Политика в отношении обработки персональных данных в

ООО «ЭС КЛАСС КЛИНИК»

1. Определения и сокращения, используемые в Политике
1.1. Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному лицу или определяемому физическому лицу (субъекту персональных данных).
1.2. Обработка персональных данных – любое действие (операция) или совокупность действий(операций), совершаемых с использованием средств информатизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.3. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц. 1.4. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
1.5. Блокирование персональных данных – временное прекращение обработки персональных данных(за исключением случаев, если обработка необходима для уточнения персональных данных).
1.6. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и(или) в результате которых уничтожаются материальные носители персональных данных.
1.7. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных к конкретному субъекту персональных данных.
1.8. Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.9. Информация – сведения (сообщения, данные) независимо от формы их представления.
2. Общие положения
2.1. Настоящий документ определяет политику ООО «ЭС класс клиник» в отношении обработки и защиты персональных данных.
2.2. Политика обработки и защиты персональных данных Оператора (далее – Политика) определяет:- правовые основы обеспечения безопасности ПД; - принципы и цели обработки ПД; - перечни субъектов ПД и обрабатываемых ПД; - операции, совершаемые с ПД, и сроки их обработки; - права и обязанности субъектов и работников Оператора при обработке ПД; - меры, принимаемые Оператора для защиты ПД; - контроль и надзор за обработкой ПД.
2.3. Настоящая Политика разработана в соответствии с п. 2 ст. 18.1 Федерального закона «О персональных данных» №152-ФЗ от 27 июля 2006 года и с учетом требований Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в области персональных данных.
2.4. Целью настоящей Политики является определение порядка обработки персональных данных граждан; обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным граждан, за невыполнение требований и норм, регулирующих обработку и защиту персональных данных.
2.5. Политика действует в отношении всех персональных данных, обрабатываемых Оператором, полученных как до, так и после подписания настоящей Политики.
2.6. Действие настоящей Политики распространяется на персональные данные, обрабатываемые с применением средств автоматизации и без применения таких средств.
2.7. Действие настоящей Политики распространяется на все процессы, в рамках которых осуществляется обработка персональных данных субъектов ПД всех категорий, а также на должностных лиц, принимающих участие в указанных процессах.
2.8. Основные положения документа могут быть распространены также на подразделения других организаций и учреждений, осуществляющие взаимодействие с Оператором в качестве поставщиков и потребителей (пользователей) информации.
3. Правовые основы обработки персональных данных
3.1. Правовыми основами и основаниями обработки Оператором персональных данных являются:- Конституция Российской Федерации; - Трудовой кодекс Российской Федерации; - Гражданский кодекс Российской Федерации; - Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; - Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»; - Федеральный закон от 20.07.2012 №125-ФЗ «О донорстве крови и ее компонентов»; - Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; - Постановление Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»; - Устав Оператора; - Договор между Оператором и субъектом ПД; - Согласие субъекта ПД на обработку его персональных данных.
4. Персональные данные, обрабатываемые Оператором
4.1. Оператором обрабатываются ПД следующих категорий субъектов: - Работники (в том числе близкие родственники работников. - Пациенты.
4.2. Перечень ПД работников, обрабатываемых Оператором: - фамилия, имя, отчество; - дата рождения и место рождения; - данные документа, удостоверяющего личность (серия, номер, когда и кем выдан, код подразделения); - адрес постоянной регистрации и проживания; - гражданство; - пол; - адрес электронной почты; - номер контактного телефона; - фотография; - семейное положение; - сведения из свидетельства о постановке на налоговый учет (ИНН); - сведения из свидетельства о государственном пенсионном страховании (СНИЛС); - сведения о воинском учёте; - сведения об образовании, о повышении квалификации, о профессиональной переподготовке; - сведения о начислениях по заработной плате; - должность; - данные о трудовом стаже, включая предыдущие места работы; - данные о налоговых вычетах; - номер банковского лицевого счета, наименование банка; - состав семьи: степень родства, ФИО, дата рождения; - сведения о состоянии здоровья.
4.3. Перечень ПД пациентов, обрабатываемых Оператором: - фамилия, имя, отчество; - дата рождения; - пол; - адрес постоянной регистрации и проживания; - данные документа, удостоверяющего личность (серия, номер, когда и кем выдан, код подразделения); - результаты анализов.
5. Операции, совершаемые с персональными данными. Сроки обработки персональных данных
5.1. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД.
