Политика обработки и защиты персональных данных
Политика обработки и защиты персональных данных в ООО «Поликлиника Профмедосмотр»
1.
Термины и определения
Информационная безопасность -
свойство информации сохранять конфиденциальность, целостность и доступность (в
некоторых случаях, также свойство сохранять аутентичность, подотчетность,
неотказуемость и надежность).
Информационная система персональных данных
(ИСПДН) - совокупность содержащихся в базах данных персональных данных и
обеспечивающих их обработку информационных технологий и технических средств.
Материальный носитель - бумажные
носители (оригиналы документов, содержащие персональные данные; документы в
печатной форме, полученные на основе информации, хранимой в информационных системах
- выписки, отчеты, и т.п.), а также электронные носители информации, в том
числе, отчуждаемые (USB flash, CD диски, и т.п.).
Персональные данные (ПДн)
- любая информация, относящаяся к прямо или косвенно определенному или
определяемому физическому лицу (субъекту персональных данных).
Субъект ПДн -
физическое лицо, персональные данные которого обрабатываются в ООО «Поликлиника
Профмедосмотр»
Трансграничная
передача персональных данных - передача персональных данных на территорию
иностранного государства, органу власти иностранного государства, иностранному
физическому лицу или иностранному юридическому лицу.
2.
Общие положения
Политика
обработки и защиты персональных данных в ООО «Поликлиника Профмедосмотр» (далее
- «Политика») определяет принципы, цели и условия обработки персональных данных
(далее - ПДн), а также стратегию их защиты в ООО «Поликлиника Профмедосмотр».
Настоящая
Политика является основным руководящим внутренним документом ООО «Поликлиника
Профмедосмотр», определяющим требования, предъявляемые в отношении обработки и
обеспечения безопасности ПДн.
Внутренние
документы ООО «Поликлиника Профмедосмотр», регламентирующие вопросы,
рассматриваемые в настоящей Политике, должны разрабатываться с учетом положений
настоящей Политики и не противоречить им.
Политика
разработана в целях реализации положений законодательства Российской Федерации
в отношении обработки ПДн, а также требований нормативных и методических
документов по защите ПДн.
3.
Принципы обработки персональных данных в ООО «Поликлиника Профмедосмотр»
Обработка
ПДн в ООО «Поликлиника Профмедосмотр» осуществляется на основе принципов:
-
законности и справедливости целей и способов
обработки ПДн;
-
соответствия целей обработки ПДн законным
целям, заранее определенным и заявленным при сборе ПДн, а также полномочиям ООО
«Поликлиника Профмедосмотр»;
-
соответствия объема и содержания обрабатываемых
ПДн, способов обработки ПДн целям обработки;
-
точности ПДн, их достаточности для целей
обработки, недопустимости обработки ПДн, избыточных по отношению к целям,
заявленным при сборе ПДн;
-
недопустимости объединения созданных для
несовместимых между собой целей баз данных, содержащих ПДн;
-
хранения ПДн в форме, позволяющей определить
субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, или
устанавливающий срок хранения федеральный закон, договор, стороной которого,
выгодоприобретателем или поручителем по которому является субъект ПДн;
-
уничтожения ПДн по достижении целей их
обработки, в случае утраты необходимости в достижении целей обработки или по
окончании срока хранения ПДн, установленного федеральным законом, договором,
стороной которого, выгодоприобретателем или поручителем по которому является
субъект ПДн.
Обработка ПДн в ООО
«Поликлиника Профмедосмотр» осуществляется путем сбора, записи, систематизации,
накопления, хранения, уточнения (обновления, изменения), извлечения, использования,
передачи (предоставления, доступа), обезличивания, блокирования, удаления,
уничтожения ПДн.
4.
