ПОЛИТИКА обработки персональных данных коммерческой организации – общества с ограниченной ответственностью «Карат»
- Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных (далее по тексту – Политика) разработана в соответствии с Федеральным законом от 27 июля 2006 № 152-ФЗ «О персональных данных» действует в отношении всех персональных данных, обрабатываемых в обществе с ограниченной ответственностью «Карат» (далее по тексту – Общество).
1.2. Политика устанавливает:
− цели обработки персональных данных;
− принадлежность персональных данных;
− перечень действий с персональными данными и способы их обработки общие принципы обработки персональных данных;
− условия обработки персональных данных и обеспечение их конфиденциальности; − права субъектов персональных данных и Общества;
− меры по обеспечению безопасности персональных данных.
1.3. Политика определяет принципы, порядок и условия обработки персональных данных пациентов и работников Общества, с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни.
1.4. Положения настоящей Политики являются основой для организации работы по обработке персональных данных, разработки внутренних нормативных документов, регламентирующих порядок обработки персональных данных. Общество является оператором персональных данных, самостоятельно или совместно с другими лицами организующее и осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными, а также обеспечивает защиту прав и свобод субъектов при обработке их персональных данных и принимает меры для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
1.5. Настоящая Политика является общедоступной и размещается в открытом доступе (на официальном сайте, стендах информирования и т.п.) или иным образом обеспечивающий доступ к данной политике.
1.6. В настоящей Политике используются следующие основные понятия: − персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); − обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
− автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
− неавтоматизированная обработка персональных данных – обработка персональных данных ручным способом;
− распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
− предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц; − блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
− уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
− обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту;
− трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
− конфиденциальность персональных данных – обязательное для соблюдения оператором требование не раскрывать третьим лицам и не допускать распространения персональных данных без согласия субъектов персональных данных или наличия иного законного основания;
− защита персональных данных – деятельность оператора, направленная на предотвращение утечки защищаемых персональных данных, несанкционированных и непреднамеренных воздействий на защищаемые персональные данные.
- Основания и цели обработки персональных данных
2.1. Общество осуществляет обработку персональных данных в соответствии с требованиями следующих документов:
− Конституции Российской Федерации, принята всенародным голосованием 12 декабря 1993 года;
− Трудового кодекса Российской Федерации от 30 декабря 2001 года № 197-ФЗ; − Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»; − Федерального закона от 21 ноября 2011 года № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
− Федерального закона от 29 ноября 2010 года № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
− Устава Общества;
− Лицензии на осуществление медицинской деятельности.
2.2. Обработка персональных данных осуществляется с целью:
− исполнения требований законодательства Российской Федерации;
− защиты законных прав и интересов граждан при оказании медицинской помощи и медицинских услуг, проведении медицинских осмотров и установления медицинского диагноза;
− исполнения договорных обязательств перед Учреждениями и организациями, заключившими договора на оказание медицинских услуг своим сотрудникам, осуществления и выполнения, возложенных законодательством Российской Федерации, на оператора функций, полномочий и обязанностей по выполнение трудового законодательства, осуществления бухгалтерской и кадровой деятельности.
- Обрабатываемые персональные данные
3.1. Категории субъектов, персональные данные которых обрабатываются: − физические лица, состоящие в трудовых отношениях с Обществом (далее по тексту – Сотрудники);
− физические лица (население) персональные данные которых обрабатываются в пределах полномочий и задач Общества.
3.2. Общество обрабатывает следующие персональные данные Сотрудников: − фамилия, имя, отчество; − место, год и дата рождения;
− адрес по месту регистрации;
− паспортные данные (серия, номер паспорта, кем и когда выдан);
− информация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность);
− информация о трудовом стаже (место работы, должность, период работы, причины увольнения);
− телефонный номер (домашний, рабочий, мобильный);
− семейное положение и состав семьи (муж/жена, дети);
− оклад;
− данные о трудовом договоре (№ трудового договора, дата его заключения, дата начала и дата окончания договора, вид работы, срок действия договора, наличие испытательного срока, режим труда, длительность основного отпуска, длительность дополнительного отпуска, длительность дополнительного отпуска за ненормированный рабочий день, обязанности 6 работника, дополнительные социальные льготы и гарантии, № и число изменения к трудовому договору, характер работы, форма оплаты, категория персонала, условия труда, продолжительность рабочей недели, система оплаты);
− сведения о воинском учете (категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета);
− ИНН;
− данные об аттестации работников;
− данные о повышении квалификации;
− данные о наградах, медалях, поощрениях, почетных званиях;
− информация о приеме на работу, перемещении по должности, увольнении; − информация об отпусках;
− информация о командировках; − информация о болезнях;
− информация о негосударственном пенсионном обеспечении. Организация осуществляет обработку данных о состоянии здоровья работников организации в соответствии с трудовым законодательством Российской Федерации.
