1.1. Настоящее Положениерегламентируется Конституцией Российской Федерации, Федеральным законом«Об информации, информационных технологиях и о защите информации» № 149-ФЗ от 27.07.2006 г., Федеральным законом«О персональных данных»№ 152-ФЗ от 27.07.2006 г. и другими нормативно-правовыми актами.

1.2. Основные понятия,используемые в Положении:
· Санаторий - ООО Лечебно-Оздоровительный Комплекс «Долина Алтая»;
· Субъект персональных данных (Клиент) - физическое лицо, получившее/приобретшее путевки на санаторно-курортное лечение в Санаторий, медицинские и иные услуги, не связанные с лечением;
· Услуги - действия Санатория по размещению Клиентов в объекте размещения, атакже иная деятельность, связанная с размещением и проживанием, лечением,которая включает в себя основные и дополнительные услуги, предоставляемые Клиенту;
· Персональные данные - информация, сохраненная в любом формате, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), которая сама по себе или в сочетании с другой информацией, имеющейся в распоряжении Санатория, позволяет идентифицировать личность Клиента;
· Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение(обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
· Распространение персональных данных - действия,направленные на раскрытие персональных данныхнеопределенному кругу лиц;
· Предоставление персональных данных - действия,направленные на раскрытиеперсональных данных определенному лицу или определенному кругу лиц;
· Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;
· Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

1.3.Настоящим Положением устанавливается порядок обработки персональных данных Клиентов, для которых Санаторием оказывается весь спектр услуг.

1.4.Целью Положения являетсяобеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных.

1.5. Обработка персональных данных осуществляется в целях, непосредственно связанных с деятельностью Санатория:
·оказание санаторно-курортных услуг;
·оказание платных медицинских, оздоровительных услуг;
·оказание платных услуг, не связанных с лечением: транспортные услуги, услуги средств размещения, услуги питания, услуги в сфере сервисного и бытового обслуживания клиентов, услуги по организации физкультурно-оздоровительных, спортивных и культурно-развлекательных мероприятий, экскурсионные услуги, а также иные услуги, одной из Сторон которых является Клиент.
Санаторий собирает персональные данные только в объеме, необходимом для достижения названных целей.

1.6.Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации.

1.7. Настоящее Положениеутверждается генеральным директором и является обязательным для исполнения всеми работниками, имеющими доступ к персональным данным Клиента.

2.1. К персональным данным, сбор и обработку которых осуществляет Санаторий, относятся:
·анкетные и биографические данные (ФИО субъекта персональных данных, дата и место рождения);
·данные документа, удостоверяющего личность;
· адрес места жительства (места регистрации);
· номер контактного телефона;
· адрес электронной почты;
·место работы, должность, образование, трудовой статус;
·№ комнаты, предоставленной для проживания, срок пребывания в Санатории;
·сведения о приобретенной путевке (стоимость, продолжительность, реквизиты);
·данные анамнеза, медицинского обследования (клинического, лабораторного, инструментального), включая, но не ограничиваясь: данные о состоянии здоровья, заболеваниях, случаях обращения за медицинской помощью в медико-профилактических целях, в целях установления медицинского диагноза и оказания медицинских и иных санаторно-курортных услуг;
·страховой номер индивидуального лицевого счета (СНИЛС);
·сведения о диагностических мероприятиях, назначенном и проведённом лечении, данных рекомендациях;
·другая аналогичная информация, на основании которой возможна безошибочная идентификация субъекта персональных данных.

2.2.К документам, содержащим персональные данные Клиентов, относятся:
· анкеты;
· история болезни;
· санаторно-курортная карта;
· санаторно-курортная книжка;
· добровольное информационное согласие на медицинское вмешательство;
· санаторно-курортная путевка;
· обменные путевки, ваучеры, направления на лечение и отдых;
· заявки на бронирование номеров;
· списки отдыхающих, направляемых на экскурсии;
· медицинские журналы, связанные с отпуском лечебных процедур;
· договоры на приобретение санаторно-курортных услуг, иные договоры;
Указанные документы относятся к конфиденциальной информации ограниченного доступа.

2.3.Все персональные данные сотрудники Санатория получают непосредственно от субъекта персональных данных - Клиента.

3.1. Обработка персональных данных Санаторием в интересах Клиентов заключается в любом действии (операции) или совокупности действий(операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение(обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных Клиентов.

3.2. Обработка персональных данных Клиентов ведется методом смешанной обработки.

