Политика конфиденциальности
ООО «Стоматология для всех»
В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1.ОБЩИЕ ПОЛОЖЕНИЯ
– Федеральным законом от 21 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
– Федеральным законом № 152-ФЗ от 27 июля 2006 года «О персональных данных»;
– Постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
– Постановлением Правительства РФ от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
– иными нормативными правовыми актами Российской Федерации.
Кроме того, обработка персональных данных в Обществе осуществляется в ходе трудовых и иных непосредственно связанных с ними отношений, в которых Общество выступает в качестве работодателя (глава 14 Трудового кодекса Российской Федерации), в связи с реализацией Общества своих прав и обязанностей как юридического лица.
2. ОБРАБАТЫВАЕМЫЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу
(распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных,
состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Пациент – физическое лицо, которому оказывается медицинская помощь или которое обратилось за оказанием медицинской помощи независимо от наличия у него заболевания и от его состояния.
Медицинская деятельность – профессиональная деятельность по оказанию медицинской помощи, проведению медицинских экспертиз, медицинских осмотров и медицинских освидетельствований, санитарно-противоэпидемических (профилактических) мероприятий и профессиональная деятельность, связанная с трансплантацией (пересадкой) органов и (или) тканей, обращением донорской крови и (или) ее компонентов в медицинских целях.
Лечащий врач – врач, на которого возложены функции по организации и непосредственному оказанию пациенту медицинской помощи в период наблюдения за ним и его лечения.
Персональные данные обрабатываются Оператором в следующих целях:
3.1 Обработка персональных данных необходима для осуществления и выполнения, возложенных законодательством Российской Федерации на Оператора функций, полномочий, обязанностей, в частности:
- выполнения требований законодательства в сфере труда и налогообложения;
- ведения текущего бухгалтерского и налогового учёта, формирования, изготовления и своевременной подаче бухгалтерской, налоговой и статистической отчётности.
3.2 Обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством, в частности:
- индивидуального (персонифицированного) учета в системе обязательного пенсионного страхования;
- обязательного медицинского страхования.
3.3 Обработка персональных данных необходима для исполнения Договора, стороной которого, либо выгодоприобретателем или поручителем по которому, является субъект персональных данных, а также для заключения Договора по инициативе субъекта персональных данных или Договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
3.4 Обработка персональных данных необходима для информационного обеспечения Общества и клиентов Общества.
3.5 Обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну.
3.6 Обработка персональных данных необходима для защиты жизни, здоровья, или иных жизненно важных интересов субъекта персональных данных, либо жизни, здоровья или иных жизненно важных интересов других лиц.
3.7 Обработка персональных данных осуществляется в статистических целях при условии обязательного обезличивания персональных данных.
3.8 Обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных, либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных), включая размещение на корпоративном сайте Общества.
4. ПРИНЦИПЫ И УСЛОВИЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1 Основной задачей обеспечения безопасности персональных данных при их обработке Оператором является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий разрушения (уничтожения) или искажения их в процессе обработки.
4.2 Для обеспечения безопасности Оператор руководствуется следующими
принципами:
— законности: защита персональных данных основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты персональных данных;
— ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
— недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
— недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
— обработки только тех персональных данных, которые отвечают целям их обработки;
— соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;
— недопущения обработки персональных данных, избыточных по отношению к заявленным целям их обработки;
— обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;
— уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений персональных данных, если иное не предусмотрено ФЗ.
4.3 Условия обработки персональных данных
- Оператор обрабатывает персональные данные клиента (пациента) путем: сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), обезличивания, использования, уничтожения неавтоматизированным или автоматизированным способом (при получении данных клиента (пациента) с официального сайта Общества) способом.
- Срок обработки Оператором персональных данных пациента (клиента) соответствует сроку хранения первичной медицинской документации или до получения Оператором уведомления от субъекта персональных данных об отзыве своих персональных данных. Пациент (клиент) Общества в любое время имеет право отозвать свое согласие на обработку его персональных данных посредством составления соответствующего письменного документа, который должен быть направлен в адрес Общества одним из способов: по почте заказным письмом с уведомлением, либо предоставлен при личном обращении под расписку лицу, назначенному Обществом, ответственным за обработку персональных данных. В случае получения письменного заявления об отзыве согласия на обработку персональных данных, Оператор обязан прекратить обработку в течение периода времени, необходимого для завершения взаиморасчетов по оплате оказанных пациенту (клиенту) платных стоматологических или диагностических услуг или других медицинских услуг, предоставленных пациенту (клиенту) Обществом на основании Договора.