3.3. Общество обрабатывает следующие персональные данные субъектов персональных данных:
− фамилия, имя, отчество;
− пол;
− дата рождения;
− место рождения;
− адрес проживания;
− адрес регистрации;
− документ, удостоверяющий личность;
— реквизиты полиса обязательного медицинского страхования;
− фамилия, имя, отчество родителя ребенка;
− данные паспорта родителя ребенка;
− данные о состоянии здоровья (история болезни);
− результаты выполненных медицинских исследований.
Общество осуществляет обработку данных о состоянии здоровья субъектов персональных данных в целях оказания медицинских услуг, установления медицинского диагноза при этом обработка персональных данных осуществляется лицами, профессионально занимающимися медицинской деятельностью и обязанными в соответствии с законодательством Российской Федерации сохранять врачебную тайну.
- Перечень действий с персональными данными, описание способов обработки персональных данных
4.1. Перечень действий, осуществляемых с персональными данными: − сбор персональных данных; − запись персональных данных; − систематизация персональных данных;
− накопление персональных данных;
− хранение персональных данных;
− уточнение (обновление, изменение) персональных данных;
− использование персональных данных;
− распространение персональных данных;
− блокирование персональных данных; уничтожение персональных данных. 4.2. Обработка персональных данных осуществляется путем:
− получения информации, содержащей персональные данные, в устной и (или) письменной форме непосредственно от субъектов персональных данных; — предоставления субъектами персональных данных оригиналов и копий необходимых документов;
− копирования документов;
− получения персональных данных при направлении запросов в органы государственной власти, государственные внебюджетные фонды, иные государственные органы, коммерческие и некоммерческие организации, физическим лицам в случаях и порядке, предусмотренных законодательством Российской Федерации; получения (передачи) персональных данных от других (другим) учреждениям и организациям;
− фиксации (регистрации) персональных данных в журналах, книгах, реестрах и других учетных формах;
− внесения персональных данных в информационные системы персональных данных; − использования иных средств и способов фиксации персональных данных, получаемых в рамках осуществляемой деятельности.
4.3. Доступ к персональным данным предоставляется только сотрудникам, которым он необходим для исполнения своих должностных обязанностей и с соблюдением принципов персональной ответственности.
4.4. Прекращение неавтоматизированной обработки персональных данных субъекта и уничтожение документов, содержащих персональные данные, осуществляется в сроки, установленные законом.
4.5. Прекращение автоматизированной обработки персональных данных в информационных системах осуществляется по письменному требованию субъекта персональных данных или по истечению сроков хранения первичных медицинских документов.
4.6. Прекращение автоматизированной и неавтоматизированной обработки персональных данных Сотрудников осуществляется в следующих случаях: — прекращение договорных отношений с Сотрудниками и физическими лицами; − ликвидация Общества.
4.7. Передача информации, содержащей персональные данные субъектов персональных данных, третьим лицам осуществляется в организации, с которыми
заключены договоры на оказание платных медицинских услуг, с согласия субъекта персональных данных.
4.8. Передача информации, содержащей персональные данные субъектов персональных данных, третьим лицам осуществляется с использованием автоматизированных систем по закрытым сертифицированным средствам криптографической защиты каналам связи и методом физической доставки адресату в распечатанном виде.
- Обеспечение конфиденциальности персональных данных
5.1. В соответствии с требованиями Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», Федерального закона от 21 ноября 2011 года № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» раскрытие и распространение третьим лицам персональных данных, а также сведения о факте обращения субъекта персональных данных за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, осуществляется с согласия субъекта персональных данных, если иное не предусмотрено федеральным законодательством.