3.3. К обработке персональных данных Клиентов могут иметь доступ только работники Санатория, допущенные к работе с персональными данными Клиентов.

3.4.Перечень работников Санатория, имеющих доступ к персональным данным Клиентов, определяется приказом генерального директора.

3.5.Персональные данные Клиентов на бумажных носителях хранятся в Службе размещения.

3.6.Персональные данные Клиентов в электронном виде хранятся в локальной компьютерной сети Санатория, в электронных папках и файлах в персональных компьютерах работников, допущенных к обработке персональных данных Клиентов.

4.1. Использование персональных данных Клиентов возможно только в соответствии с целями, определившими их получение.

4.2. При передаче персональных данных Клиентов Санаторий должен соблюдать следующие требования:
· лица, получающие персональные данные Клиентов, должны предупреждаться о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц обеспечения конфиденциальности полученных персональных данных. Данное положение не распространяется в случае обезличивания персональных данных и в отношении общедоступных данных;
· доступ к персональным данным Клиента может быть разрешен только специально уполномоченным лицам, при этом указанные лица имеют право получать только те персональные данные, которые необходимы для выполнения определенных функций;
· персональные данные клиентов не могут передаваться для использования в коммерческих целях без его письменного согласия Клиента;
· персональные данные не могут быть переданы третьей стороне без письменного согласия клиента или его законного представителя, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, предусмотренных законодательством Российской Федерации;
персональные данные Клиентов не должны передаваться по телефону или факсу.

5.1.Санаторий при обработке персональных данных обязано принимать необходимые организационные и технические меры для защиты персональных данных клиентов от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

5.2.Работники Санатория в целях эффективной защиты персональных данных Клиентов обязуются:
· соблюдать порядок получения, учета и хранения персональных данных Клиентов;
·применять технические меры защиты персональных данных, в том числе антивирусную защиту, межсетевые экраны, разграничение прав доступа (пароли), специализированные средства защиты информации от несанкционированного доступа.
5.3.Допуск к персональным данным Клиентов работников Санатория, не имеющих надлежащим образом оформленного доступа, запрещается.
5.4.Документы, содержащие персональные данные Клиентов, хранятся в помещениях Службы размещения, архива, обеспечивающих защиту от несанкционированного доступа.
5.5. Защита доступа к электронным базам данных, содержащим персональные данные Клиентов, обеспечивается:
· использованием лицензионных программных продуктов, предотвращающих несанкционированный доступ третьих лиц к персональным данным Клиентов;
· системой паролей.Пароли устанавливаются системным администратором и сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным Клиентов.
5.6.Копировать и делать выписки персональных данных Клиента разрешается исключительно в служебных целях с письменного разрешения руководителя подразделения.

6.1. Санаторий обязан:
6.1.1. Осуществлять обработку персональных данных Клиентов исключительно в целях оказания услуг Клиентам.
6.1.2.Получать персональные данные Клиента непосредственно у него самого.Если персональные данные Клиента возможно получить только у третьей стороны, то Клиент должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работники Санатория должны сообщить Клиентам о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа клиента дать письменное согласие на их получение.
6.1.3. Не получать и не обрабатывать персональные данные Клиента о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, интимной жизни, за исключением случаев, предусмотренных законом.
6.1.4. Предоставлять доступ к своим персональным данным Клиенту или его законному представителю при обращении либо при получении запроса, содержащего номер основного документа, удостоверяющего личность Клиента или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись Клиента или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации. Сведения о наличии персональных данных должны быть предоставлены Клиенту в доступной форме и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
6.1.5.Ограничивать право Клиента на доступ к своим персональным данным, если:
· обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
· обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
· предоставление персональных данных нарушает конституционные права и свободы других лиц.
6.1.6.Обеспечить хранение и защиту персональных данных Клиента от неправомерного их использования или утраты.

6.1.7. В случае выявления недостоверных персональных данных при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.

6.1.8. В случае подтверждения факта недостоверности персональных данных на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточнить персональные данные и снять их блокирование.