Цели и правовые основания обработки персональных данных
ООО «Поликлиника
Профмедосмотр» осуществляет обработку ПДн в целях:
-
ведения кадрового и бухгалтерского учета;
-
обеспечения соблюдения трудового
законодательства РФ;
-
обеспечения соблюдения налогового законодательства
РФ;
-
обеспечения соблюдения пенсионного
законодательства РФ;
-
обеспечения соблюдения законодательства РФ в
сфере здравоохранения;
-
подготовка, заключение и исполнение
гражданско-правового договора;
-
подбор персонала (соискателей) на вакантные
должности;
-
обеспечения своевременного рассмотрения в
полном объеме обращений граждан, а также уполномоченных органов;
-
осуществление медицинской и иной деятельности,
предусмотренной Уставом; в медико-профилактических целях, в целях установления
медицинского диагноза, оказания медицинских и медико-социальных услуг, защита
жизни, здоровья или иных жизненно важных интересов субъекта персональных данных
либо жизни, здоровья или иных жизненно важных интересов других лиц;
-
обмен информацией медицинскими организациями в
целях оказания медицинской помощи, в том числе передача страховым организациям
в рамках обязательного медицинского страхования (ОМС) и добровольного
медицинского страхования (ДМС).
Правовыми основаниями для
обработки ПДн являются, в том числе:
-
Федеральный закон Российской Федерации от 30
ноября 1994 г. No 51-ФЗ «Гражданский кодекс Российской Федерации (часть
первая)»;
-
Федеральный закон Российской Федерации от 26
января 1996 г. No 14-ФЗ «Гражданский кодекс Российской Федерации (часть
вторая)»;
-
Федеральный закон Российской Федерации от 31
июля 1998 года No 146-ФЗ «Налоговый кодекс Российской Федерации»;
-
Федеральный закон Российской Федерации от 30
декабря 2001 г. No 197-ФЗ «Трудовой кодекс Российской Федерации»;
-
Федеральный закон Российской Федерации от 27
июля 2006 г. No 149-ФЗ «Об информации, информационных технологиях и защите
информации»;
-
Федеральный закон Российской Федерации от 27
июля 2006 г. No 152-ФЗ «О персональных данных» (далее – «ФЗ «О персональных
данных»);
-
Федеральный закон от 1 апреля 1996 г. No 27-ФЗ
«Об индивидуальном (персонифицированном) учете в системе обязательного
пенсионного страхования»;
-
Федеральный закон от 21 ноября 2011 г. No
323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
-
Федеральный закон от 29 ноября 2010 г. No
326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
-
Постановление Правительства Российской
Федерации от 15 сентября 2008 г. No 687 «Об утверждении Положения об
особенностях обработки персональных данных, осуществляемой без использования
средств автоматизации»;
-
Постановление правительства Российской
Федерации от 01 ноября 2012 г. No 1119 «Об утверждении требований к защите
персональных данных при их обработке в информационных системах персональных данных»;
-
Постановление Правительства Российской
Федерации от 11.05.2023г. No 736 «Об утверждении Правил предоставления
медицинскими организациями платных медицинских услуг, внесении изменений в
некоторые акты Правительства Российской Федерации и признании утратившим силу
постановления Правительства Российской Федерации от 04.10.2012 № 1006»;
-
Иными федеральными и ведомственными нормативно
правовыми актами и локальными актами ООО «Поликлиника Профмедосмотр»
5.
Обрабатываемые персональные данные
ООО «Поликлиника Профмедосмотр»
обрабатывает ПДн следующих субъектов ПДн:
-
соискатели вакантной должности;
-
сотрудник/бывший сотрудник;
-
клиент (пациент);
-
законный представитель пациента;
-
третье лицо, которому пациент/законный
представитель пациента предоставил право запроса и получения сведений;
-
представитель контрагента.
В
соответствии с положениями Постановления Правительства РФ от 1 ноября 2012 года
No 1119 «Об утверждении требований к защите персональных данных при их
обработке в информационных системах персональных данных» в ООО «Поликлиника
Профмедосмотр» обрабатываются следующие ПДн:
-
фамилия, имя, отчество, дата рождения, пол,
адрес места регистрации, адрес места жительства номер телефона, СНИЛС, ИНН,
гражданство, данные документа, удостоверяющего личность; номер полиса обязательного
медицинского страхования, номер полиса добровольного медицинского страхования и
условия страхования;
-
специальные категории персональных данных:
сведения о состояния здоровья;
-
ООО «Поликлиника Профмедосмотр» может
разместить на сайте счетчики, которые используются для анализа соокіе файлов,
для сбора и обработки статистических данных об использовании сервисов,
обеспечения работоспособности сервисов в целом или их отдельных функций в
частности.
