Политика конфидециальности
Политика ООО «Медичел» в отношении персональных данных
1.1 Назначение документа
Политика ООО «Медичел» в отношении обработки персональных данных (далее –Политика) является основополагающим внутренним документом, регулирующим вопросы обработки персональных данных в ООО «Медичел»(далее –Компания).Настоящая Политика разработана в соответствии с пп.2 ч.1 статьи 18.1 Федерального закона от 27 июля 2006 года No152 «О персональных данных» и предназначенадля ознакомления неограниченного круга лиц путём опубликования на официальном сайтеКомпаниив сети Интернет. Политика раскрывает основные категории персональных данных(далее – ПДн), обрабатываемых в Компании, цели, способы и принципы обработки ПДн, права и обязанности сотрудников Компании при обработке ПДн, права субъектов ПДн, а также перечень мер, применяемых Компанией в целях обеспечения безопасности ПДнпри их обработке. Положения настоящей Политики служат основой для разработки локальных актов, регламентирующих вопросы обработки ПДнв Компании.
1.2 Нормативные ссылки
- Федеральный закон РФ от 27.07.2006 No152-ФЗ«О персональных данных»;
- Постановление Правительства РФ от 01.11.2012 No1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
1.3 Область действия
Действие настоящей Политики распространяется на все процессы Компании, в рамках которых осуществляется обработка ПДн, как с использованием средств вычислительной техники, в том числе с использованием информационно-телекоммуникационных сетей, так и без использования таких средств.
1.4 Используемые сокращения
ИСПДн – Информационная система персональных данных
ПДн – Персональные данные
РФ – Российская Федерация
1.5 Используемые термины и определения
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.Обработка персональных данных –любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.Персональные данные – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных) .Субъект персональных данных – физическое лицо, обладающее персональными данными прямо или косвенно его определяющими.
1.6 Утверждение и пересмотр
Настоящая Политика вступает в силу с момента ее утверждения Директором Компании и действует бессрочно. Компания проводит пересмотр положений настоящей Политики и их актуализацию по мере необходимости, но не реже одного раза втригода, а также:при изменении положений законодательства РФ в области ПДн;в случаях выявления несоответствий, затрагивающих обработку и(или)защиту ПДн;по результатам контроля выполнения требований по обработке и(или) защите ПДн; по решению руководства Компании. При внесении изменений указывается дата последнего обновления редакции. Новая редакция вводится в действие приказом Директора Компании. Обеспечение неограниченного доступа к Политике реализуется путем её публикации на сайте Компании в сети Интернет.
2 ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
При организации обработки ПДн Компания руководствуется следующими принципами: обработка ПДн осуществляется на законной и справедливой основе; обработка ПДн ограничивается достижением конкретных, заранее определённых и законных целей;не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;обработке подлежат только ПДн, которые отвечают целям их обработки; содержание и объём обрабатываемых ПДн соответствуют заявленным целям обработки;при обработке ПДн обеспечивается точность ПДн, их достаточность и актуальность по отношению к целям обработки ПДн; хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен Федеральными законами или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей. Компания в своей деятельности исходит из того, что субъект ПДн предоставляет точную и достоверную информацию, во время взаимодействия с Компанией, извещает представителей Компании об изменении своих ПДн.
3 ЦЕЛИ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ КОМПАНИИ
Компания производит обработку только тех ПДн, которые необходимы для оказания гражданам медицинской помощии установления медицинского диагноза, при осуществлении других установленных в Уставе Компании видов деятельности, а также для выполнения обязательств перед сотрудниками, ведения общехозяйственной деятельности Компаниии исполнения требований законодательства РФ.