6.1.9.В случае выявления неправомерных действий с персональными данными в срок, не превышающий трех рабочих дней с даты такого выявления, устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, уничтожить персональные данные.Об устранении допущенных нарушений или об уничтожении персональных данных уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

7.1. Клиент имеет право на:
· доступ к информации о самом себе, в том числе содержащей информацию подтверждения факта обработки персональных данных, а также цель такой обработки; способы обработки персональных данных, применяемые Санаторием; сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ; перечень обрабатываемых персональных данных и источник их получения, сроки обработки персональных данных, в том числе сроки их хранения; сведения о том, какие юридические последствия для Клиента может повлечь за собой обработка его персональных данных;
· определение форм и способов обработки его персональных данных;
· ограничение способови форм обработки персональных данных;
· запрет на распространение персональных данных без его согласия;
· изменение, уточнение, уничтожение информации о самом себе;
· обжалование неправомерных действий или бездействий по обработке персональных данных.

8.1.Персональные данные относятся к категории конфиденциальной информации.

8.2.Работники Санатория, получающие доступ к персональным данным, должны обеспечивать конфиденциальность таких данных, не допускать их распространения третьими лицами без согласия Клиентов либо наличия иного законного основания, если иное не предусмотрено законодательством Российской Федерации.

8.3.Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей.

8.4.Лица, имеющие доступ к персональным данным Клиентов, обязаны соблюдать режим конфиденциальности, они должны быть предупреждены о необходимости соблюдения указанного режима. В связи с режимом конфиденциальности информации персонального характера должны предусматриваться соответствующие меры безопасности для защиты данных от случайного или несанкционированного уничтожения, от случайной утраты, от несанкционированного доступа к ним, изменения или распространения.

8.5.Хранение персональных данных клиентов может осуществляться на бумажных и электронных носителях, доступ к которым ограничен списком лиц, допущенных к обработке персональных данных. Все электронные носители персональных данных подлежат строгому учету.

8.6.Хранение персональных данных клиентов должно происходить в порядке, исключающем их утрату или их неправомерное использование. Персональные данные клиентов, содержащиеся на бумажных носителях и отчуждаемых электронных носителях информации, должны храниться в сейфах или запираемых шкафах, установленных в пределах контролируемой зоны.

8.7.Персональные данные клиентов, содержащиеся на электронных носителях информации, должны храниться на автоматизированных рабочих местах и серверах информационных систем, установленных в пределах контролируемой зоны.

8.8.Все меры, направленные на соблюдение конфиденциальности при сборе, обработке и хранении персональных данных субъекта, распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

8.9. Режим конфиденциальности персональных данных снимается в случаях обезличивания или включения их в общедоступные источники персональных данных, если иное не определено законом.

9.1. Обрабатываемые персональные данные должны быть уничтожены в следующих случаях: ·в случае достижения цели обработки персональных данных - в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных; ·в случае отзыва субъектом персональных данных согласия на обработку своих персональных данных и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных - в срок, не превышающий тридцати дней с даты поступления указанного отзыва; ·в случае выявления неправомерной обработки с персональными данными и невозможности устранения допущенных нарушений - в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных.

9.2. После уничтожения персональных данных необходимо уведомить об этом субъекта персональных данных или его законного представителя.

9.3. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.

9.4. В случае отсутствия возможности уничтожения персональных данных в течение, указанных выше сроков, Санаторий осуществляет блокирование таких персональных данных и обеспечивает их уничтожение в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

10.1.Санаторий несет ответственность за персональную информацию, которая находится в ее распоряжении и закрепляет персональную ответственность работников за соблюдением установленного режима конфиденциальности.

10.2. Каждый работник, получающий доступ к конфиденциальному документу, содержащему персональные данные клиента, несет личную ответственность за сохранность носителя и конфиденциальность информации.

10.3.Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работников, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами и полную материальную ответственность в случае причинения их действиями ущерба в соответствии с Трудовым кодексом Российской Федерации.

10.4.Санаторий обязуется поддерживать систему приема, регистрации и контроля рассмотрения жалоб Клиентов, доступную как посредством использования Интернета, так и с помощью телефонной, почтовой связи.

10.5.Жалобы и заявления по поводу соблюдения требований обработки персональных данных рассматриваются в десятидневный срок со дня поступления. Работники Санатория обязаны на должном уровне обеспечивать рассмотрение запросов, заявлений и жалоб Клиентов, а также содействовать исполнению требований компетентных органов.

11.1.Настоящее Положение и изменения к нему утверждаются генеральным директором Санатория и вводятся в действие его приказом.

11.2.Настоящее Положение вступает в силу с момента его утверждения и действует бессрочно, до замены его новым Положением.

11.3.Настоящее Положение является обязательным для исполнения всеми работниками Санатория, непосредственно осуществляющими обработку персональных данных и (или) имеющими доступ к персональным данным.