-
ООО «Поликлиника Профмедосмотр» определяет
структуру файла cookie, параметры работы счетчиков и может изменять их без
предварительного уведомления Пользователя.
6.
Условия обработки персональных данных
Обработка ПДн ООО «Поликлиника
Профмедосмотр» допускается в следующих случаях:
-
обработка ПДн осуществляется с согласия
субъекта ПДн на обработку его ПДн;
-
обработка ПДн необходима для осуществления
правосудия, исполнения судебного акта, акта другого органа или должностного
лица, подлежащих исполнению в соответствии с законодательством Российской Федерации;
-
обработка ПДн необходима для исполнения
договора, стороной которого либо выгодоприобретателем или поручителем по
которому является субъект ПДн, а также для заключения договора по инициативе
субъекта ПДн;
-
обработка ПДн осуществляется в статистических
или иных исследовательских целях при условии обязательного обезличивания ПДн;
-
осуществляется обработка ПДн, подлежащих
опубликованию или обязательному раскрытию в соответствии с федеральным законом.
ООО
«Поликлиника Профмедосмотр» вправе поручить обработку ПДн другому лицу с письменного
согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на
основании заключаемого с этой стороной договора (поручения на обработку ПДн).
Лицо, осуществляющее обработку ПДн по поручению ООО «Поликлиника Профмедосмотр»,
обязано соблюдать принципы и правила обработки ПДн, предусмотренные ФЗ «О
персональных данных».
В
поручении третьему лицу ООО «Профмедосмотр Плюс»указываются цели обработки и
перечень действий (операций) с ПДн, которые могут быть совершены данным лицом,
устанавливается его обязанности по обеспечению конфиденциальности и
безопасности ПДн при их обработке, а также требования к защите обрабатываемых
ПДн в соответствии с ФЗ «О персональных данных».
ООО
«Поликлиника Профмедосмотр» не осуществляет трансграничную передачу ПДн.
Обработка
ПДн прекращается ООО «Поликлиника Профмедосмотр» в следующих случаях:
-
при выявлении неправомерных действий с ПДн в
срок, не превышающий трех рабочих дней с даты такого выявления, ООО
«Поликлиника Профмедосмотр» устраняет допущенные нарушения. В случае
невозможности устранения допущенных нарушений ООО «Поликлиника Профмедосмотр» в
срок, не превышающий трех рабочих дней с даты выявления неправомерности
действий с ПДн, уничтожает ПДн. Об устранении допущенных нарушений или об уничтожении
ПДн ООО «Поликлиника Профмедосмотр» уведомляет субъекта ПДн или его законного
представителя, а в случае, если обращение или запрос были направлены в
уполномоченный орган по защите прав субъектов ПДн, также этот орган;
-
при достижении цели обработки ПДн ООО
«Поликлиника Профмедосмотр» незамедлительно прекращает обработку ПДн и
уничтожает соответствующие ПДн в срок, не превышающий тридцати рабочих дней с
даты достижения цели обработки ПДн;
-
при отзыве субъектом ПДн согласия на обработку
своих ПДн ООО «Поликлиника Профмедосмотр» прекращает обработку ПДн и уничтожает
(за исключением ПДн, которые хранятся в соответствии с действующим
законодательством) ПДн в срок, не превышающий тридцати рабочих дней с даты
поступления указанного отзыва. Об уничтожении ПДн ООО «Профмедосмотр Плюс»уведомляет
субъекта ПДн.
7.
Согласие на обработку персональных данных
Получение
и обработка ПДн в случаях, предусмотренных ФЗ «О персональных данных»,
осуществляется в ООО «Поликлиника Профмедосмотр» с согласия субъекта ПДн, в в
письменной форме.
