ГлавнаяИнформация для пациентовОбработка персональных данных

Обработка персональных данных

Положение об обработке и защите персональных данных

в ООО «Целитель»

 

  1. 1.      Основные понятия, термины, определения и сокращения

 

Для целей настоящей политики используются следующие основные понятия:

 

 1.1. Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому или юридическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

 1.2. Субъект —  физическое или юридическое лицо по которому проводится сбор информации, включающей персональные данные.

1.3. Обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

1.4. Информационная система персональных данных (далее — ИСПДн) — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

1.5. Обработка персональных данных без использования средств автоматизации (неавтоматизированная) — обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

1.6. Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных.

1.7. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

1.8. Уполномоченное оператором лицо – лицо, которому на основании договора оператор поручает обработку персональных данных.

1.9. Общество – ООО «Целитель»

1.10. Клиенты — физические или юридические лица, с которыми у Общества установлены в настоящее время или были установлены гражданско-правовые отношения, либо которые своими действиями выражают намерение установить такие отношения.

1.11. Посетители – физические лица, в отношении которых осуществляются мероприятия по контролю доступа на защищаемые объекты доступа Общества.

1.12. Сотрудник – штатные Работники Общества, с которыми заключен трудовой договор с  ООО «Целитель».

Перечень обрабатываемых персональных данных, подлежащих защите в ООО «Целитель», формируется в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», Уставом и внутренними нормативными документами Общества.

1.13. Используемые сокращения

— ИСПДн — информационная система персональных данных

— ПДн — персональные данные клиентов.

1.14. Специальные категории ПДн

Запрещается обрабатывать ПДн о политических, религиозных и философских убеждениях, а также об интимной жизни клиента Общества. Указанные специальные категории ПДн в деятельности Общества не используются и не обрабатываются.

Общество не вправе производить обработку данных о судимости клиента, за исключением в случаях и в порядке, которые определяются в соответствии с Федеральными законами.

Данные о здоровье обрабатываются только в том случае, если эти данные прямо относятся к возможности Клиента исполнять свои обязательства перед Обществом либо используются в целях исполнения требований действующего законодательства, например, в соответствии с законодательством о транспортной безопасности,  обязательных видов страхования, со страховым законодательством.

Сведения о расовой и национальной принадлежности Клиентов общества не обрабатываются. Фотографии, находящиеся в документах, удостоверяющего личность клиента Общества, и иные аналогичные данные не относятся к сведениям о расовой и национальной принадлежности. В случае если обработка специальных категорий ПДн Клиента Общества необходима по действующему законодательству или для осуществления деятельности Общества, то такая обработка осуществляется с письменного согласия клиента, за исключением случаев, предусмотренных законодательством Российской Федерации в области ПДн.

1.15. Биометрические ПДн

Общество не обрабатывает сведения, которые характеризуют физиологические особенности клиентов и на основе которых можно установить их личность. В соответствии с требованиями ГОСТ Р ИСО/МЭК 19794-5-2006 «автоматическая идентификация. Идентификация биометрическая. Данные изображения лица» система охранного видеонаблюдения, используемая в Обществе, не обрабатывает биометрические ПДн, на основании которых,  возможно идентифицировать личность клиента Общества.

Сканирование фотографий в документах, идентифицирующих личность клиентов (например паспорт, водительские права, удостоверения личности, удостоверение врача, удостоверение пенсионера и ветерана труда, инвалида) в обществе не осуществляется. Передаваемые в рамках договоров копии документов клиентов не соответствуют требованиям, предъявляемым к форматам записи изображения, установленным ГОСТ Р ИСО/МЭК 19794-5-2006.

В случае обработки биометрических ПДн клиента Общества необходима по действующему законодательству или для осуществления деятельности Общества, то такая обработка осуществляется с письменного согласия клиента, за исключением случаев, предусмотренных законодательством Российской Федерации в области ПДн.

1.16. Общедоступные ПДн

В целях информационного обеспечения могут создаваться общественные общедоступные источники ПДн (в том числе справочники, адресные книги). В общедоступные источники ПДн с письменного согласия клиента могут включаться его фамилия, имя, отчество, год и место рождения, адрес, включая адрес электронной почты, клиентский номер,IP-адрес, сведения о профессии и иные ПДн, сообщаемые субъектом ПДн или находящиеся в Перечне ПДн.

