Политика обработки персональных данных

Политика в отношении обработки персональных данных

1. Назначение и область действия документа

1.1. Настоящая политика Акционерного общества Медицинский центр «АВИЦЕННА» (далее – Общество) в отношении обработки персональных данных (далее - Политика) разработана в соответствии со ст.18.1. Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», Конституцией РФ, Трудовым кодексом РФ, Федеральным законом от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации», Постановлением Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», иными нормативно-правовыми актами, действующими на территории РФ, и определяет позицию и намерения Общества в области обработки и защиты персональных данных, соблюдения прав и основных свобод каждого гражданина.

1.2. Политика разработана в целях обеспечения реализации требований законодательства Российской Федерации в области обработки персональных данных (далее -ПДн), направленного на обеспечение защиты прав и свобод человека и гражданина при обработке его ПДн, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, в частности, в целях защиты от несанкционированного доступа и неправомерного распространения ПДн, обрабатываемых в информационных системах Общества.

1.3. Политика предназначена для изучения и неукоснительного исполнения руководителями и работниками всех структурных подразделений Общества, а также подлежит доведению до сведения лиц, состоящих в договорных, гражданско-правовых и иных отношениях с Обществом и других заинтересованных сторон.

1.4. Положения политики распространяются на отношения по обработке и защите ПДн, полученных Обществом как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите ПДн, полученных до её утверждения.

2. Основные положения

2.1. В настоящей Политике используются следующие понятия:

• Персональные данные (ПД) – любые сведения, прямо или косвенно идентифицирующие физическое лицо, то есть субъект персональных данных (ФИО, дата рождения, паспортные данные, а также другая информация).
• Обработка персональных данных - любое действие (операция) в отношении персональных данных, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
• Безопасность персональных данных – защита конфиденциальности, целостности, доступности ПД в информационных системах Общества.
• Информационная система персональных данных (далее - ИСПД) – комплекс баз данных и технологий для обработки ПД.
• Оператор – организация или лицо, выполняющие обработку ПД.
• Субъект – физическое лицо которому принадлежат обрабатываемые персональные данные.
• Конфиденциальность персональных данных – обязанность оператора обеспечивать неразглашение ПД без согласия Субъекта или другого законного основания.
• Трансграничная передача персональных данных – передача персональных данных иностранным государствам, иностранным лицам или организациям.
• Посетитель сайта – лицо, посетившее сайт mamadeti.ru и имеющие доступ к нему посредством сети Интернет.
• Cookies – малый объем данных, отправляемый веб-сервером и хранящийся на устройстве Посетителя сайта. При повторной попытке открыть сайт, к веб-серверу передаются данные от веб-клиента (Посетителя сайта) в составе HTTP-запроса.
• IP адрес – уникальный сетевой адрес устройства в сети интернет.

2.2. В настоящей политике обработка персональных данных осуществляется в отношении следующих категорий:

• Субъекты – пациенты, законные представители, состав персональных данных и обработка которых описывается в пункте 6 настоящей Политики.
• Сотрудники – работники, уволенные работники, состав персональных данных и обработка которых описывается в пункте 5 настоящей Политики.
• Иные – ординаторы, лица, привлеченные по договору подряда (ГПХ), представители контрагентов, посетители сайта, родственники работников, соискатели, состав персональных данных и обработка которых описывается в пункте 7 настоящей Политики

3. Цели обработки персональных данных

3.1. Обработка ПД осуществляется Обществом в целях:

• оказания медицинских услуг, установления медицинского диагноза, в том числе с применением телемедицинских технологий; заключения и исполнения договора оказания платных медицинских услуг и иных договоров/дополнительных соглашений; оказания сервисных услуг, связанных с созданием условий получения медицинской помощи, повышения качества оказания медицинских услуг (сервис единого контакт-центра, личного кабинета, мобильного приложения и информирования о предоставляемых услугах, маркетинговых и/или рекламных акциях).
• исполнения требований трудового законодательства и изданных в соответствии с ним нормативных правовых актов, кадрового и бухгалтерского учета, оперативной коммуникации, верификации личности в информационных системах Группы Компаний, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения безопасности работников, контроля качества выполняемой работы, обеспечения сохранности имущества, расчёта и выплаты заработной платы и иных вознаграждений, расчета и перечисления налогов и страховых взносов.

4. Перечень действий с персональными данными, способы их обработки, хранения и уничтожения

4.1. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

4.2. Хранение ПД Субъектов с которыми заключены договора, соглашения и иные обязательства на оказание платных медицинских услуг, ведется до достижения целей или до утраты необходимости в достижении указанных целей.

4.3. Персональные данные Субъектов хранятся и обрабатываются как на бумажных носителях, так и в электронном виде.

4.4. Обработка персональных данных в Обществе осуществляется смешанным способом обработки ПД.