- Персональные данные пациентов (клиентов) Общества хранятся в помещении архива, регистратуры, кабинетах Общества, доступ в которые имеют только сотрудники Общества, имеющие право доступа к персональным данным.
- Директором Общества утвержден Перечень лиц, имеющих доступ к помещениям Общества, в которых обрабатываются (в том числе хранятся) персональные данные пациента (клиента), и несущих ответственность
за нарушение режима защиты этих персональных данных в соответствии с законодательством РФ. Директор Общества или уполномоченное лицо (по Приказу директора Общества) может передавать персональные данные пациента третьим лицам, без его согласия только в случаях, прямо предусмотренных действующим законодательством РФ. При передаче персональных данных пациента третьим лицам Директор Общества или уполномоченное лицо Общества, предупреждает лиц, получающих данную информацию, о том, что эти данные могут быть использованы ими только лишь в целях, для которых персональные данные сообщены, и требует от этих лиц письменное подтверждение соблюдения этого условия.
- В случае обнаружения факта несоблюдения условий хранения носителей персональных данных, которые могут привести к нарушению конфиденциальности персональных данных пациента (клиента) Общества или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, Директором Общества в составе Комиссии проводится разбирательство, по результатам которого Комиссией Общества составляется соответствующий акт.
- Персональные данные пациентов (клиентов) Общества являются строго
конфиденциальной информацией, не подлежащей разглашению, и не могут быть использованы для целей, не перечисленных в п. 3. настоящей Политики. Не допускается распространение персональных данных клиента (пациента) Общества без его письменного согласия или наличия иного законного основания.
- Материальные носители персональных данных пациентов (клиентов) Общества хранятся сотрудниками Общества с соблюдением условий, которые обеспечивают сохранность персональных данных и исключающие несанкционированный к ним доступ.
- Неавтоматизированная обработка персональных данных пациентов (клиентов) Общества осуществляться сотрудниками Общества с учетом особенностей и правил обработки персональных данных, предусмотренных
Постановлением Правительства РФ №687 от 15.09.2008г. «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и в соответствии с Положением об обработки персональных данных Общества.
4.4. Под обрабатываемыми персональными данными Политики понимаются:
4.4.1 Персональные данные, предоставляемые пациентами (клиентами) законными представителями, обращающимися к Оператору;
4.4.2 Персональные данные работников Общества или кандидатов на замещение вакантных должностей;
4.4.3 Граждан, обращающихся к Оператору и к должностным лицам Общества в соответствии с Федеральным законом от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»
4.4.4 Граждан, являющихся стороной гражданско-правового Договора с Обществом;
4.4.5 Граждан, обращающихся к Оператору, посредством предоставления персональных данных на официальном сайте Общества.
4.4.6 Основанием для обработки персональных данных субъекта, не являющегося работником Общества или лицом, заключившим с Обществом Договор, является согласие в письменной форме субъекта персональных данных на обработку его персональных данных или добровольное размещение непосредственно субъектом персональных данных своих персональных данных в общедоступных источниках информации, включая корпоративный сайт Общества.
4.4.7 Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.
4.4.8 Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям обработки.
5.1.1 Все персональные данные следует получать от самого субъекта персональных данных. Если персональные данные субъекта можно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом или от него Оператором должно быть получено письменное согласие.
5.1.2 Оператор должен сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных, перечне действий с персональными данными, сроке, в течение которого действует согласие, и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение.
5.1.3 Документы, содержащие персональные данные, создаются путем:
- копирования оригиналов документов субъекта;
- внесения сведений в учетные формы;
- получения оригиналов необходимых документов.
Порядок доступа субъекта персональных данных к его персональным данным, обрабатываемых Оператором, определяется в соответствии с Законодательством РФ и внутренними регулятивными документами Общества.
5.2 Хранение персональных данных
5.2.1 Персональные данные пациентов (клиентов) могут быть получены, проходить дальнейшую обработку и передаваться на хранение, как на бумажных носителях, так и в электронном виде.