Сведения о клиенте Общества должны быть в любое время исключены из общедоступных источников ПДн  по запросу клиента либо по решению суда или иных уполномоченных государственных органов. В случае обработки общедоступных ПДн клиента обязанность доказывания того, что обрабатываемые ПДн являются общедоступными, возлагается на общество.

 

2. Общие положения

 

2.1. Настоящий документ определяет политику ООО «Целитель» в отношении обработки персональных данных клиентов – представителей физических и юридических лиц, которые  могут быть получены от субъекта либо представителя субъекта персональных данных,  являющегося стороной по гражданско-правовому договору с обществом, либо от юридического лица, вступившего с ООО «Целитель» в гражднско – правовые отношения, от субъекта персональных данных, являющегося посетителем ООО «Целитель».

2.2  Настоящая Политика  устанавливает требования к обеспечению безопасности персональных данных при их обработке в ИСПДн, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием и без использования средств автоматизации  в ООО «Целитель».

2.3. Настоящая  Политика в отношении персональных данных разработана в соответствии с   частью 2 статьи 18.1Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»

Политика  конфиденциальности ООО «Целитель» определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

2.4. Действие политики распространяется на все персональные данные субъектов, обрабатываемые ООО «Целитель» с применением средств автоматизации и без применения таких средств.

2.5. Для регламентирования процедур и процессов обработки ПДн ООО «Целитель» вправе издавать внутренние нормативные документы, содержащие требования по защите и порядку обработки ПДн.

2.6. Настоящая политика вводится в действие приказом директора ООО «Целитель».

 

3. Условия обработки персональных данных

 

3.1.Условия обработки персональных данных ООО «Целитель» подготовлены на основании:

— Постановления  Правительства Российской Федерации от 15 сентября 2008 года

№ 687 «Об утверждении Положения об особенностях обработки  персональных данных, осуществляемой без использования средств автоматизации»,

— Постановления  Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

3.2. Обработка персональных данных в ООО «Целитель» осуществляется на основе принципов:

— законности целей и способов обработки  ПДн;

— соответствия целей обработки ПДн  целям, заранее определенным и заявленным при сборе ПДн, а также полномочиям Общества;

— соответствия объема и характера обрабатываемых ПДн, способов обработки ПДн  целям обработки ПДн;

— достоверности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн;

— недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем ПДн.

3.3. хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн  не дольше, чем этого требуют цели их обработки.

3.4. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3.5. Субъект ПДн является собственником своих и самостоятельно решает вопрос передачи Обществу своих ПДн.

3.6. Держателем  ПДн является Общество, которому субъект ПДн передает во владение свои  ПДн. Общество выполняет функцию владения этими данными и обладает полномочиями распоряжения ими  в пределах, установленных законодательством.

3.7. Обработка ПДн клиентов осуществляется с их  согласия, также в иных случаях, предусмотренных частью 2 статьи  6 Федерального закона от 27.07.2006        № 152-ФЗ «О персональных данных». Согласие на обработку ПДн может быть дано клиентом или его законным представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку ПДн от представителя клиента полномочия данного представителя проверяются Обществом. Форма согласия может быть в письменной, конклюдентной или иной форме, предусмотренной действующим законодательством. При недееспособности клиента письменное согласие на обработку его ПДн дает его законный представитель.

3.8. Конклюдентная форма согласия.

В соответствии со статьей 158 Гражданского кодекса Российской Федерации конклюдентное или подразумеваемое согласие – это действия лица, выражающие его волю установить правоотношение (например, совершить сделку), но не в форме устного или письменного волеизъявления, а поведением, по которому можно сделать заключение о таком намерении. Клиенты Общества дают конклюдентное согласие на обработку их ПДн в том числе в следующих случаях: заполнение «Книги отзывов и предложений», заполнение анкет, в том числе на Web-сайте Общества.

Цель обработки

Предоставление информации об услугах, которые могут представлять интерес Обществу: исследование индекса удовлетворенности потребителей качеством предоставляемых услуг, рейтинговая оценка сотрудников.