4.5. Персональные данные на бумажных носителях, хранятся в запираемых шкафах либо в помещениях с ограниченным правом доступа.

4.6. Персональные данные Субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в отдельно организованных корпоративных сетевых хранилищах согласно категории данных и их назначению.

4.7. Без согласия не допускается хранение и размещение ПД в открытых интернет ресурсах, облачных хранилищах или иных публичных и общедоступных информационных системах.

4.8. Использование сайта mamadeti.ru, а также подтверждение уведомления на сайте об использовании cookie и обработке статистических данных с применением метрических программ (Яндекс Метрика, Calltouch, Mail.ru) означает согласие с обработкой статистических данных.

4.9. Статистические данные (ip-адрес, cookies, время сессии, адрес страницы, информация о браузере), при согласии в уведомлении об cookie и использовании сайта mamadeti.ru, автоматически передаются и используются в рамках улучшения сайта mamadeti.ru а также для их анализа.

4.10. В случае несогласия Посетитель сайта может отключить сохранение cookie в настройках браузера или прекратить использование сайта mamadeti.ru.

4.11. После истечения срока нормативного хранения ПД Субъектов на бумажных носителях, создается комиссия, которая принимает решение об уничтожении персональных данных Субъектов. Но основе принятого решения комиссии ответственным сотрудником (или сотрудниками) Оператора производится физическое уничтожение бумажных носителей.

4.12. После истечения срока нормативного хранения ПД Субъектов в электронном виде ответственный сотрудник (или сотрудники) Оператора уничтожает с носителей персональные данные путем стирания или форматирования, либо физически уничтожает сами носители.

4.13. Факт уничтожения персональных данных как на бумажном носителе, так и в электронном виде подтверждается документально актом об уничтожении.

4.14. Трансграничная передача данных Оператором не осуществляется.

4.5. Персональные данные посетителей, не являющихся пациентами:

4.5.1. В состав ПДн посетителей, не являющихся пациентами, входят: Видеоматериалы, содержащие изображения посетителей.

4.5.2. Обработка персональных данных посетителей, не являющихся пациентами осуществляется без согласия субъекта ПДн в соответствии со ст.152.1 Гражданского кодекса РФ.

4.5.3. Обработка персональных данных посетителей, не являющихся пациентами осуществляется исключительно в целях обеспечения безопасности работников и пациентов Общества, контроля качества обслуживания посетителей, обеспечения сохранности имущества Общества.

4.5.4. Обработка видеоматериалов осуществляется непрерывно, уничтожение производится автоматически, путем перезаписи видеофайла на материальном носителе по достижении сроков хранения, определяемых внутренним регламентом Общества.

5. Положения Политики

5.1. Понимая важность и ценность информации о человеке, а также заботясь о соблюдении конституционных прав граждан РФ, Общество обеспечивает надежную защиту их ПДн.

5.2. При обработке ПДн работника Общество следует требованиям, установленным ст. 86 ТК РФ, в частности:

• действовать исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
• получать персональные данные работника следует у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие;
• обеспечить защиту персональных данных работника от неправомерного их использования за счет собственных средств работодателя;
• знакомить работников под роспись с локальными нормативными актами, устанавливающими порядок обработки персональных данных работников;

5.3. Общество, в связи с исполнением обязательств по договорам оказания платных медицинских услуг имеет право создавать информационные системы, содержащие данные о пациентах и об оказываемых им медицинских услугах, с соблюдением установленных законодательством РФ требований о защите ПДн и соблюдением врачебной тайны.

5.4. Обработка и обеспечение безопасности ПДн в Обществе осуществляется в соответствии с требованиями Конституции РФ, Трудового кодекса РФ, Федерального закона № 152-ФЗ «О персональных данных», подзаконных актов, Федерального закона №323 «Об основах охраны здоровья граждан в РФ», Постановлением Правительства РФ от 04.10.2012 №1006 «Об утверждении правил предоставления медицинскими организациями платных медицинских услуг», других определяющих случаи и особенности обработки ПДн федеральных законов, руководящих и методических документов ФСТЭК России и ФСБ России.

5.5. При обработке ПДн Общество придерживается следующих принципов:

• обработка ПДн осуществляется только на законной и справедливой основе;
• Общество не раскрывает третьим лицам и не распространяет ПДн без согласия гражданина (если иное не предусмотрено законодательством РФ);
• Общество определяет конкретные законные цели до начала обработки (в т.ч. сбора) ПДн;
• Общество собирает только те ПДн, которые являются необходимыми и достаточными для заявленной цели обработки (исполнение условий договора оказания платных медицинских услуг);
• при обработке ПДн Общество ограничивается достижением конкретных, заранее определённых и законных целей;
• уничтожение либо обезличивание ПДн в Обществе происходит при достижении целей обработки или в случае утраты необходимости в достижении целей.

