Политика обработки персональных данных Профессиональной ассоциации медицинских работников«Национальная ассоциация традиционной и комплементарной медицины»

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Политика обработки персональных данных в Профессиональной ассоциации медицинских работников «Национальная ассоциация традиционной и комплементарной медицины» (далее – Политика) определяет основные принципы,  цели, условия и способы обработки  персональных данных и меры по обеспечению их безопасности в системах в Ассоциации (далее – Ассоциации) с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. 1.2. Положения Политики являются основой для разработки локальных нормативных актов, регламентирующих в Ассоциации вопросы обработки персональных данных работников Ассоциации, членов Ассоциации, контрагентов и других субъектов персональных данных. 1.3. Настоящая Политика разработана с учетом действующих норм международного права в области персональных данных, в том числе международных договоров Российской Федерации, а также положений действующего законодательства Российской Федерации, включая  следующие  нормативные  документы: Конституция  Российской  Федерации от 12.12.1993, Гражданский кодекс Российской Федерации, Трудовой кодекс Российской  Федерации от 30.12.2001 № 197-ФЗ, Налоговый кодекс Российской Федерации от 05.08.2000 № 117-ФЗ, Федеральный закон от 06.12.2011 № 402-ФЗ «О  бухгалтерском  учете»,  Федеральный закон Российской Федерации от 27.07.2006 №  152-ФЗ «О персональных данных», Федеральный  закон Российской Федерации от 27.07.2006 № 149-ФЗ «Об  информации, информационных технологиях и о защите информации», Федеральный закон от  29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»,  Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в  Российской Федерации», Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», Федеральный закон от 17.12.2001 № 173-ФЗ «О трудовых пенсиях в Российской Федерации»,  Федеральный  закон  от  16.07.1999  №  165-ФЗ  «Об  основах  обязательного  социального  страхования», Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации  (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», Указ  Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении Перечня сведений  конфиденциального  характера»,  Постановление  Правительства  Российской  Федерации  от  01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их  обработке    в    информационных    системах    персональных    данных»,    Постановление  Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об  особенностях обработки персональных данных, осуществляемой без использования средств  автоматизации», Приказ Роскомнадзора от 28.10.2022 № 179 «Об утверждении Требований к  подтверждению   уничтожения   персональных   данных»,   Рекомендации   по   составлению  документа,  определяющего  политику  оператора  в  отношении  обработки  персональных  данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О  персональных  данных»,  Устав  Ассоциации,  а  также  иные  нормативные  правовые  акты  Российской Федерации и нормативные документы уполномоченных органов государственной  власти. 1.4. В соответствии с подпунктом 2 статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ  «О персональных данных» (далее – Закон № 152-ФЗ) Ассоциация является оператором, то есть  юридическим лицом, самостоятельно организующим и (или) осуществляющим обработку  персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с  персональными данными. 1.5.В целях реализации положений Политики в Ассоциации разрабатываются соответствующие локальные нормативные акты и иные документы, в том числе: – Перечень работников Ассоциации, допущенных к обработке персональных данных; – иные локальные нормативные акты и документы, регламентирующие в Ассоциации вопросы обработки персональных данных. 1.6. Ассоциация обеспечивает неограниченный доступ к настоящей Политики путем опубликования на официальном сайте Ассоциации  https://tkmedpro/ru/ в информационно- телекоммуникационной сети «Интернет». 1.7.  Основные понятия: Автоматизированная обработка персональных данных – обработка персональных  данных с помощью средств вычислительной техники. Блокирование   персональных   данных   –   временное   прекращение   обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных). Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. Обезличивание персональных данных – действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных. Неавтоматизированная обработка персональных данных – обработка персональных данных, осуществляемая при непосредственном участии человека без использования средств вычислительной техники. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Оператор – лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.  Оператором персональных данных в отношениях, регулируемых Политикой, является Ассоциация. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных). Персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом № 152-ФЗ. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление  с  персональными  данными  неограниченного  круга  лиц,  в  том  числе  обнародование персональных данных в средствах массовой информации, размещение в  информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом. Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители персональных данных.

2. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Обработка персональных данных в Ассоциации осуществляется на законной и справедливой основе, заранее определенных и законных целей. 2.2. В Ассоциации не допускается обработка персональных данных, несовместимая с целями сбора персональных данных, представленными настоящей Политикой. Ассоциация осуществляет контроль избыточности персональных данных по отношению к заявленным целям их обработки. 2.3. Обработке подлежат только персональные данные, которые отвечают целям их обработки. 2.4. Не допускается объединение персональных данных, обработка которых осуществляется в целях, несовместимых между собой. 2.5. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки   персональных данных. Ассоциации принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных, или неточных данных. 2.6. Ассоциация не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных (если иное не предусмотрено законодательством Российской Федерации). 2.7. Ассоциация не осуществляет обработку специальных категорий персональных данных и биометрических персональных данных.

3. ЦЕЛИ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Ассоциация осуществляет обработку персональных данных в следующих целях 3.1.1. – прием в члены либо в кандидаты в члены Ассоциации путем оформления документов размещенных   на веб-сайте Ассоциации https://tkmedpro/ru/. 3.1.2. – оказание услуг по рассмотрению документов на Разрешение на занятие народной медициной. 3.1.3. .- регистрация в качестве участников конгрессов, фестивалей, форумов и т.п., проводимых Ассоциацией. 3.1.4. – ведение кадрового и бухгалтерского, налогового учета соответствии с трудовым, налоговым законодательством и иными федеральными законами ( работники, родственники работников, уволенные работники). 3.2. В отношении лиц, указанных в п. 3.1.2 – 3.1.2 настоящей Политики (далее – члены и кандидаты в члены Ассоциации), Ассоциация осуществляет обработку персональных данных на основании добровольно предоставляемой ими информации на почту  Ассоциации info@tkmedpro.ru: анкеты, заявления и другие документы ( в сканированном виде). В данной категории обрабатываются следующие персональные данные : фамилия, имя, отчество; дата рождения; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; ИНН; данные документа, удостоверяющего личность; профессия; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); сведения об образовании; фото изображение лица; а также: сведения о профессиональной и трудовой деятельности, деловой репутации. 3.3. В отношении лиц, указанных в п. 3.1.3 настоящей Политики (далее- участники конгрессов, фестивалей, форумов и т.п., проводимых Ассоциацией) Ассоциация осуществляет обработку персональных данных на основании добровольно предоставляемой ими информации при регистрации в качестве участников. В данной категории обрабатываются следующие персональные данные: фамилия, имя, отчество; адрес электронной почты; номер телефона; 3.4. В отношении лиц, указанных в п.  3.1.4 настоящей Политики, обработка персональных данных осуществляется в целях исполнение трудового законодательства Российской Федерации, в том числе: –  представления  Ассоциацией установленной  законодательством отчетности в  отношении физических лиц, в том числе сведений персонифицированного учета в Фонд  пенсионного и социального страхования Российской  Федерации (СФР), сведений  подоходного  налога  в  Федеральную  налоговую  службу  Российской  Федерации  (ФНС  России), представления работодателем документов, содержащих отчет о своей  деятельности, о персональном составе руководящих органов и работников. В данной категории обрабатываются следующие персональные данные: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; реквизиты банковской карты; номер расчетного счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании. Обработка персональных данных работников Ассоциации может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов Российской Федерации.

4. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Правовым основанием обработки персональных данных являются: – совокупность правовых актов, во исполнение которых и в соответствии с которыми Ассоциация осуществляет обработку персональных данных: Конституция Российской Федерации; статьи 86-90 Трудового кодекса Российской Федерации, (федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора); – уставные документы Ассоциации; – договоры, заключаемые между Ассоциацией и субъектом персональных данных; – согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям Ассоциации).

5. СПОСОБЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации. 5.2. Обработка, анализ и хранение персональных данных осуществляются с соблюдением правил обработки, защиты информации, в целях исключения случаев ее неправомерного использования и причинения вреда субъекту персональных данных. 5.3. Работники Ассоциации несут ответственность за нарушение порядка работы с информацией (персональными данными ленов Ассоциации, за нарушение режима конфиденциальности и требований к обработке и защите персональных данных. 5.4. Ассоциация осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных. 5.5. Обработка персональных данных в Ассоциации осуществляется следующими способами: – смешанная обработка персональных данных. – без передачи по внутренней сети юридического лица; – с передачей по сети Интернет

6. КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Ассоциация и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законодательством Российской Федерации. 7.ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ 7.1. Трансграничная передача персональных данных Ассоциацией не осуществляется. 8.ОБЩЕДОСТУПНЫЕ ИСТОЧНИКИ ПЕРСОНАЛЬНЫХ ДАННЫХ 8.1. В целях информационного обеспечения в Ассоциации создаются общедоступные источники персональных данных субъектов персональных данных, а именно сайт Ассоциации «Интернет» https://tkmedpro/ru. На сайте Ассоциации в сети «Интернет» https://tkmedpro/ru размещаются персональные данные, в том числе членов постоянно действующего коллегиального органа управления Ассоциации, единоличного исполнительного органа управления Ассоциации, специализированных органов Ассоциации, членов Ассоциации, согласно требованиям, установленным законодательством и внутренними документами Ассоциации. 8.2.  Сведения о субъекте персональных данных должны быть исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

9. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Согласие субъекта персональных данных на обработку его персональных данных: 9.1.1.  Субъект персональных данных принимает решение о предоставлении его персональных данных и даёт согласие на их обработку свободно, своей волей и в своем интересе.  Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным.  Согласие на обработку персональных  данных  может  быть  дано  субъектом  персональных  данных  или  его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено Законом № 152-ФЗ. Согласие может быть выражено в форме совершения действий, принятия условий договора-оферты, сканов документов, проставления соответствующих отметок, заполнения полей в формах (в т.ч. электронных) на сайте Ассоциации, бланках или оформлено в письменной форме в соответствии с законодательством. 9.1.2. Обязанность предоставить доказательство получения согласия субъекта на обработку его персональных данных или доказательство наличия оснований, указанных в Законом № 152-ФЗ, возлагается на Ассоциацию. 9.1.3. Лицо, осуществляющее обработку персональных данных по поручению Ассоциации, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. 9.1.4. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Ассоциация обязана обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения. 9.2 Права субъекта персональных данных: 9.2.1. Во исполнение требований Законом № 152-ФЗ, обеспечивающего соблюдение прав субъекта персональных данных на доступ к установленной законом информации, относящейся к субъекту персональных данных, Ассоциация обеспечивает соблюдение следующих прав субъектов персональных данных: –  субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в сроки, предусмотренные Законом № 152-ФЗ; –  право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами; –  субъект  персональных  данных  вправе  требовать  от  Ассоциации  уточнения  его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать  предусмотренные Законом № 152-ФЗ меры по защите своих прав; –  субъект персональных данных имеет право на защиту своих прав и законных интересов в судебном порядке.

10. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. При обработке персональных данных Ассоциация предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от других неправомерных действий в отношении персональных данных, предусмотренных Законом № 152-ФЗ и подзаконными актами в области защиты персональных данных. 10.2. Ассоциацией реализованы следующие меры, необходимые и достаточные для обеспечения выполнения обязанностей оператора: – реализовано обеспечение сохранности носителей персональных данных; –  руководителем Ассоциации утвержден документ, определяющий перечень лиц, доступ которых к обрабатываемым персональным данным, необходим для выполнения ими служебных (трудовых) обязанностей; – назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных; –  применены  правовые,  организационные  и  технические  меры  по  обеспечению  безопасности персональных данных в соответствии со статьей 19  Закона № 152-ФЗ; — осуществляется внутренний контроль и (или) аудит соответствия обработки персональных данных законодательству РФ и внутренним документам Ассоциации – произведено ознакомление работников Ассоциации, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, -— проводится оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства РФ о персональных данных, определяется соотношение указанного вреда и принимаемых Ассоциацией мер, направленных на обеспечение исполнения обязанностей, предусмотренных законодательством РФ.