5.2. В соответствии с требованиями статьи 88 Трудового кодекса Российской Федерации от 30 декабря 2001 года № 197-ФЗ передача персональных данных Сотрудника третьей стороне осуществляется с его письменного согласия, если иное не предусмотрено федеральным законодательством.
5.3. Передача персональных данных субъектов персональных данных проходящих медицинские осмотры, медицинские исследования и лечение третьим лицам без согласия субъекта персональных данных осуществляется в соответствии с требованиями Федерального закона от 29 ноября 2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации» и договорами, заключаемыми субъектами (работодателем) со страховыми компаниями, в целях ведения персонифицированного учета сведений о медицинской помощи, оказанной застрахованным лицам, осуществляется передача сведений о субъекте персональных данных в территориальные фонды обязательного медицинского страхования, добровольного медицинского страхования, негосударственные страховые компании.
5.4. Передача персональных данных субъектов, проходящих медицинские осмотры, медицинские исследования и лечение, третьим лицам без согласия субъекта персональных данных осуществляется в соответствии с требованиями Федерального закона от 21 ноября 2011 года № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»:
− в целях проведения медицинского обследования и лечения гражданина, который в результате своего состояния не способен выразить свою волю;
− при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;
− по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органов прокуратуры в связи с осуществлением ими прокурорского надзора, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля за поведением условно осужденного, осужденного, в отношении которого отбывание наказания отсрочено, и лица, освобожденного условно-досрочно;
— в целях осуществления уполномоченными федеральными органами исполнительной власти контроля за исполнением лицами, признанными больными наркоманией либо потребляющими наркотические средства или психотропные вещества без назначения врача либо новые потенциально опасные психоактивные вещества, возложенной на них при назначении административного наказания судом обязанности
пройти лечение от наркомании, диагностику, профилактические мероприятия и (или) медицинскую реабилитацию;
− в случае оказания медицинской помощи несовершеннолетнему, для информирования одного из его родителей или иного законного представителя; − в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий;
− в целях проведения военно-врачебной экспертизы по запросам военных комиссариатов, кадровых служб и военно-врачебных (врачебнолетных) комиссий федеральных органов исполнительной власти и федеральных государственных органов, в которых федеральным законом предусмотрена военная и приравненная к ней служба;
− в целях расследования несчастного случая на производстве и профессионального заболевания, а также несчастного случая с обучающимся во время пребывания в организации, осуществляющей образовательную деятельность, не осуществляющей спортивной подготовки и являющейся заказчиком услуг по спортивной подготовке, во время прохождения таким лицом спортивной подготовки в организации, осуществляющей спортивную подготовку, в том числе во время его участия в спортивных соревнованиях, предусмотренных реализуемыми программами спортивной подготовки;
− при обмене информацией медицинскими организациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований законодательства Российской Федерации о персональных данных;
− в целях осуществления учета и контроля в системе обязательного социального страхования;
− в целях осуществления контроля качества и безопасности медицинской деятельности в соответствии с настоящим Федеральным законом.
5.5. В целях информационного обеспечения субъектов персональных данных в Обществе могут создаваться общедоступные источники персональных данных о врачах специалистах (доска объявлений, информация на сайте и т.п.). В общедоступные источники персональных данных без согласия субъекта персональных данных могут включаться: − фамилия, имя, отчество;
− структурное подразделение; − должность;
− сведения о квалификации врача-специалиста;
− стаж работы.
5.6. Трансграничная передача персональных данных может осуществляться в соответствии со статьей 12 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
5.7. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
− наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;
− предусмотренных международными договорами Российской Федерации; − предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного
функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства; − исполнения договора, стороной которого является субъект персональных данных; − защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.
5.8. Общество вправе на основании заключаемого договора поручить обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю с согласия субъектов персональных данных. Юридическое лицо или индивидуальный предприниматель, осуществляющие обработку персональных данных по поручению Общества, обязаны соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством Российской Федерации в области персональных данных и обеспечения условий конфиденциальности и безопасности персональных данных при их обработке.
- Обеспечение безопасности персональных данных
6.1. Общество при обработке персональных данных обязано принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
6.2. Защита персональных данных представляет собой жестко регламентированный технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных, используемых в процессе деятельности Общества.