5.2.2 Персональные данные пациентов (клиентов), зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа (регистратура).
5.2.3 Персональные данные пациентов (клиентов), обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках (вкладках).
5.2.4 Не допускается хранение и размещение документов, содержащих персональные данные пациентов (клиентов), в открытых электронных каталогах (файлообменниках) в ИСПД.
5.2.5 Хранение персональных данных пациентов (клиентов) в форме, позволяющей определить субъекта персональные данных, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
5.3 Уничтожение персональных данных
5.3.1 Уничтожение документов (носителей), содержащих персональных данные пациентов (клиентов), производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную
массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
5.3.2 Персональные данные пациентов (клиентов) на электронных носителях уничтожаются путем стирания или форматирования носителя.
5.3.3 Уничтожение производится Комиссией. Факт уничтожения персональных данных пациентов (клиентов) подтверждается документально актом об уничтожении носителей, подписанным членами Комиссии.
5.4 Передача персональных данных пациентов
5.4.1 Общество передает персональные данные пациентов (клиентов) третьим лицам в случаях, если:
– субъект выразил свое согласие на такие действия;
– передача предусмотрена Российским или иным применимым Законодательством в рамках установленной Законодательством процедуры.
5.4.2 Перечень лиц, которым передаются персональные данные
Третьи лица, которым передаются персональные данные :
– Пенсионный фонд РФ для учета (на законных основаниях);
– Налоговые органы РФ (на законных основаниях);
– Фонд социального страхования (на законных основаниях);
– страховые медицинские организации по обязательному и добровольному медицинскому страхованию (на законных основаниях);
– судебные и правоохранительные органы в случаях, установленных Законодательством.
- Персональные данные, передаваемые по каналам и линиям связи;
- Персональные данные, хранящиеся в документированном виде на бумажных носителях;
- Прикладное и системное программное обеспечение серверов, АРМ, используемых для обработки персональных данных;
- Аппаратные средства программно-технических комплексов, оборудование серверов, АРМ, коммуникационное оборудование;
- Средства защиты информации информационных систем персональных данных;
- Съемные (отчуждаемые) машинные носители информации — накопители на гибких и жестких магнитных дисках, Flash-накопители, оптические диски (CD-R, CD-RW, DVD-R, DVD-RW), аудио-, видеокассеты, магнитные ленты и т.д.
6.2 Правовая защита представляет собой организационно-распорядительные и нормативные документы, обеспечивающие создание, функционирование и совершенствование СЗПД.
6.3 Организационная защита включает в себя организацию структуры
управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами, защиты информации в открытой печати, публикаторской и рекламной деятельности, аналитической работы.
6.4 Техническая защита включает в себя программные, программно-аппаратные средства, обеспечивающие защиту персональных данных пациента (клиента).
6.5 Основными мерами защиты персональных данных, используемые Оператором, являются:
6.5.1 Назначение лиц(а), ответственных(-ого) за обработку персональных данных, которые(й) осуществляет организацию обработки персональных данных, обучение и инструктаж персонала, внутренний контроль за соблюдением Обществом и его работниками требований к защите персональных данных;
6.5.2 Определение актуальных угроз безопасности персональных данных при их обработке в ИСПД, и разработка мер и мероприятий по защите персональных данных;
6.5.3 Разработка Положения в отношении обработки персональных данных;
6.5.4 Установление правил доступа к персональным данным, обрабатываемым в ИСПД, а также обеспечения регистрации и учета всех действий, совершаемых с персональными данными в ИСПД;
6.5.5 Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями;
6.5.6 Применение, прошедших в установленном порядке, процедуру оценки соответствия средств защиты информации, учет машинных носителей персональных данных, обеспечение их сохранности;
6.5.7 Сертифицированное, антивирусное программное с регулярно обновляемыми базами;
6.5.8 Сертифицированное программное средство защиты информации от
несанкционированного доступа;
6.5.9 Сертифицированные межсетевой экран и средство обнаружения вторжения;
6.5.10 Соблюдение условий, обеспечивающих сохранность персональных данных и исключающие несанкционированный к ним доступ, оценка эффективности принимаемых и реализованных мер по обеспечению безопасности персональных данных;
6.5.11 Установление правил доступа к обрабатываемым персональным данным, обеспечение регистрации и учета действий, совершаемых с персональными данными, а также обнаружение фактов несанкционированного доступа к персональным данным и принятия мер по обеспечению безопасности персональных данных;
6.5.12 Восстановление персональных данных, модифицированных или
уничтоженных, вследствие несанкционированного доступа к ним;