5.2. Обработка ПД осуществляется с момента их получения Оператором и прекращается: - по достижению целей обработки ПД; - в связи с отсутствием необходимости в достижении заранее заявленных целей обработки ПД; - в связи с отзывом согласия на обработку ПД; - в связи с ликвидацией Оператора как юридического лица. Срок обработки ПД работников – в течение срока действия трудового договора и 75 лет после его окончания, если не установлен иной срок архивного хранения в соответствии с действующим законодательством. Срок обработки ПД пациентов – в течение срока действия договора, заключенного между Оператором и пациентом, и 5 последующих лет после его окончания, если не установлен иной срок архивного хранения в соответствии с действующим законодательством.
6. Цели и принципы обработки ПД
6.1. Целями обработки ПД Оператором являются: - обеспечение соблюдения законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, получение образования и продвижение по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы и обеспечение сохранности имущества; - организация хранения, транспортировки донорской крови и ее компонентов, обеспечение ее безопасности и клинического использования, а также охрана здоровья реципиентов и защита их прав;- оказание услуг, предусмотренных договором на оказание услуг. - с целью продвижения работ и услуг Оператора на сайте установлено программное средство Яндекс Метрика, использование функционала которого позволяет определить уникального посетителя Сайта, формировать сведения о его предпочтениях и поведении на Сайте, что указывает на обработку его персональных данных. В соответствии с п. 18 Условий использования сервиса Яндекс Метрика и AppMetrica все данные, собираемые и хранимые Сервисом, Яндекс рассматривает как персональные данные и конфиденциальную информациюПользователя(https://yandex.ru/legal/metrica_termsofuse).
6.2. Обработка ПД осуществляется на основе следующих принципов: - обработка ПД осуществляется на законной основе; - обработка ПД ограничивается достижением конкретных, заранее определенных целей; - не допускается обработка ПД, несовместимая с целями сбора ПД; - не допускается объединение баз данных, содержащих ПД, обработка которых осуществляется в целях, несовместимых между собой; - обработке подлежат только ПД, которые отвечают целям их обработки; - содержание и объем обрабатываемых ПД соответствует заявленным целям обработки; - при обработке ПД обеспечиваются их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПД.
7. Права и обязанности субъекта персональных данных
7.1. В соответствии с п.3 ст. 14 Федерального закона «О персональных данных» субъект ПД имеет право на получение информации, касающейся обработки его ПД.
7.2. Информация, касающаяся обработки ПД субъекта, предоставляемая субъекту, не должна содержать ПД, относящиеся к другим субъектам ПД, за исключением случаев, когда имеются законные основания для раскрытия таких данных.
7.3. Субъект ПД вправе требовать от Оператора, уточнения этих ПД, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
7.4. Право субъекта ПД на доступ к его ПД может быть ограничено в соответствии с федеральными законами.
7.5. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с субъектом ПД (потенциальным потребителем) с помощью средств связи допускается только при условии предварительного согласия субъекта ПД. Оператор обязан немедленно прекратить по требованию субъекта ПД обработку его персональных данных в вышеуказанных целях.
7.6. Если субъект ПД считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект ПД вправе обжаловать действия или бездействие Оператора в Уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
7.7. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда.
8. Конфиденциальность персональных данных
8.1. Оператор и иные лица, получившие доступ к ПД, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта ПД, если иное не предусмотрено федеральным законом.
9. Получение и передача персональных данных третьим лицам
9.1. Оператор в ходе своей деятельности имеет право получать от третьих лиц и передавать третьим лицам обрабатываемые ПД в интересах и с согласия субъектов ПД, а также без согласия субъекта ПД – в случаях, предусмотренных федеральным законодательством.
10. Общедоступные источники персональных данных
10.1. В целях информационного обеспечения Оператором могут создаваться общедоступные источники персональных данных субъектов ПД – работников Оператора, в том числе справочники и адресные книги. В общедоступные источники персональных данных с письменного согласия субъекта ПД могут включаться персональные данные работника.
10.2. Сведения о субъекте ПД должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта ПД, уполномоченного органа по защите прав субъектов персональных данных либо по решению суда.
11. Поручение обработки персональных данных другому лицу
11.1. Оператор вправе поручить обработку ПД другому лицу на основании заключаемого с ним договора, только с согласия субъекта ПД, если иное не предусмотрено федеральным законом. Лицо, осуществляющее обработку ПД по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных» и настоящей Политикой.
