ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ И COOKIES В НАУЧНО-КЛИНИЧЕСКОМ ЦЕНТРЕ «ПРЕМЕД – ЕВРОПЕЙСКИЕ ТЕХНОЛОГИИ» (ООО "ПРЕМЕД")
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Политика в отношении обработки персональных данных и Cookies (далее — Политика) направлена на защиту прав и свобод человека и гражданина, персональные данные которых обрабатывает ООО "ПреМед" (далее — Оператор), в том числе прав на неприкосновенность частной жизни, личную и семейную тайну, права на защиту от возможной реализации угроз безопасности персональных данных.
1.2. Политика разработана в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — ФЗ «О персональных данных»).
1.3. Политика содержит сведения, подлежащие раскрытию в соответствии с ч. 1 ст. 14 ФЗ «О персональных данных», и является общедоступным документом.
1.4. Настоящая Политика распространяется на деятельность всех подразделений ООО «ПреМед», участвующих в обработке персональных данных.
Научно-клинический центр «ПреМед – европейские технологии» (ООО «ПреМед» заботится о конфиденциальности данных пациентов. Для этих целей разработана данная политика конфиденциальности, включающая правила сбора, использования, раскрытия, передачи и хранения вашей информации. Необходимо ознакомиться с нашими правилами соблюдения конфиденциальности и сообщить нам в случае появления вопросов.
1.5. Политика устанавливает ответственность руководства ООО «ПреМед», а также определяет подход организации к управлению информационной безопасностью.
1.6. Настоящая Политика определяет принципы, порядок и условия обработки персональных данных пациентов и работников учреждения, с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также устанавливает ответственность должностных лиц учреждения, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.7. Настоящая Политика в соответствии с требованиями п. 2 ст. 18.1 Федерального закона «О персональных данных» подлежит опубликованию на официальном сайте https://www.pre-med.ru/. и https://www.klinika-tverskaya.ru/.
1.8. Настоящая Политика Политика действует бессрочно после утверждения и до ее замены новой версией и может пересматриваться и заново утверждаться по мере внесения изменений:
в нормативные правовые акты в сфере персональных данных;
в локальные акты ООО «ПреМед», регламентирующие организацию обработки и обеспечение безопасности персональных данных.
1.9. В Политике используются термины и определения в соответствии с их значениями, как они определены в ФЗ-152 "О персональных данных".
1.10. Политика распространяется на всех сотрудников Оператора (включая работников по трудовым договорам и сотрудников, работающих по договорам подряда) и все структурные подразделения Общества, включая обособленные подразделения. Требования Политики также учитываются и предъявляются в отношении иных лиц при необходимости их участия в процессе обработки персональных данных Оператором, а также в случаях передачи им в установленном порядке персональных данных на основании соглашений, договоров, поручений на обработку.
1.11. Использование пациентом сервисов, предоставляемых Оператором, означает безоговорочное согласие пользователя с настоящей Политикой и указанными в ней условиями обработки его персональной информации
2. СВЕДЕНИЯ ОБ ОПЕРАТОРЕ
2.1. Оператор ведет свою деятельность по адресу: Москва, ул.Петровка, д.17, стр.3.
2.2. Ответственным за организацию обработки персональных данных приказом Генерального директора назначается Заместитель генерального директора по развитию и административным вопросам ООО «ПреМед»
2.3. Действующая редакция Политики на бумажном носителе хранится по адресу: Москва, ул.Петровка, д.17, стр.3.
2.4. База данных информации, содержащей персональные данные граждан Российской Федерации, находится по адресу: Москва, ул.Петровка, д.17, стр.3.
3. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
Автоматизированная обработка персональных данных − обработка персональных данных с помощью средств вычислительной техники.
Врачебная тайна - соблюдение конфиденциальности информации о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иных сведений, полученных при оказании медицинских услуг.
Документы, содержащие персональные данные пациентов - документы, необходимые для осуществления действий в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико- социальных услуг, а также для оформления договорных отношений.
Документы, содержащие персональные данные работника - документы, которые работник предоставляет Обществу-оператору (работодателю) в связи с трудовыми отношениями и касающиеся конкретного работника (субъекта персональных данных), а также другие документы, содержащие сведения, предназначенные для использования в служебных целях.
Информационная система персональных данных − совокупность содержащихся
в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Несанкционированный доступ (несанкционированные действия) - доступ к информации или действия с информацией, нарушающие правила разграничения доступа, в том числе с использованием штатных средств, предоставляемых информационными системами персональных данных.
Обезличивание персональных данных − действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с Федеральным законодательством не распространяется требование соблюдения конфиденциальности
Обработка персональных данных − любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, представление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Пациенты (субъекты персональных данных) - физические лица (законные представители физических лиц), обратившиеся к Обществу-оператору с целью получения медицинского обслуживания, либо состоящие в иных гражданско- правовых отношениях с Обществом-оператором по вопросам получения медицинских услуг
Персональные данные − любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Предоставление персональных данных − действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Работники (субъекты персональных данных) - физические лица, состоящие, а также готовящиеся вступить в трудовые и иные гражданско-правовые отношения с Обществом-оператором.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Трансграничная передача персональных данных − передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Уничтожение персональных данных − действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных, и (или) в результате которых уничтожаются материальные носители персональных данных.