6.5.13 Обучение работников Общества, непосредственно осуществляющих обработку персональных данных, положениям Законодательства Российской Федерации о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим Политику Общества в отношении обработки персональных данных, локальным актам по
вопросам обработки персональных данных;
7.1 Субъект персональных данных имеет право на получение информации, касающейся его персональных данных, в том числе содержащей:
– подтверждение факта обработки персональных данных оператором;
– правовые основания и цели обработки персональных данных;
– цели и применяемые оператором способы обработки персональных данных;
– наименование и место нахождения Оператора, сведения о лицах (за исключением работников Общества), которые имеют непосредственный доступ к персональным данным или которым могут быть раскрыты персональные данные на основании Договора с Обществом или на основании
ФЗ;
– обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен ФЗ;
– сроки обработки персональных данных, в том числе сроки их хранения;
– порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
– информацию об осуществленной или о предполагаемой трансграничной передаче данных (непосредственно согласованной с субъектом персональных данных или по требованию третьих лиц, на основании действующего Законодательства);
– наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
– иные сведения, предусмотренные настоящим ФЗ или другими
действующими ФЗ.
Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
7.2 Сведения предоставляются субъекту персональных данных или его представителю Обществом при обращении, либо при получении запроса субъекта персональных данных или его представителя.
Запрос должен содержать:
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя,
- сведения о дате выдачи указанного документа и выдавшем его органе,
- сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом (номер Договора, дата заключения Договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором,
- подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
7.2 Общество вправе отказать субъекту персональных данных в выполнении повторного запроса. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Обществе.
8 ОБЯЗАННОСТИ ОБЩЕСТВА
8.1 Оператор обязан:
– при сборе персональных данных субъекта предоставить информацию об обработке его персональных данных;
– в случаях если персональные данные были получены не от субъекта персональных данных, уведомить субъекта;
– при отказе в предоставлении персональных данных субъекту разъясняются последствия такого отказа;
– опубликовать или иным образом обеспечить неограниченный доступ к документу,
определяющему его Политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;
– принимать необходимые правовые, организационные и технические меры или
обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных субъекта;
– давать ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных.
ООО «Стоматология для всех»
В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1.ОБЩИЕ ПОЛОЖЕНИЯ
- Настоящая Политика (далее — Политика) обработки персональных данных разработана в соответствии с Федеральным законом от 27.07. 2006г. № 152-ФЗ «О персональных данных» (далее — ФЗ-152) и действует в отношении персональных данных, которые могут быть получены от субъектов персональных данных.
- Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в ООО «Стоматология для всех» (далее — Общество или Оператор) с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
– Федеральным законом от 21 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
– Федеральным законом № 152-ФЗ от 27 июля 2006 года «О персональных данных»;
– Постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
– Постановлением Правительства РФ от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
– иными нормативными правовыми актами Российской Федерации.
Кроме того, обработка персональных данных в Обществе осуществляется в ходе трудовых и иных непосредственно связанных с ними отношений, в которых Общество выступает в качестве работодателя (глава 14 Трудового кодекса Российской Федерации), в связи с реализацией Общества своих прав и обязанностей как юридического лица.
2. ОБРАБАТЫВАЕМЫЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ
- В настоящей Политике используются следующие основные понятия:
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу
(распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных,
состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Пациент – физическое лицо, которому оказывается медицинская помощь или которое обратилось за оказанием медицинской помощи независимо от наличия у него заболевания и от его состояния.
Медицинская деятельность – профессиональная деятельность по оказанию медицинской помощи, проведению медицинских экспертиз, медицинских осмотров и медицинских освидетельствований, санитарно-противоэпидемических (профилактических) мероприятий и профессиональная деятельность, связанная с трансплантацией (пересадкой) органов и (или) тканей, обращением донорской крови и (или) ее компонентов в медицинских целях.