12. Права и обязанности работников Оператора, уполномоченных на обработку персональных данных
12.1. Работники Оператора, уполномоченные на обработку ПД обязаны: - знать и выполнять требования законодательства в области обеспечения защиты ПД; - хранить в тайне известные им ПД, информировать о фактах нарушения порядка обращения с ПД, опопытках несанкционированного доступа к ним; - соблюдать правила использования ПД, порядок их учета и хранения, исключить доступ к ним посторонних лиц; - обрабатывать только те ПД, к которым получен доступ в силу исполнения служебных обязанностей.
12.2. При обработке ПД работникам Оператора запрещается: - использовать сведения, содержащие ПД, в неслужебных целях, а также в служебных целях–приведении переговоров по телефонной сети, в открытой переписке, статьях и выступлениях; - передавать ПД по незащищенным каналам связи (телетайп, факсимильная связь, электронная почта) без использования сертифицированных средств криптографической защиты информации.
12.3. Работники Оператора, уполномоченные на обработку ПД, имеют право: - предоставлять ПД третьим лицам при наличии согласия на это субъекта ПД, а также в других случаях, предусмотренных действующим законодательством; - мотивированно отказать субъекту ПД (его представителю) в удовлетворении запроса о предоставлении информации, касающейся обработки ПД субъекта, при наличии оснований, предусмотренных законодательством РФ.
13. Меры, принимаемые для защиты персональных данных
13.1. Оператор при обработке ПД принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении их.
13.2. Обеспечение безопасности ПД достигается, в частности, следующими способами: - Назначение ответственного за организацию обработки ПД. - Осуществление внутреннего контроля и аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам.- Ознакомление работников Оператора, непосредственно осуществляющих обработку ПД, с положениями законодательства Российской Федерации о ПД, в том числе с требованиями к защите ПД, локальными актами в отношении обработки ПД. - Определение угроз безопасности ПД при их обработке в ИСПД. - Применение организационных и технических мер по обеспечению безопасности ПД при их обработке в ИСПД, необходимых для выполнения требований к защите ПД. - Ведение учета машинных носителей ПД. - Выявление фактов несанкционированного доступа к ПД и принятием соответствующих мер. - Восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним. - Установление правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в ИСПД. - Контроль принимаемых мер по обеспечению безопасности ПД и уровнем защищенности ИСПД. - Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
14. Контроль и надзор обработки персональных данных
14.1. Обязанности должностных лиц, осуществляющих контроль обработки и защиту ПД, а также их ответственность, определяются в Инструкции ответственного за организацию обработки ПД, в Инструкции администратора информационной безопасности в информационных системах персональных данных.
14.2. Ответственный за организацию обработки ПД и администратор информационной безопасности в информационных системах персональных данных назначаются приказом руководителя Оператора из числа лиц, допущенных к обработке ПД.
14.3. Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора соответствия обработки персональных данных требованиям Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных», является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
14.4. Уполномоченный орган по защите прав субъектов ПД рассматривает обращения субъекта ПД о соответствии содержания ПД и способов их обработки целям их обработки и принимает соответствующее решение.
14.5. Управление Роскомнадзора по Калининградской области: Адрес: 236000, г. Калининград, ул. Коммунальная, дом 4 Телефон для справок: (4012) 45-15-50 Факс: (4012) 93-00-82 E-mail: rsockanc39@rsoc.ru Сайт: http://39.rsoc.ru/
14.6. Работники Оператора, уполномоченные на обработку ПД, виновные в нарушении требований законодательства в области защиты ПД, в том числе допустившие разглашение ПД, несут персональную гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством ответственность.
15. Информация об Операторе
15.1. Наименование Оператора: ООО «ЭС класс клиник» Юридический адрес: 236017, Калининградская обл, Калининград г, Проспект Победы ул, дом № 35 Адрес местонахождения: 236017, Калининградская обл, Калининград г, Проспект Победы ул, дом № 35, 236010 Калининградская обл, Калининград г, ул. Партизана Железняка, д.1
16. Заключительные положения
16.1. Настоящая Политика утверждена руководителем Оператора.
16.2. Настоящая Политика обязательна для ознакомления и соблюдения всеми работниками Оператора, осуществляющими обработку ПД.
16.3. Срок действия Политики – не ограничен.
16.4. Во исполнение части 2 статьи 18.1. Федерального закона от 27 июля 2006 года №152-ФЗ«Оперсональных данных» настоящая Политика опубликована на сайте Оператора.
16.5. Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в наименовании Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее утверждения, если иное не предусмотрено новой редакцией Политики.
16.6. Иные локальные нормативные акты Оператора, регламентирующие порядок защиты и обработки ПД, должны издаваться в соответствии с настоящей Политикой и законодательством в области персональных данных.
16.7. Контроль соблюдения Политики осуществляется руководителем Оператора.