Политика обработки персональных данных

Назначение и область действия документа

Политика ООО «Медцентрсервис» (далее по тексту также — Общество) в отношении обработки персональных данных (далее — Политика) определяет позицию и намерения Общества в области обработки и защиты персональных данных, с целью соблюдения и защиты прав и свобод каждого человека и, в особенности, права на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.

Цель настоящей Политики — обеспечение в соответствии с законодательством Российской Федерации обработки, хранения и защиты персональных данных, а также персональных данных, содержащихся в документах, полученных из других организаций, в обращениях граждан и иных субъектов персональных данных. Настоящая Политика разработана в соответствии с Конституцией РФ, Трудовым кодексом РФ, Федеральным законом от 27.07.06г. № 152-ФЗ «О персональных данных» (в ред. от 27.07.2010г. № 204-ФЗ), Федеральным законом от 27.07.06г.№ 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 29.07.04г. № 98-ФЗ «О коммерческой тайне», Федеральным законом от 22.10.04г. № 125-ФЗ «Об архивном деле в Российской Федерации», указанием Федерального агентства по образованию от 22.10.09г.№ 17-187 «Об обеспечении защиты персональных данных», Федеральным законом РФ от 21.11.2011г. № 323-ФЗ «Об основах охраны здоровья граждан в РФ», иными нормативно-правовыми актами РФ.

Политика неукоснительно исполняется руководителями и работниками всех структурных подразделений и филиалов ООО «Медцентрсервис».

Действие Политики распространяется на все персональные данные субъектов, обрабатываемые в Обществе с применением средств автоматизации и без применения таких средств.

К настоящей Политике имеет доступ любой субъект персональных данных.

Термины и понятия

Оператор персональных данных (далее оператор) — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. В рамках настоящего положения оператором является ООО «Медцентрсервис».

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (гражданину, субъекту персональных данных), т.е. к такой информации, в частности, можно отнести: ФИО, год, месяц, дату и место рождения, адрес, номер мобильного телефона, адрес электронной почты, фотографические изображения, сведения о семейном, социальном, имущественном положении, сведения об образовании, профессии, доходах, сведения о состоянии здоровья, а также другую информацию (п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ).

Персональные данные, разрешенные субъектом персональных данных для распространения — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 № 152-ФЗ (далее персональные данные, разрешенные для распространения) (п. 1.1. ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ).

Обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемые с использованием средств автоматизации или без использования таких средств. К таким действиям (операциям) можно отнести: сбор, получение, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ).

Субъекты персональных данных:

• работники ООО «Медцентрсервис»;
• субъекты, с которыми заключены договоры гражданско-правового характера;
• кандидаты на замещение вакантных должностей ООО «Медцентрсервис»;
• клиенты ООО «Медцентрсервис»;
• пользователи сайта ООО «Медцентрсервис»;
• представители юридических лиц.

Перечень персональных данных субъектов — клиентов:

• фамилия, имя, отчество;
• дата рождения;
• контактный телефон;
• адрес прописки/фактического места проживания;
• данные документа, удостоверяющего личность;
• данные о состоянии здоровья (медицинская карта);
• иная информация, в предусмотренных действующим законодательством РФ случаях.

1. Принципы и условия обработки персональных данных

1.1. Под безопасностью персональных данных ООО «Медцентрсервис» понимает защищенность персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, и принимает необходимые правовые, организационные и технические меры для защиты персональных данных.

1.2. Обработка и обеспечение безопасности персональных данных в ООО «Медцентрсервис» осуществляется в соответствии с требованиями Конституции Российской Федерации, Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», подзаконных актов, других определяющих случаи и особенности обработки персональных данных федеральных законов Российской Федерации, руководящих и методических документов ФСТЭК России и ФСБ России.

1.3. При обработке персональных данных ООО «Медцентрсервис» придерживается следующих принципов:

• законности и справедливой основы;
• ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
• недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
• недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• обработки персональных данных, которые отвечают целям их обработки;
• соответствия содержания целям обработки.

1.4. Общество обрабатывает персональные данные только при наличии хотя бы одного из следующих условий:

• обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
• добработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
• обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
• обработка персональных данных необходима для осуществления прав и законных интересов Общества или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
• осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
• осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

1.5. ООО «Медцентрсервис» вправе поручить обработку персональных данных граждан третьим лицам, на основании заключаемого с этими лицами договора.

1.6. Лица, осуществляющие обработку персональных данных по поручению ООО «Медцентрсервис», обязуются соблюдать принципы и правила обработки и защиты персональных данных, предусмотренные Федеральным законом № 152-ФЗ «О персональных данных». Для каждого лица определены перечень действий (операций) с персональными данными, которые будут совершаться юридическим лицом, осуществляющим обработку персональных данных, цели обработки, установлена обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность персональных данных при их обработке, а также указаны требования к защите обрабатываемых персональных данных.

1.7. В случаях, установленных законодательством Российской Федерации, ООО «Медцентрсервис» вправе осуществлять передачу персональных данных граждан.

1.8. ООО «Медцентрсервис» вправе направлять клиентам/пациентам сообщения рекламно-информационного и сервисного характера, а также направлять фискальные чеки в электронном виде. Если клиент/пациент отзывает свое согласие на получение сообщений рекламно-информационного и сервисного характера, он должен уведомить об отказе в получении информационных и сервисных рассылок путем направления заявления в свободной форме на адрес электронной почты info@medcentrservis.ru либо в простой пиcьменной форме на почтовый адрес Общества.