Лечащий врач – врач, на которого возложены функции по организации и непосредственному оказанию пациенту медицинской помощи в период наблюдения за ним и его лечения.
- ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Персональные данные обрабатываются Оператором в следующих целях:
3.1 Обработка персональных данных необходима для осуществления и выполнения, возложенных законодательством Российской Федерации на Оператора функций, полномочий, обязанностей, в частности:
- выполнения требований законодательства в сфере труда и налогообложения;
- ведения текущего бухгалтерского и налогового учёта, формирования, изготовления и своевременной подаче бухгалтерской, налоговой и статистической отчётности.
3.2 Обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством, в частности:
- индивидуального (персонифицированного) учета в системе обязательного пенсионного страхования;
- обязательного медицинского страхования.
3.3 Обработка персональных данных необходима для исполнения Договора, стороной которого, либо выгодоприобретателем или поручителем по которому, является субъект персональных данных, а также для заключения Договора по инициативе субъекта персональных данных или Договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
3.4 Обработка персональных данных необходима для информационного обеспечения Общества и клиентов Общества.
3.5 Обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну.
3.6 Обработка персональных данных необходима для защиты жизни, здоровья, или иных жизненно важных интересов субъекта персональных данных, либо жизни, здоровья или иных жизненно важных интересов других лиц.
3.7 Обработка персональных данных осуществляется в статистических целях при условии обязательного обезличивания персональных данных.
3.8 Обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных, либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных), включая размещение на корпоративном сайте Общества.
4. ПРИНЦИПЫ И УСЛОВИЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1 Основной задачей обеспечения безопасности персональных данных при их обработке Оператором является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий разрушения (уничтожения) или искажения их в процессе обработки.
4.2 Для обеспечения безопасности Оператор руководствуется следующими
принципами:
— законности: защита персональных данных основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты персональных данных;
— ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
— недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
— недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
— обработки только тех персональных данных, которые отвечают целям их обработки;
— соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;
— недопущения обработки персональных данных, избыточных по отношению к заявленным целям их обработки;
— обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;
— уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений персональных данных, если иное не предусмотрено ФЗ.
4.3 Условия обработки персональных данных
- Оператор обрабатывает персональные данные клиента (пациента) путем: сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), обезличивания, использования, уничтожения неавтоматизированным или автоматизированным способом (при получении данных клиента (пациента) с официального сайта Общества) способом.
- Срок обработки Оператором персональных данных пациента (клиента) соответствует сроку хранения первичной медицинской документации или до получения Оператором уведомления от субъекта персональных данных об отзыве своих персональных данных. Пациент (клиент) Общества в любое время имеет право отозвать свое согласие на обработку его персональных данных посредством составления соответствующего письменного документа, который должен быть направлен в адрес Общества одним из способов: по почте заказным письмом с уведомлением, либо предоставлен при личном обращении под расписку лицу, назначенному Обществом, ответственным за обработку персональных данных. В случае получения письменного заявления об отзыве согласия на обработку персональных данных, Оператор обязан прекратить обработку в течение периода времени, необходимого для завершения взаиморасчетов по оплате оказанных пациенту (клиенту) платных стоматологических или диагностических услуг или других медицинских услуг, предоставленных пациенту (клиенту) Обществом на основании Договора.
- Персональные данные пациентов (клиентов) Общества хранятся в помещении архива, регистратуры, кабинетах Общества, доступ в которые имеют только сотрудники Общества, имеющие право доступа к персональным данным.
- Директором Общества утвержден Перечень лиц, имеющих доступ к помещениям Общества, в которых обрабатываются (в том числе хранятся) персональные данные пациента (клиента), и несущих ответственность
за нарушение режима защиты этих персональных данных в соответствии с законодательством РФ. Директор Общества или уполномоченное лицо (по Приказу директора Общества) может передавать персональные данные пациента третьим лицам, без его согласия только в случаях, прямо предусмотренных действующим законодательством РФ. При передаче персональных данных пациента третьим лицам Директор Общества или уполномоченное лицо Общества, предупреждает лиц, получающих данную информацию, о том, что эти данные могут быть использованы ими только лишь в целях, для которых персональные данные сообщены, и требует от этих лиц письменное подтверждение соблюдения этого условия.