В Компании производится обработка ПДнследующих категорий субъектов персональных данных:
- пациентов, обратившихся за предоставлением медицинских услуг в:
• консультационно-реабилитационныйцентр«Медицина Человеку» по адресу: г. Новосибирск, ул. Ватутина, 20/1;
• лечебно-профилактический центр «Медицина Человеку»по адресу: г. Новосибирск, ул. Российская, 21;
• нейропсихологический центр «Головоломка» по адресу: г. Новосибирск, ул. Д. Шамшурина, 1;
- законных представителей пациентов;сотрудниковООО «Медичел» (в том числе бывших сотрудников);
- иных лиц, чьи данные необходимо обрабатывать в соответствии с трудовым и другими законодательствами (для выплаты алиментов по решению суда, в целях заполнения формы Т2 в соответствии с трудовым законодательством и т.д.).
Для каждой категории субъектов ПДн определены цели обработки их ПДн:
- целью обработки ПДн сотрудников Компании, является осуществление кадровой, бухгалтерскойи административно-хозяйственной деятельности, обеспечение оперативной коммуникации;
- ПДн медицинских сотрудников дополнительно обрабатываются в целях выполнения требований п.7 ч. 1 ст. 79 Федерального закона от 21.11.2011 No 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»: «Медицинская организация обязана [...] информировать граждан в доступной форме, в том числе с использованием сети «Интернет», об осуществляемой медицинской деятельности и о медицинских работниках медицинских организаций, об уровне их образования и об их квалификации, а также предоставлять иную определяемую уполномоченным федеральным органом исполнительной власти необходимую для проведения независимой оценки качества оказания услуг медицинскими организациями информацию»;
- целью обработки ПДн бывших сотрудников Компании является ведение кадрового делопроизводства, предоставление информации по запросу, сдача необходимой отчётности;целью обработки ПДн пациентов Компании и их законных представителей является оказание пациентам медицинских услуг по заключённым договорам;
- целью обработки ПДн иных лиц является трудоустройство сотрудников (заполнение раздела о родственниках в формеТ2 в соответствии с трудовым законодательством), учёт налоговых льгот при начислении заработной платы, выплата алиментов по решению суда и т.д.
ПДн медицинских сотрудников, размещаемые на официальном сайте Компании, признаются общедоступными в соответствии с требованиями п.7 ч. 1 ст. 79 Федерального закона от 21.11.2011 No 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации». Перечень обрабатываемых ПДнопределяется действующим законодательством РФ, а также локальными документами Компании.
В Компании осуществляется сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача(распространение, предоставление, доступ), обезличивание, блокирование, удаление ,уничтожение ПДн при их обработке как с использованием средств автоматизации, так и без использования таковых.
4 УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И ИХПЕРЕДАЧИ ТРЕТЬИМ ЛИЦАМ
Компания обрабатывает ПДн субъектов ПДн в соответствии с внутренними нормативными документами, разработанными в соответствии с требованиями законодательства РФв области ПДн.
Обработка ПДнв Компании осуществляется с согласия субъекта на обработку его ПДн, если иное не предусмотрено законодательством РФ. Сбор согласий пациентов или их законных представителей(в случае если пациент является несовершеннолетним или недееспособнымлицом) в письменном виде осуществляют администраторымедицинскихцентров.
При обработке ПДн субъекта обеспечивается их конфиденциальность, целостность и доступность. Передача ПДн третьим лицам для выполнения договорных обязательств осуществляется только с согласия субъекта ПДн, а для выполнения требований законодательства РФ – в рамках установленной законодательством процедуры.
Компания может поручить обработку ПДн другому лицу при выполнении следующих условий:
- получено согласие субъекта ПДн на поручение обработки ПДн другому лицу;
- поручение обработки ПДносуществляется на основании заключаемого с этим лицом договора, разработанного с учётом требований Федерального закона РФ от 27.07.2006 No 152-ФЗ«О персональных данных».
Лицо, осуществляющее обработку ПДн по поручению Компании, обязано соблюдать принципы и правила обработки ПДни несёт ответственность перед Компанией. Компания несёт ответственность перед субъектом ПДн за действия уполномоченного лица, которому Компания поручила обработку ПДн.