11. 11. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

11.1. Хранение персональных данных в Ассоциации осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. 11.2. При осуществлении хранения персональных данных Ассоциация использует базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Законом № 152-ФЗ. 11.3. При хранении материальных носителей персональных данных соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются Ассоциацией.

12. 12. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ СУБЪЕКТОВ

 ПЕРСОНАЛЬНЫХ ДАННЫХ 12.1. Ассоциация осуществляет прием и обработку обращений субъектов персональных данных, а также контроль обеспечения такого приема и обработки в целях соблюдения прав и законных интересов субъекта персональных данных. При рассмотрении обращений либо при получении запросов субъектов персональных данных Ассоциация руководствуется положениями Закона № 152-ФЗ. 12.2. Ассоциация, получив обращение либо запрос субъекта персональных данных,  содержащий информацию, предусмотренную Законом № 152-ФЗ, убедившись в законности  такого обращения либо запроса, предоставляет субъекту персональных данных и/или его  представителю, обладающему  полномочиями  на  предоставление  интересов  субъекта  персональных данных, сведения, указанные в запросе, в той форме, в которой направлены  соответствующие обращение либо запрос, если иное не указано в обращении или запросе, или принимает иные меры в зависимости от специфики (особенностей) обращения либо запроса. При этом, предоставляемые Ассоциации сведения не могут содержать персональных данных других субъектов персональных данных, исключение составляют случаи, при которых имеются законные основания для раскрытия персональных данных других субъектов персональных данных. 12.3. Ассоциация вправе отказать субъекту персональных данных в удовлетворении требований, указанных в обращении либо запросе, посредством предоставления мотивированного отказа субъекту персональных данных или его представителю, в случае наличия законных оснований. 12.4. Процесс обработки запросов субъектов персональных данных или их представителей, запросов уполномоченных органов осуществляется в соответствии с внутренними нормативными документами Ассоциации.

13. 13. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И

УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ 13.1. В случае подтверждения факта неточности, персональные данные подлежат их актуализации Ассоциаций. Ассоциация немедленно прекращает обработку персональных данных в случае выявления и подтверждения факта ее неправомерности. 13.2. Обрабатываемые персональные данные подлежат уничтожению Ассоциацией в случаях достижения целей обработки персональных данных, а также надлежащим образом оформленного отзыва субъектом персональных данных согласия на их обработку. 13.3. В  случае получения Ассоциацией  отзыва  субъектом персональных данных  согласия  на  их  обработку,  Ассоциация  вправе  продолжить  такую  обработку  если  она  предусмотрена положениями трудового законодательства, условиями членства в Ассоциации, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных или обработка персональных данных требуется для исполнения требований действующего законодательства Российской Федерации. 13.4. Уничтожение персональных данных производится с соблюдением Требований к подтверждению уничтожения персональных данных, утвержденных Приказом Роскомнадзора от 28.10.2022 № 179.

14. 14. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

14.1. Действующая редакция Политики на бумажном носителе хранится в Профессиональной ассоциации медицинских работников «Национальная ассоциация традиционной и комплементарной медицины» 14.2. Электронная версия действующей редакции Политики размещена на официальном сайте Ассоциации в сети Интернет по адресу: https://tkmedpro/ru. 14.3. Настоящая Политика подлежит изменению, дополнению в случае внесения изменений в действующие законодательные акты и появления новых законодательных актов, и специальных нормативных документов по обработке и защите персональных данных. 14.4. Настоящая Политика может быть изменена без предварительного уведомления или согласия пользователя. Новая редакция Политики вступает в силу с момента её размещения, если иное не предусмотрено новой редакцией Политики. 14.5. Контроль исполнения требований настоящей Политики осуществляется лицом ответственным за обеспечение безопасности персональных данных Ассоциации. 14.6. Ответственность должностных лиц Ассоциации, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Ассоциации.