При этом обрабатываются ПДн: фамилия, имя, отчество, телефон, адрес электронной почты клиента.

3.9. Общество вправе выступать агентом по обработке персональных данных по поручению Оператора – юридического лица на основании заключенного с Оператором договора. В данных конкретных случаях Оператором являются страховые компании (ДМС). Общество, при осуществлении обработки ПДн по поручению оператора, обязано выполнять требования Оператора и соблюдать принципы и правила обработки ПДн, предусмотренные Федеральным законом «О персональных данных» и не обязательно получать согласие субъекта ПДн на обработку его ПДн.

 

4. Цели и сроки обработки персональных данных

 

4.1. Общество обрабатывает ПДн с целью осуществления возложенных на Общество законодательством Российской Федерации функций, в соответствии с (в том числе, но, не ограничиваясь), Гражданским кодексом Российской Федерации, Налоговым кодексом Российской Федерации, федеральными законами, в частности, «О правах потребителей», «О персональных данных», «О бухгалтерском учете», «О противодействии легализации (отмыванию) доходов, полученных нелегальным преступным путем, и финансированию терроризма», принятыми в их исполнение нормативными актами Правительства России, проведения маркетинговых мероприятий для установления и дальнейшего укрепления отношений путем прямых контактов с клиентом, проведение статистической обработки ПДн для оценки удовлетворенности клиентом качеством и уровнем оказания услуг и в иных целях в рамках действующего законодательства.

4.2. Общество собирает ПДн в объеме необходимом для достижения названных целей, допускаются иные цели, если не противоречат действующему законодательству, но только с письменного согласия клиента.

4.3. Сроки обработки персональных данных определяются в соответствии со сроком действия гражданско – правовых отношений между субъектом ПДн и Обществом, сроком исковой давности, сроками. Указанными в согласии субъекта ПДн, установленными приказами Приказом Минкультуры РФ от 25.08.2010 №558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», а также иными требованиями законодательства РФ и нормативными документами Общества.

4.4. В Обществе создаются и хранятся документы, содержащие сведения о субъектах ПДн. Требования к использованию в Обществе данных типовых форм документов установлены Постановлением Правительства РФ от 15.09.2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

 

5. Права и обязанности

5.1. Обязанности Общества:

— предоставлять субъекту ПДн по его запросу информацию, касающуюся обработки его ПДН, либо на законных основаниях предоставить отказ;

— по требованию субъекта ПДн уточнять обрабатываемые персональные данные, блокировать или удалять, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

— вести Журнал учета обращений субъектов ПДн, в котором должны фиксироваться запросы субъекта ПДн на получение информации о ПДн, а также факты предоставления ПДн по этим запросам;

— уведомлять субъекта ПДн об обработке ПДн в том случае, если ПДн были получены не от субъекта ПДн;

— в случае достижения цели обработки ПДн незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено законодательством Российской Федерации, и уведомить об этом субъекта ПДн или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган;

— в случае отзыва субъектом ПДн согласия на обработку своих ПДн прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено соглашением между Обществом и субъектом ПДн, либо требованиями законодательства Российской Федерации;

— уведомить субъекта ПДн об уничтожении его ПДн;

— в случае поступления требования субъекта о прекращении обработки ПДн в целях продвижения товаров, работ, услуг на рынке немедленно прекратить обработку персональных данных;

— представлять ПДн субъектов государственным и иным уполномоченным органам, если это предусмотрено действующим законодательством РФ (налоговые, правоохранительные органы и др.);

— обрабатывать ПДн субъекта без его согласия, в случаях предусмотренных законодательством РФ.