При обработке ПДн субъектов,Компания руководствуется положениями ФедеральногозаконаРФ от 27.07.2006 No 152-ФЗ «О персональных данных».
5 ПРАВА СУБЪЕКТА НА ДОСТУП И ИЗМЕНЕНИЕ ЕГОПЕРСОНАЛЬНЫХ ДАННЫХ
Для обеспечения соблюдения установленных законодательством прав субъектов ПДн, в Компании разработан и введён порядок работы с обращениями и запросами субъектов ПДн,а также порядокпредоставления субъектам ПДнинформации, установленной законодательством РФ в области ПДн.
Данный порядок обеспечивает соблюдение следующих прав субъектаПДн:
-право на получение информации, касающейся обработки ПДн соответствующего субъекта ПДн, в том числе содержащей:
- подтверждение факта обработки ПДн;
- правовые основания и цели обработки ПДн;
- цели и применяемые Компанией способы обработки ПДн;
- наименование и место нахождения Компании, сведения о лицах (за исключением работников Компании), которые имеют доступ к ПДн или которым могут быть раскрыты ПДнна основании договора с Компаниейили на основаниииных требований Федерального закона РФ от 27.07.2006 No152-ФЗ «О персональных данных»;oобрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких ПДн не предусмотренФедеральным закономРФ от 27.07.2006 No152-ФЗ «О персональных данных»;
- сроки обработки ПДн, в том числе сроки их хранения;oпорядок осуществления субъектом ПДн прав, предусмотренных Федеральным закономРФ от 27.07.2006 No15-ФЗ «О персональных данных»;
- информацию об осуществляемой или о предполагаемой трансграничной передаче ПДн;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДнпо поручению Компании, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом РФ от 27.07.2006 No152-ФЗ «О персональных данных» или другими требованиями законодательства в области ПДн;
- право на уточнение, блокирование или уничтожение своих ПДн, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством РФ в области ПДн меры по защите своих прав.
Запрос субъекта ПДн должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Компанией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Компанией, подпись субъекта ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ.
Должностные лица Компании не имеют право отвечать на вопросы, связанные с передачей или разглашением ПДн по телефону или факсу в связи с тем, что в таком случае нет возможности идентифицировать личность обращающегося человека.
По вопросам рассмотрения обращений, касающихся обработки ПДн пациентов, информационно-справочная работа осуществляется заместителем директора по развитию медицинской деятельности Шутько Н.В. Информирование граждан о порядке работы с обращениями, осуществляется по телефону 8 (383) 361-52-76.
6 ОБЯЗАННОСТИ И ПРАВА КОМПАНИИ
В соответствии с требованиями Федерального закона РФ от 27.07.2006 No152-ФЗ «О персональных данных» Компания обязуется:
- осуществлять обработку ПДнс соблюдением принципов и правил, предусмотренных Федеральным закономРФ от 27.07.2006 No152-ФЗ «О персональных данных»;
- не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено Федеральным законом РФ от 27.07.2006 No152-ФЗ «О персональных данных»;
- представлять доказательство получения согласия субъекта ПДн на обработку его ПДн или доказательство наличия оснований, в соответствии с которыми такое согласие не требуется;
- осуществлять обработку ПДн только с согласия в письменной форме субъекта ПДн, в случаях, предусмотренных Федеральным законом РФ от 27.07.2006 No152-ФЗ «О персональных данных»;
- представлять субъекту ПДн или его представителюпо запросу информацию, касающуюся обработки ПДнсоответствующего субъекта ПДн, либо предоставить мотивированный отказ в предоставлении указанной информации, содержащий ссылку на положения Федерального закона РФ от 27.07.2006 No152-ФЗ «О персональных данных», в срок, не превышающий тридцати дней со дня обращения субъекта ПДн или его представителя;
- разъяснять субъекту ПДн юридические последствия отказа предоставить его ПДн, если предоставление ПДн является обязательным в соответствии с Федеральным закономРФ от 27.07.2006 No152-ФЗ «О персональных данных»;
- принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;вносить изменения в обрабатываемые ПДн по требованию субъекта ПДн или его представителя, в случае подтверждения факта неточности обрабатываемых ПДн соответствующего субъекта ПДн в течение семи рабочих дней;
- блокировать обработку ПДн в срок, не превышающий трёх рабочих дней, в случае выявления неправомерной обработки при обращении субъекта ПДн или его представителя, если блокирование ПДн не нарушает права и законные интересы соответствующего субъекта ПДн или третьих лиц;
- уничтожать ПДн соответствующего субъекта ПДн в срок, не превышающий десяти рабочих дней, в случае, если обеспечить правомерность обработки ПДн невозможно;
- прекращать обработку и уничтожать ПДн соответствующего субъекта ПДн, в случае достижения цели обработки ПДнв срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Компанией и субъектом ПДн,либо Федеральным законом РФ от 27.07.2006 No152-ФЗ «О персональных данных» или другими федеральными законами;
- прекращать обработку ПДн и уничтожать ПДн соответствующего субъекта ПДн, в случае отзыва субъектом ПДнсогласия на обработку своих ПДн в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Компанией и субъектом ПДн.
В соответствии с положениями Федерального закона РФ от 27.07.2006 No152-ФЗ «О персональных данных» Компания имеет право:
- осуществлять обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в ст.6, 10, 11 Федерального закона РФ от 27.07.2006 No152-ФЗ «О персональных данных»;
- отказать субъекту ПДн в выполнении запроса/повторного запроса, в случае, если субъекту ПДн был предоставлен мотивированный ответ об отказе выполнения такого запроса.
7 МЕРЫ, ПРИМЕНЯЕМЫЕ ДЛЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ
Компания принимает необходимые и достаточные организационные и технические меры для защиты ПДн субъектов ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.
Меры по обеспечению безопасности ПДн, применяемыев Компании:
- определение угроз безопасности ПДнпри их обработке в информационных системах персональных данных;издание организационно-распорядительных документов, регламентирующих порядок обработки и защиты ПДнв Компании;
- назначение лиц, ответственных за соблюдение порядка обработки и обеспечение безопасности ПДн;
- определение перечня сотрудников, имеющих доступ к обработке ПДн;ознакомление сотрудниковКомпании, непосредственно осуществляющих обработку ПДн, с положениями законодательства и локальных актов Компании по вопросам обработки и защиты ПДн;
- применение средств защиты информации;
- установление правил доступа к ПДн;
- оценка эффективности принимаемых мер по обеспечению безопасности ПДн.
8 ЛИЦА, ОТВЕТСТВЕННЫЕ ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ОРГАНИЗАЦИЯХ
Приказом Директора Компанииназначается должностноелицо, ответственное за организацию обработки ПДн.Лицо, ответственное за организацию обработки ПДн, получает указания непосредственно от Директора Компании.
Лицо, ответственное за организацию обработки ПДн обязано:
- осуществлять внутренний контроль за соблюдением Компанией и ее сотрудникамизаконодательства РФ в области ПДн;
- организовывать доведение до сведения сотрудниковКомпании положений законодательства РФ в области ПДн, локальных актов по вопросам обработки ПДн, требований к защите ПДн;
- организовывать приём и обработку обращений и запросов субъектов ПДн или их представителей и (или) осуществлять контроль за приёмом и обработкой таких обращенийи запросов.
9 ОТВЕТСТВЕННОСТЬ ЗА РЕАЛИЗАЦИЮ ПОЛОЖЕНИЙ ПОЛИТИКИ
Работники Компании, осуществляющие обработку ПДн, а также ответственные лица за организацию и обеспечение безопасности ПДн в Компании несут дисциплинарную и административную ответственность в соответствии с действующим законодательством РФ за нарушение положений настоящей Политики, локальных актов Компании, иных требований, предусмотренных законодательством РФ в области ПДн.