- В случае обнаружения факта несоблюдения условий хранения носителей персональных данных, которые могут привести к нарушению конфиденциальности персональных данных пациента (клиента) Общества или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, Директором Общества в составе Комиссии проводится разбирательство, по результатам которого Комиссией Общества составляется соответствующий акт.
- Персональные данные пациентов (клиентов) Общества являются строго
конфиденциальной информацией, не подлежащей разглашению, и не могут быть использованы для целей, не перечисленных в п. 3. настоящей Политики. Не допускается распространение персональных данных клиента (пациента) Общества без его письменного согласия или наличия иного законного основания.
- Материальные носители персональных данных пациентов (клиентов) Общества хранятся сотрудниками Общества с соблюдением условий, которые обеспечивают сохранность персональных данных и исключающие несанкционированный к ним доступ.
- Неавтоматизированная обработка персональных данных пациентов (клиентов) Общества осуществляться сотрудниками Общества с учетом особенностей и правил обработки персональных данных, предусмотренных
Постановлением Правительства РФ №687 от 15.09.2008г. «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и в соответствии с Положением об обработки персональных данных Общества.
4.4. Под обрабатываемыми персональными данными Политики понимаются:
4.4.1 Персональные данные, предоставляемые пациентами (клиентами) законными представителями, обращающимися к Оператору;
4.4.2 Персональные данные работников Общества или кандидатов на замещение вакантных должностей;
4.4.3 Граждан, обращающихся к Оператору и к должностным лицам Общества в соответствии с Федеральным законом от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»
4.4.4 Граждан, являющихся стороной гражданско-правового Договора с Обществом;
4.4.5 Граждан, обращающихся к Оператору, посредством предоставления персональных данных на официальном сайте Общества.
4.4.6 Основанием для обработки персональных данных субъекта, не являющегося работником Общества или лицом, заключившим с Обществом Договор, является согласие в письменной форме субъекта персональных данных на обработку его персональных данных или добровольное размещение непосредственно субъектом персональных данных своих персональных данных в общедоступных источниках информации, включая корпоративный сайт Общества.
4.4.7 Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.
4.4.8 Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям обработки.
- ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1.1 Все персональные данные следует получать от самого субъекта персональных данных. Если персональные данные субъекта можно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом или от него Оператором должно быть получено письменное согласие.
5.1.2 Оператор должен сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных, перечне действий с персональными данными, сроке, в течение которого действует согласие, и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение.
5.1.3 Документы, содержащие персональные данные, создаются путем:
- копирования оригиналов документов субъекта;
- внесения сведений в учетные формы;
- получения оригиналов необходимых документов.
Порядок доступа субъекта персональных данных к его персональным данным, обрабатываемых Оператором, определяется в соответствии с Законодательством РФ и внутренними регулятивными документами Общества.
5.2 Хранение персональных данных
5.2.1 Персональные данные пациентов (клиентов) могут быть получены, проходить дальнейшую обработку и передаваться на хранение, как на бумажных носителях, так и в электронном виде.
5.2.2 Персональные данные пациентов (клиентов), зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа (регистратура).
5.2.3 Персональные данные пациентов (клиентов), обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках (вкладках).
5.2.4 Не допускается хранение и размещение документов, содержащих персональные данные пациентов (клиентов), в открытых электронных каталогах (файлообменниках) в ИСПД.
5.2.5 Хранение персональных данных пациентов (клиентов) в форме, позволяющей определить субъекта персональные данных, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
5.3 Уничтожение персональных данных
5.3.1 Уничтожение документов (носителей), содержащих персональных данные пациентов (клиентов), производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную
массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
5.3.2 Персональные данные пациентов (клиентов) на электронных носителях уничтожаются путем стирания или форматирования носителя.
5.3.3 Уничтожение производится Комиссией. Факт уничтожения персональных данных пациентов (клиентов) подтверждается документально актом об уничтожении носителей, подписанным членами Комиссии.
5.4 Передача персональных данных пациентов
5.4.1 Общество передает персональные данные пациентов (клиентов) третьим лицам в случаях, если:
– субъект выразил свое согласие на такие действия;
– передача предусмотрена Российским или иным применимым Законодательством в рамках установленной Законодательством процедуры.