4. НОРМАТИВНЫЕ ССЫЛКИ
4.1. Настоящая Политика разработана в соответствии с положениями следующих нормативных правовых актов:
- Конституция Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 № 195-ФЗ;
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Федеральный закон от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»;
- Федеральный закон от 03.04.1995 № 40-ФЗ «О Федеральной службе безопасности»;
- Федеральный закон от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности»;
- Федеральный закон от 10.01.2002г. № 1-ФЗ «Об электронной цифровой подписи»;
- Федеральный закон от 06.04.2011г. № 63-ФЗ «Об электронной подписи»;
- Федеральный закон от 04.05.2011г. № 99-ФЗ «О лицензировании отдельных видов деятельности»;
- Федеральный закон от 07.07.2003г. № 126-ФЗ «О связи»;
- Федеральный закон от 01.04.1996г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
- Федеральный закон от 24.07.2009г. № 212-ФЗ «О страховых взносах в Пенсионный Фонд РФ, Фонд социального страхования РФ, Федеральный Фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования»;
- Федеральный закон от 22.10.2004г. № 125-ФЗ «Об архивном деле в РФ»;
- Вопросы Федеральной службы по техническому и экспортному контролю (утв. Указом Президента Российской Федерации от 16.08.2004 № 1085);
- Положение о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (утв. Постановлением Правительства Российской Федерации от 16.03.2009 № 228);
- Требования к защите персональных данных при их обработке в информационных системах персональных данных (утв. Постановлением Правительства Российской Федерации от 01.11.2012 № 1119);
- Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. Постановлением Правительства Российской Федерации от 15.09.2008 № 687);
- Административный регламент Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по исполнению государственной функции «Ведение реестра операторов, осуществляющих обработку персональных данных» (утв. приказом Министерства связи и массовых коммуникаций Российской Федерации от 21.12.2011 № 346);
- Административный регламент исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (утв. приказом Министерства связи и массовых коммуникаций Российской Федерации от 14.11.2011 № 312);
- Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утв. приказом Федеральной службы по техническому и экспортному контролю Российской Федерации от 18.02.2013 № 21);
- Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности (утв. приказом Федеральной службы безопасности Российской Федерации от 10.07.2014 № 378).
-
-
- Устав ООО «ПреМед».
4.2. Во исполнение настоящей Политики в ОАО «Медицина» утверждены Положение о порядке организации и проведения работ по защите персональных данных, Положение о защите персональных данных работника ОАО «Медицина», Положение о защите персональных данных соискателей, пациентов и иных субъектов персональных данных и иные локальные акты в сфере обработки и защиты персональных данных.
5. СВЕДЕНИЯ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Оператор обрабатывает персональные данные на законной и справедливой основе для выполнения возложенных законодательством функций, полномочий и обязанностей, осуществления прав и законных интересов Оператора, работников Оператора и третьих лиц.
5.2. Оператор получает персональные данные непосредственно у субъектов персональных данных.
5.3. Оператор обрабатывает персональные данные автоматизированным и неавтоматизированным способами, с использованием средств вычислительной техники и без использования таких средств.
5.4. Действия по обработке персональных данных включают сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.
5.5. Базы данных информации, содержащей персональные данные граждан Российской Федерации, находятся на территории Российской Федерации.
5.6. Для достижения целей обработки персональных данных и с согласия субъектов персональных данных Оператор может осуществлять трансграничную передачу персональных данных.
6. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ
Положения данного раздела являются информацией для внутреннего использования Оператором.
7. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ
7.1. Оператор обрабатывает персональные данные клиентов в рамках правоотношений с Оператором, урегулированных частью второй Гражданского Кодекса Российской Федерации от 26 января 1996 г. № 14-ФЗ, (далее — клиентов).
7.2. Оператор обрабатывает персональные данные клиентов в целях соблюдения норм законодательства РФ, а также с целью:
— заключать и выполнять обязательства по договорам с клиентами;
— осуществлять виды деятельности, предусмотренные учредительными документами ООО "ПреМед";
— информировать о новых товарах, специальных акциях и предложениях;
— подписывать информированные согласия на оказание медицинских услуг;
— исполнение условий договора оказания платных медицинских услуг;
— исполнение законодательства в области предоставления медицинских услуг;
— предоставление пациентом письменного согласия на обработку ПД, за исключением случаев прямо предусмотренных действующим законодательством РФ.
7.3. Оператор обрабатывает персональные данные клиентов с их согласия, предоставляемого на срок действия заключенных с ними договоров. В случаях, предусмотренных ФЗ «О персональных данных», согласие предоставляется в письменном виде. В иных случаях согласие считается полученным при заключении договора или при совершении конклюдентных действий.
