью / аудиозаписи: - предупреждение спорных и конфликтных ситуаций, обеспечение объективности при их разрешении; - повышение качества оказываемых услуг; - обеспечение объективности проведения расследования преступлений, админ. и дисциплин право-ний. | видеоизображение, голос человека | сбор, систематизация, хранение, использование, предоставление органу, проводящему расследование, иным органам в соответствии с законодательством, удаление | без согласия субъекта: абз. 20 ст. 6 Закона - п. 12 Указа Президента Республики Беларусь от 28.11.2013 № 527 «О вопросах создания и применения системы видео наблюдения в интересах обеспечения общественного порядка» - постановление Совета Министров Республики Беларусь от 11.12,2012 № 1135 «Об утверждении Положения о применении систем безопасности и систем видеонаблюдения», - постановление Совета Министров Республики Беларусь от 30.12.2013 № 1164 «О критериях отнесения объектов к числу подлежащих обязательному оборудованию средствами системы видео наблюдения за состоянием общественной безопасности» (и. 2, 6 Критериев) - Закон «Об охранной деятельности» | По общему правилу - 30 дней В случаях, если зафиксированы: - нарушения трудовой дисциплины, административные правонарушения, спорные и конфликтные ситуации 1 год - факты травмирования, гибели человека, чрезвычайных ситуаций, происшествий, нарушений общественного порядка, преступлений - 5 лет (в пределах срока давности привлечения к уголовной ответственности) |
СанаторийОзерныйSPA&MEDICAL RESORT