5.4.2 Перечень лиц, которым передаются персональные данные
Третьи лица, которым передаются персональные данные :
– Пенсионный фонд РФ для учета (на законных основаниях);
– Налоговые органы РФ (на законных основаниях);
– Фонд социального страхования (на законных основаниях);
– страховые медицинские организации по обязательному и добровольному медицинскому страхованию (на законных основаниях);
– судебные и правоохранительные органы в случаях, установленных Законодательством.
- ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ ОПЕРАТОРОМ
- Объектами защиты являются:
- Персональные данные, передаваемые по каналам и линиям связи;
- Персональные данные, хранящиеся в документированном виде на бумажных носителях;
- Прикладное и системное программное обеспечение серверов, АРМ, используемых для обработки персональных данных;
- Аппаратные средства программно-технических комплексов, оборудование серверов, АРМ, коммуникационное оборудование;
- Средства защиты информации информационных систем персональных данных;
- Съемные (отчуждаемые) машинные носители информации — накопители на гибких и жестких магнитных дисках, Flash-накопители, оптические диски (CD-R, CD-RW, DVD-R, DVD-RW), аудио-, видеокассеты, магнитные ленты и т.д.
6.2 Правовая защита представляет собой организационно-распорядительные и нормативные документы, обеспечивающие создание, функционирование и совершенствование СЗПД.
6.3 Организационная защита включает в себя организацию структуры
управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами, защиты информации в открытой печати, публикаторской и рекламной деятельности, аналитической работы.
6.4 Техническая защита включает в себя программные, программно-аппаратные средства, обеспечивающие защиту персональных данных пациента (клиента).
6.5 Основными мерами защиты персональных данных, используемые Оператором, являются:
6.5.1 Назначение лиц(а), ответственных(-ого) за обработку персональных данных, которые(й) осуществляет организацию обработки персональных данных, обучение и инструктаж персонала, внутренний контроль за соблюдением Обществом и его работниками требований к защите персональных данных;
6.5.2 Определение актуальных угроз безопасности персональных данных при их обработке в ИСПД, и разработка мер и мероприятий по защите персональных данных;
6.5.3 Разработка Положения в отношении обработки персональных данных;
6.5.4 Установление правил доступа к персональным данным, обрабатываемым в ИСПД, а также обеспечения регистрации и учета всех действий, совершаемых с персональными данными в ИСПД;
6.5.5 Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями;
6.5.6 Применение, прошедших в установленном порядке, процедуру оценки соответствия средств защиты информации, учет машинных носителей персональных данных, обеспечение их сохранности;
6.5.7 Сертифицированное, антивирусное программное с регулярно обновляемыми базами;
6.5.8 Сертифицированное программное средство защиты информации от
несанкционированного доступа;
6.5.9 Сертифицированные межсетевой экран и средство обнаружения вторжения;
6.5.10 Соблюдение условий, обеспечивающих сохранность персональных данных и исключающие несанкционированный к ним доступ, оценка эффективности принимаемых и реализованных мер по обеспечению безопасности персональных данных;
6.5.11 Установление правил доступа к обрабатываемым персональным данным, обеспечение регистрации и учета действий, совершаемых с персональными данными, а также обнаружение фактов несанкционированного доступа к персональным данным и принятия мер по обеспечению безопасности персональных данных;
6.5.12 Восстановление персональных данных, модифицированных или
уничтоженных, вследствие несанкционированного доступа к ним;
6.5.13 Обучение работников Общества, непосредственно осуществляющих обработку персональных данных, положениям Законодательства Российской Федерации о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим Политику Общества в отношении обработки персональных данных, локальным актам по
вопросам обработки персональных данных;
- Осуществление внутреннего контроля и аудита.
- Компоненты информационных систем персональных данных Оператора размещаются в помещениях, находящихся под охраной и наблюдением, исключающим возможность бесконтрольного проникновения в помещения посторонних лиц и обеспечивающим физическую сохранность находящихся в помещении защищаемых ресурсов (документов, АРМ и т.д.). По окончании рабочего дня служебные помещения сдаются под охрану в соответствии с Приказом Директора Общества.