7.4. Оператор обрабатывает персональные данные клиентов в течение сроков действия заключенных с ними договоров. Оператор может обрабатывать персональные данные клиентов после окончания сроков действия заключенных с ними договоров в течение срока, установленного п. 5 ч. 3 ст. 24 части первой НК РФ, ч. 1 ст. 29 ФЗ «О бухгалтерском учёте» и иными нормативными правовыми актами.
7.5. Оператор обрабатывает специальные категории персональных данных несовершеннолетних клиентов с письменного согласия их законных представителей на основании ч. 1 ст. 9, п. 1 ч. 2 ст. 10 ФЗ «О персональных данных».
7.6. Оператор обрабатывает следующие персональные данные клиентов:
— Фамилия, имя, отчество;
— Тип, серия и номер документа, удостоверяющего личность;
— Дата выдачи документа, удостоверяющего личность, и информация о выдавшем его органе;
— Год рождения;
— Месяц рождения;
— Дата рождения;
— Место рождения;
— Адрес;
— Номер контактного телефона;
— Адрес электронной почты;
— Идентификационный номер налогоплательщика;
— Номер страхового свидетельства государственного пенсионного страхования;
— Семейное положение;
— Состояние здоровья;
— Данные о зрении;
— Фотография;
— Образование;
— Профессия;
— Доходы;
— Налоговые вычеты; — Льготные выплаты;
— Временная нетрудоспособность;
— Должность;
— Сведения о пребывании за границей;
— Социальное положение;
— Данные о социальных льготах;
— Данные полиса ОМС;
— Состояние интимной жизни;
— Сведения об оказанных услугах;
— Лекарственный препарат, изделие;
— Сведения о приёме лекарственного препарата, применении изделия;
— Анамнез пациента;
— План лечения;
— Назначения лечебных и диагностических процедур,;
— Номер амбулаторной карты (истории болезни);
— Страховые взносы на ОПС;
— Страховые взносы на ОМС;
— Выход на пенсию;
— Дополнительные страховые взносы на накопительную часть пенсии;
— Табельный номер;
— Трудовой стаж;
— Учёная степень, звание;
— Научно-педагогический стаж;
— Сведения о воинском учёте;
— Имущественное положение;
— План лечения пациента;
— Назначения диагностических и лечебных процедур, лекарственных препаратов.
8. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ СОТРУДНИКОВ ПО ДОГОВОРАМ ГРАЖДАНСКО-ПРАВОВОГО ХАРАКТЕРА
Положения данного раздела являются информацией для внутреннего использования Оператором.
9. СВЕДЕНИЯ ОБ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Оператор назначает ответственного за организацию обработки персональных данных для выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
9.2. Оператор применяет комплекс правовых, организационных и технических мер по обеспечению безопасности персональных данных для обеспечения конфиденциальности персональных данных и их защиты от неправомерных действий:
— обеспечивает неограниченный доступ к Политике, копия которой размещена по адресу нахождения Оператора, а также может быть размещена на сайте Оператора (при его наличии);
— во исполнение Политики утверждает и приводит в действие документ «Положение об обработке персональных данных» (далее — Положение) и иные локальные акты;
— производит ознакомление работников с положениями законодательства о персональных данных, а также с Политикой и Положением;
— осуществляет допуск работников к персональным данным, обрабатываемым в информационной системе Оператора, а также к их материальным носителям только для выполнения трудовых обязанностей;
— устанавливает правила доступа к персональным данным, обрабатываемым в информационной системе Оператора, а также обеспечивает регистрацию и учёт всех действий с ними;
— производит оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ «О персональных данных»;
— производит определение угроз безопасности персональных данных при их обработке в информационной системе Оператора;
— применяет организационные и технические меры и использует средства защиты информации, необходимые для достижения установленного уровня защищенности персональных данных;
— осуществляет обнаружение фактов несанкционированного доступа к персональным данным и принимает меры по реагированию, включая восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
— производит оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы Оператора;
— осуществляет внутренний контроль соответствия обработки персональных данных ФЗ «О персональных данных», принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, Политике, Положению и иным локальным актам, включающий контроль за принимаемыми мерами по обеспечению безопасности персональных данных и их уровня защищенности при обработке в информационной системе Оператора.
10. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. Субъект персональных данных имеет право:
— на получение персональных данных, относящихся к данному субъекту, и информации, касающейся их обработки;
— на уточнение, блокирование или уничтожение его персональных данных в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
— на отзыв данного им согласия на обработку персональных данных;
— на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке;
— на обжалование действий или бездействия Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
10.2. Для реализации своих прав и законных интересов субъекты персональных данных имеют право обратиться к Оператору либо направить запрос лично или с помощью представителя. Запрос должен содержать сведения, указанные в ч. 3 ст. 14 ФЗ «О персональных данных».
12. ОТВЕТСТВЕННОСТЬ
11.1. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут дисциплинарную, материальную, гражданско-правовую, административную и уголовную ответственность в порядке, установленном федеральными законами, локальными актами ООО «ПреМед» и договорами, регламентирующими правоотношения с третьими лицами.