1.9. В целях информационного обеспечения в Общества могут создаваться общедоступные источники персональных данных работников, в том числе справочники и адресные книги, доступные для ознакомления неограниченному кругу лиц. В общедоступные источники персональных данных с согласия работника могут включаться его фамилия, имя, отчество, дата и место рождения, должность, номера контактных телефонов, адрес электронной почты и иные сведения, разрешенные лицами к распространению. Сведения должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

1.10. Общество уничтожает либо обезличивает персональные данные по достижении целей обработки или в случае утраты необходимости достижения цели обработки.

1.11. Обработка персональных данных, разрешенных для распространения, из числа специальных категорий персональных данных, указанных в ч. 1 ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ, допускается, если соблюдаются запреты и условия, предусмотренные ст. 10.1 указанного Закона.

1.12. Письменное согласие лица на обработку персональных данных, разрешенных для распространения, оформляется отдельно от других согласий на обработку его персональных данных. При этом соблюдаются условия, предусмотренные, в частности, ст. 10.1 Федерального закона от 27.07.2006 № 152-ФЗ. Требования к содержанию такого согласия устанавливаются уполномоченным органом по защите прав субъектов персональных данных. Оператор обязан не позднее трех рабочих дней с момента получения указанного согласия опубликовать информацию об условиях обработки, о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных для распространения.

1.13. Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных для распространения, не действуют в случаях обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством РФ.

1.14. Согласие на обработку персональных данных, разрешенных для распространения, прекращает свое действие с момента поступления соответствующего требования о прекращении обработки от субъекта персональных данных.

2. Меры по обеспечению безопасности персональных данных

Обеспечение безопасности персональных данных достигается следующими мерами и процедурами:

• назначением должностных лиц, ответственных за организацию и обеспечение безопасности персональных данных;
• изданием документов, определяющих политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
• определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
• применением правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со ст.19 Федерального закона «О персональных данных» и требованиями других нормативных правовых актов;
• использованием обезличивания персональных данных;
• осуществлением внутреннего контроля соответствия обработки персональных данных федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике в отношении обработки персональных данных, локальным актам;
• ознакомлением работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;
• аттестацией информационных систем персональных данных по требованиям безопасности информации;
• непрерывным совершенствованием методов и способов обеспечения безопасности персональных.

3. Права и обязанности субъекта персональных данных (клиента)

Ниже описаны права и обязанности гражданина, чьи персональные данные обрабатываются ООО «Медцентрсервис».

Клиент имеет право:

1. Получать от ООО «Медцентрсервис»:
   • подтверждение факта обработки персональных данных ООО «Медцентрсервис»;
   • правовые основания и цели обработки персональных данных;
   • сведения о применяемых ООО «Медцентрсервис» способах обработки персональных данных;
   • сведения о наименовании местонахождении ООО «Медцентрсервис»;
   • сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с ООО «Медцентрсервис» или на основании федерального закона;
   • перечень обрабатываемых персональных данных, относящихся к гражданину, от которого поступил запрос и источник их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом;
   • сведения о сроках обработки персональных данных, в том числе о сроках их хранения;
   • сведения о порядке осуществления гражданином прав, предусмотренных Федеральным законом «О персональных данных» № 152-ФЗ;
   • информацию об осуществляемой или о предполагаемой трансграничной передаче персональных данных;
   • наименование и адрес лица, осуществляющего обработку персональных данных по поручению ООО «Медцентрсервис»;
   • иные сведения, предусмотренные Федеральным законом «О персональных данных» № 152-ФЗ или другими федеральными законами;
2. Требовать исключения или исправления, уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
3. Устанавливать условия и запреты обработки персональных данных, разрешенных для распространения;
4. Отозвать свое согласие на обработку персональных данных, а также согласие на обработку персональных данных, разрешенных для распространения;
5. Требовать устранения неправомерных действий ООО «Медцентрсервис» в отношении его персональных данных;
6. Обжаловать действия или бездействие ООО «Медцентрсервис» в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке в случае, если гражданин считает, что ООО «Медцентрсервис» осуществляет обработку его персональных данных с нарушением требований Федерального закона№ 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы;
7. На защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

Клиент обязан:

• Перечень персональных данных субъектов — клиентов: При посещении врача предоставить полные достоверные данные о себе и состоянии своего здоровья.
• В случае изменения сведений, составляющих персональные данные, незамедлительно предоставить данную информацию в ООО «Медцентрсервис».

4. Права и обязанности оператора персональных данных

Ниже описаны права и обязанности оператора персональных данных.

Оператор обязан:

• Осуществлять защиту персональных данных субъектов.
• Обеспечить хранение медицинской и иной документации. При этом персональные данные не должны храниться дольше, чем это оправдано выполнением задач, для которых они собирались, или дольше, чем это требуется в интересах лиц, о которых собраны данные.
• По письменному заявлению субъекта предоставлять сведения из документации, содержащей его персональные данные.
• Обеспечить соблюдение врачебной тайны.
• Все сотрудники, имеющие доступ к персональным данным субъектов, обязуются не разглашать персональные данные, ставшие им известными в связи с исполнением своих обязанностей.

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, привлекаются к ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, а также в случаях, предусмотренных законом, могут быть привлечены к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.