5.2. Права и обязанности субъекта персональных данных

Субъект персональных данных имеет право:

— требовать уничтожения своих персональных данных, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

— требовать перечень своих ПДн, обрабатываемых Обществом и источник их получения;

— получать информацию о сроках обработки ПДн, в том числе о сроках их хранения;

— требовать извещения всех лиц, которым ранее были сообщены неверные  или не6полные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;

— обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;

-на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

 

6. Меры по обеспечению безопасности персональных данных при их обработке

 

6.1. При обработке ПДн Общество принимает необходимые правовые, организационные и технические  меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, копирования, блокирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении персональных данных;

6.2. Обеспечение безопасности ПДн достигается:

— определением угроз безопасности ПДн при их обработке в информационных системах ПДн;

— применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

— Оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы ПДн;

— учетом машинных носителей ПДн;

— обнаружением фактов несанкционированного доступа к ПДн и принятием мер по исключению в дальнейшем такого доступа;

— восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

— установлением правил доступа к персональным данным, обрабатываемым в информационной системе ПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в информационной системе ПДн;

— контролем принимаемых мер по обеспечению безопасности ПДн и уровня защищенности информационных систем ПДн.

 

7. Заключительные положения

 

7.1. Настоящая политика является общедоступной  и подлежит размещению на территории Общества и на интернет – сайте ООО «Целитель»  с указанием даты введения.

7.2. Настоящая политика подлежит изменению, дополнению в случае внесения изменений в действующие законодательные акты, при издании новых законодательных актов и нормативных документов по обработке и защите персональных данных.

7.3 Контроль исполнения требований настоящей политики осуществляется главным врачом, ответственным за организацию обработки персональных данных Общества.

7.4. Ответственность должностных лиц Общества, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации, и внутренними документами Общества.

 

Приложение 1

к положению по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных ООО «Целитель».

СОГЛАСИЕ

на обработку персональных данных

Я, пациент____________________________________________________________________

даю свое согласие Обществу с ограниченной ответственностью «Целитель» (далее Оператор) на обработку своих персональных данных, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

   Я уведомлен(а), что обработка моих персональных данных осуществляется Оператором в медико-профилактических целях, для установления медицинского диагноза и последующего оказания соответствующего вида стоматологических медицинских услуг.

    К персональным данным, согласие на обработку которых я предоставляю Оператору входят: фамилия, имя, отчество, дата рождения, адрес проживания, контактный телефон, данные о состоянии моего здоровья, заболеваниях, случаях обращения за медицинской помощью.

       Срок хранения персональных данных соответствует сроку хранения первичных медицинских документов и составляет двадцать пять лет. Передача персональных данных третьим лицам может осуществляться только с моего письменного согласия.

   Согласие на обработку персональных данных действует бессрочно.

    Я оставляю за собой право отозвать свое письменное согласие посредством составления соответствующего заявления направленного в адрес Оператора по почте заказным письмом с уведомлением о вручении либо вручением указанного заявления непосредственно представителю Оператора.

    В случае получения вышеуказанного заявления об отзыве согласия на обработку персональных данных Оператор обязан прекратить их обработку.

 

       (подпись)                                                                 «_____»_______________201__г.

 

Приложение 2

к положению по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных ООО «Целитель».

СОГЛАШЕНИЕ

о неразглашении персональных данных

субъекта персональных данных

Я,____________________________________________________________________________________,

паспорт серии_____ номер_____________ выданный ________________________________________

____________________________________________________________«___»_____________________г

в период трудовых отношений с ООО «Целитель» и в течение ______ лет после их прекращения в соответствии с Положением об обработке и защите персональных данных в ООО «Целитель» обязуюсь:

  • Не разглашать и не передавать третьим лицам сведения, содержащие персональные данные, которые мне будут доверены или станут известны по работе, кроме случаев, предусмотренных законодательством Российской Федерации и с разрешения ответственного за обработку данных в организации.
  • Выполнять требования приказов, положения и инструкций по обработке персональных данных в части меня касающейся.
  • В случае попытки посторонних лиц получить от меня сведения, содержащие персональные данные, а также в случае утери носителей информации, содержащих такие сведения, немедленно сообщить об этом лицу, ответственному за обработку персональных данных.
  • Не производить преднамеренных действий, нарушающих достоверность, целостность или конфиденциальность персональных данных, хранимых и обрабатываемых в ООО «Целитель»

До моего сведения также доведены с разъяснениями соответствующие положения по обеспечению сохранности персональных данных при автоматизированной обработке информации, а также при обработке информации без использования средств автоматизации.

Мне известно, что нарушение этого обязательства может повлечь ответственность, предусмотренную трудовым, административным и уголовным законодательством Российской Федерации.

«____»________________20___г.                           _____________________________