5.6. В случаях, установленных законодательством РФ, Общество вправе осуществлять передачу ПДн граждан третьим лицам.

5.7. Лица, осуществляющие обработку ПДн по поручению общества, обязуются соблюдать принципы и правила обработки и защиты ПДн, предусмотренные Федеральным законом №152-ФЗ «О персональных данных». Для каждого третьего лица в договоре (поручении) определяется перечень действий (операций) с ПД, которые будут совершаться лицом, осуществляющим обработку ПДн, цели обработки, устанавливается обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность ПДн при их обработке, также указываются требования к защите обрабатываемых ПДн.

6. Права граждан в части обработки персональных данных

6.1. Гражданин, ПДн которого обрабатываются, имеет право (за исключением ограничения этого права федеральными законами РФ):

6.1.1. Получать от Общества:

• подтверждение факта обработки ПДн;
• сведения о правовых основаниях и целях обработки ПДн;
• сведения о применяемых Обществом способах обработки ПДн;
• сведения о наименовании и местонахождении Общества;
• сведения о порядке осуществления гражданином прав, предусмотренных Федеральным законом №152-ФЗ «О персональных данных»;
• иные сведения, предусмотренные Федеральным законом №152-ФЗ «О персональных данных» или другими федеральными законами, в том числе информацию об осуществленной или о предполагаемой трансграничной передаче данных; наименование или Ф.И.О. и адрес лица, осуществляющего обработку ПДн по поручению Общества, если обработка поручена или будет поручена такому лицу.

6.1.2. Требовать уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

6.1.3. Отозвать своё согласие на обработку ПДн путем письменного уведомления Оператора (в этом случае Оператор обязан прекратить обработку ПДн в течение времени, достаточного для технической возможности такого прекращения, с момента получения уведомления).

6.1.4. Требовать устранения неправомерных действий Общества в отношении его ПДн.

6.1.5. Обжаловать действие или бездействие Общества в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке в случае, если гражданин считает, что Общество осуществляет обработку его ПДн с нарушением требований Федерального закона №152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы.

6.1.6. На защиту своих законных прав и интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

7. Сведения о реализуемых требованиях к защите персональных данных

7.1. В процессе обработки ПДн Общество принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

7.2. К мерам по защите ПДн в соответствии со ст. 18 и 19 Федерального закона №152-ФЗ «О персональных данных» относятся, в том числе, следующие:

• назначение лица, ответственного за организацию обработки ПДн, и лиц, ответственных за обеспечение безопасности ПДн;
• разработка и утверждение локальных актов по вопросам обработки и защиты ПДн;
• применение правовых, организационных и технических мер по обеспечению безопасности ПДн;
• ознакомление работников Общества, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ о ПДн, в том числе с требованиями к защите ПДн, локальными актами по вопросам обработки и защиты ПДн, и обучение работников Общества.

8. Заключительные положения

8.1. Настоящая Политика является общедоступным документом и размещается на сайте Общества по адресу: https://novosibirsk.mamadeti.ru /

8.2. Пересмотр положений настоящей политики проводится периодически не реже чем 1 раз в год, а также в следующих случаях:

• при изменении законодательства РФ в области обработки и защиты ПДн;
• при изменении целей обработки ПДн, структуры информационных и/или телекоммуникационных систем (или введении новых);
• при применении новых технологий обработки ПДн (в т.ч. передачи, хранения);
• при появлении необходимости в изменении процесса обработки ПДн, связанной с деятельностью Общества;
• по результатам контроля выполнения требований по обработке и защите ПДн;
• по решению руководителя Общества.

8.3. В случае неисполнения положений настоящей Политики Общество несет ответственность в соответствии с действующим законодательством РФ.

8.4. В целях координации действий по обеспечению безопасности ПДн в Обществе назначено лицо, ответственное за организацию обработки ПДн.

9. Контактная информация

Граждане, чьи персональные данные обрабатываются Обществом, могут направлять вопросы по обработке своих ПДн в Общество по следующим адресам:

Адрес электронной почты: security@mcclinics.ru;

Почтовый адрес: 630007, г. Новосибирск, Коммунистическая, д. 17, каб. 7.

При этом в тексте запроса в целях идентификации гражданина необходимо указать:

• фамилию, имя, отчество гражданина или его законного представителя, осуществляющего запрос;
• номер основного документа, удостоверяющего личность гражданина (или его законного представителя), сведения о дате выдачи указанного документа и выдавшем его органе;
• сведения, подтверждающие участие в отношениях с Обществом (номер договора, ФИО пациента), либо сведения, иным способом подтверждающие факт обработки ПДн Обществом;
• подпись гражданина (или его законного представителя). Если запрос отправляется в электронном виде, то он должен быть оформлен в виде электронного документа и подписан электронной подписью в соответствии с законодательством РФ.