7.1 Субъект персональных данных имеет право на получение информации, касающейся его персональных данных, в том числе содержащей:
– подтверждение факта обработки персональных данных оператором;
– правовые основания и цели обработки персональных данных;
– цели и применяемые оператором способы обработки персональных данных;
– наименование и место нахождения Оператора, сведения о лицах (за исключением работников Общества), которые имеют непосредственный доступ к персональным данным или которым могут быть раскрыты персональные данные на основании Договора с Обществом или на основании
ФЗ;
– обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен ФЗ;
– сроки обработки персональных данных, в том числе сроки их хранения;
– порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
– информацию об осуществленной или о предполагаемой трансграничной передаче данных (непосредственно согласованной с субъектом персональных данных или по требованию третьих лиц, на основании действующего Законодательства);
– наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
– иные сведения, предусмотренные настоящим ФЗ или другими
действующими ФЗ.
Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
7.2 Сведения предоставляются субъекту персональных данных или его представителю Обществом при обращении, либо при получении запроса субъекта персональных данных или его представителя.
Запрос должен содержать:
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя,
- сведения о дате выдачи указанного документа и выдавшем его органе,
- сведения, подтверждающие участие субъекта персональных данных в отношениях с Обществом (номер Договора, дата заключения Договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором,
- подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
7.2 Общество вправе отказать субъекту персональных данных в выполнении повторного запроса. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Обществе.
8 ОБЯЗАННОСТИ ОБЩЕСТВА
8.1 Оператор обязан:
– при сборе персональных данных субъекта предоставить информацию об обработке его персональных данных;
– в случаях если персональные данные были получены не от субъекта персональных данных, уведомить субъекта;
– при отказе в предоставлении персональных данных субъекту разъясняются последствия такого отказа;
– опубликовать или иным образом обеспечить неограниченный доступ к документу,
определяющему его Политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;
– принимать необходимые правовые, организационные и технические меры или
обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных субъекта;
– давать ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных.
- ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
- Настоящая Политика является общедоступным документом и подлежит размещению на официальном сайте Общества;
- Организация имеет право вносить изменения в настоящую Политику.
- Настоящая Политика подлежит пересмотру в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.
- Действующая редакция хранится в юридическом месте нахождения Общества по адресу: Костромская область, г. Кострома, микрорайон Юбилейный, 29, копия редакции находится в общедоступных местах или на информационном стенде филиала (-ов) Общества. Электронная версия Политики на официальном сайте по адресу: http://dentall44.ru.
- Контроль за исполнением требований настоящей Политики осуществляется ответственными лицами Общества, назначаемыми в установленном порядке локальным актом.
- Ответственность должностных лиц Общества, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с действующим законодательством Российской Федерации в области персональных данных и локальными актами Общества.
- Иные права и обязанности Общества определяются Законодательством Российской Федерации в области персональных данных.
© 2018 ООО «Стоматология для всех»
Информация не является публичной офертой
Информация не является публичной офертой
8 (4942) 41-36-12
г. Кострома, мр-н Юбилейный, 29
Пн-Пт.: 8:00 - 19:00, перерыв с 13:00 до 14:00
Сб-Вс.: 9:00 - 17:00, без перерыва
г. Кострома, мр-н Юбилейный, 29
Пн-Пт.: 8:00 - 19:00, перерыв с 13:00 до 14:00
Сб-Вс.: 9:00 - 17:00, без перерыва
8 (4942) 35-99-41
г. Кострома, ул. Юных Пионеров, 32
Пн-Пт.: 8:00 - 19:00, перерыв с 13:00 до 14:00
Сб-Вс.: 9:00 - 17:00, без перерыва
г. Кострома, ул. Юных Пионеров, 32
Пн-Пт.: 8:00 - 19:00, перерыв с 13:00 до 14:00
Сб-Вс.: 9:00 - 17:00, без перерыва
8 (4942) 33-34-82
г. Кострома, мр-н Паново, 17
Пн-Пт.: 8:00 - 19:00, перерыв с 13:00 до 14:00
Сб-Вс.: 9:00 - 17:00, без перерыва
г. Кострома, мр-н Паново, 17
Пн-Пт.: 8:00 - 19:00, перерыв с 13:00 до 14:00
Сб-Вс.: 9:00 - 17:00, без перерыва