6.3. Обеспечение безопасности персональных данных достигается, в частности: − определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
− применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
− применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
− оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
− учетом машинных носителей персональных данных;
− обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
− восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
− установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
− контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
6.4. Основными организационными мерами по защите персональных данных в Обществе являются:
− определение состава сотрудников, функциональные обязанности которых требуют обработки персональных данных;
− обеспечение ознакомления сотрудников с требованиями нормативных актов Общества по защите информации;
− обеспечение наличия необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
− организация процесса уничтожения информации;
− организация разъяснительной работы с сотрудниками Общества по предупреждению утраты и утечки сведений при работе с конфиденциальными документами, содержащими персональные данные; − разработка комплекта организационно-распорядительных документов Учреждения, регламентирующих процессы обработки персональных данных.
6.5. В качестве технических мер защиты персональных данных в Обществе должны применяться:
− антивирусная защита;
— межсетевые экраны;
− специализированные средства защиты информации от несанкционированного доступа.
6.6. После установки (обновления) программного обеспечения ответственный за обеспечение безопасности персональных данных в информационных системах персональных данных должен произвести требуемые настройки средств управления доступом к компонентам персональных электронных вычислительных и проверить работоспособность программного обеспечения и правильность его настройки.
- Права и обязанности субъекта персональных данных и Общества
7.1. Субъект персональных данных обязан:
− предоставить достоверные персональные данные, необходимые для исполнения договора, оказания услуги, идентификации субъекта персональных данных, а также в иных случаях, предусмотренных Федеральным законодательством Российской Федерации. 7.2. Субъект персональных данных имеет право:
− получать информацию, касающуюся обработки его персональных данных, в порядке, форме и сроки, установленные Федеральным законом от 27 июля 2006 года № 152- ФЗ «О персональных данных»;
− требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для заявленной цели обработки или используются в целях, не заявленных ранее при предоставлении субъектом персональных данных согласия на обработку персональных данных; − отозвать свое согласие на обработку персональных данных;
− обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных.
7.3. Общество обязано:
− организовывать и осуществлять медицинскую деятельность в соответствии с законодательными и иными нормативными правовыми актами Российской Федерации, в том числе порядками оказания медицинской помощи, и на основе стандартов медицинской помощи;
− вести медицинскую документацию в установленном порядке и представлять отчетность по видам, формам, в сроки и в объеме, которые установлены уполномоченным федеральным органом исполнительной власти;
− принимать необходимые меры для выполнения обязанностей оператора, предусмотренных законодательством Российской Федерации в сфере обработки и защиты персональных данных;
− разъяснять субъекту персональных данных юридические последствия отказа предоставить персональные данные, если это является обязательным в соответствии с законодательством Российской Федерации;
− осуществлять блокирование неправомерно обрабатываемых персональных данных;
− осуществлять прекращение обработки персональных данных в соответствии с законодательством Российской Федерации;
− уведомлять субъекта персональных данных об устранении допущенных нарушений или уничтожении его персональных данных;
− предоставлять по просьбе субъекта персональных данных или его представителя информацию, касающуюся обработки его персональных данных, в порядке, установленном законодательством Российской Федерации и нормативно-правовыми актами. 7.4. Общество имеет право:
— обрабатывать персональные данные субъекта персональных данных в соответствии с заявленной целью;
− требовать от субъекта персональных данных предоставления достоверных персональных данных, необходимых для исполнения договора, оказания услуги, идентификации субъекта персональных данных, а также в иных случаях, предусмотренных Федеральным законодательством Российской Федерации;
− обрабатывать персональные данные субъекта, предоставлять персональные данные субъекта третьим лицам без его согласия, если это предусмотрено Федеральным законодательством Российской Федерации;
− поручать обработку персональных данных другим лицам с согласия субъекта персональных данных; − отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством.
- Заключительные положения
8.1. Настоящая Политика вступает в силу с даты её утверждения.
8.2. Настоящая Политика может быть пересмотрена в результате изменений нормативных актов, регулирующих защиту персональных данных и деятельность Общества.
8.3. Настоящая Политика не заменяет собой действующего законодательства Российской Федерации, регулирующего общественные отношения в сфере обработки персональных данных и обеспечения их безопасности и конфиденциальности.