Письменное
согласие субъекта ПДн должно включать:
-
фамилию, имя, отчество, адрес субъекта ПДн,
номер основного документа, удостоверяющего его личность, сведения о дате выдачи
указанного документа и выдавшем его органе;
-
наименование и адрес ООО «Поликлиника
Профмедосмотр»
-
цель обработки ПДн;
-
перечень ПДн, на обработку которых дается
согласие субъекта ПДн;
-
перечень действий с ПДн, на совершение которых
дается согласие, общее описание используемых в ООО «Поликлиника Профмедосмотр» способов
обработки ПДн;
-
срок, в течение которого действует согласие, а
также способ его отзыва;
-
подпись субъекта ПДн.
Типовые
формы согласий на обработку ПДн утверждаются приказом генерального директора ООО
«Поликлиника Профмедосмотр».
Субъект
ПДн дает ООО «Поликлиника Профмедосмотр» согласие на обработку своих ПДн
свободно, в своей воле и своем интересе. Согласие на обработку ПДн может быть
отозвано субъектом ПДн путем направления в ООО «Поликлиника Профмедосмотр» письменного
заявления в свободной форме. В этом случае ООО «Поликлиника Профмедосмотр» обязуется
прекратить обработку, а также уничтожить все имеющиеся в ООО «Поликлиника
Профмедосмотр» ПДн в сроки, установленные ФЗ «О персональных данных».
ООО
«Поликлиника Профмедосмотр» вправе обрабатывать ПДн без согласия субъекта ПДн
(или при отзыве субъектом ПДн указанного согласия) при наличии оснований,
указанных в пп. 2-11 ч. 1 ст. 6, ч. 2. ст. 10 и ч. 2 ст. 11 ФЗ «О персональных
данных».
Передача
ПДн третьим лицам осуществляется ООО «Поликлиника Профмедосмотр» с согласия
субъекта ПДн в соответствии с требованиями действующего законодательства.
8.
Права субъектов персональных данных
Субъект
ПДн имеет право на получение информации, касающейся обработки в ООО
«Поликлиника Профмедосмотр» его ПДн, в том числе содержащей:
-
подтверждение факта обработки ПДн ООО
«Поликлиника Профмедосмотр»;
-
правовые основания и цели обработки ПДн;
-
цели и применяемые в ООО «Поликлиника
Профмедосмотр» способы обработки ПДн;
-
наименование и местонахождение ООО «Поликлиника
Профмедосмотр»;
-
сведения о лицах (за исключением сотрудников ООО
«Поликлиника Профмедосмотр») которые имеют доступ к ПДн или которым могут быть
раскрыты ПДн на основании договора с ООО «Поликлиника Профмедосмотр» или на
основании федерального закона;
-
обрабатываемые ПДн, относящиеся к
соответствующему субъекту ПДн, источник их получения, если иной порядок
представления таких данных не предусмотрен федеральным законом;
-
сроки обработки ПДн, в том числе сроки их
хранения;
-
порядок осуществления субъектом ПДн прав,
предусмотренных ФЗ «О персональных данных»;
-
иные сведения, предусмотренные ФЗ «О
персональных данных» или другими федеральными законами.
ООО
«Поликлиника Профмедосмотр» предоставляет указанную информацию на основании
соответствующего письменного заявления субъекта ПДн (далее - Заявление),
поданного по адресу места нахождения ООО «Поликлиника Профмедосмотр» г. Новокузнецк,
пр. Строителей, 18/4, оф. 7, или направленного на почтовый адрес ООО
«Поликлиника Профмедосмотр» 654000, г. Новокузнецк, пр. Строителей, 18/4, оф.
7. Заявление должно содержать номер
основного документа, удостоверяющего личность субъекта ПДн, сведения о дате
выдачи указанного документа и выдавшем его органе, сведения, подтверждающие
участие субъекта ПДн в отношениях с ООО «Поликлиника Профмедосмотр» (номер
договора, дата заключения договора, условное словесное обозначение и (или) иные
сведения), либо сведения, иным образом подтверждающие факт обработки ПДн в ООО
«Поликлиника Профмедосмотр», подпись субъекта ПДн. ООО «Поликлиника Профмедосмотр»
обязуется сообщить субъекту ПДн информацию о наличии ПДн, относящихся к
соответствующему субъекту ПДн в течение тридцати дней с даты получения
Заявления субъекта ПДн.
Субъект
ПДн вправе требовать от ООО «Поликлиника Профмедосмотр» уточнения его ПДн, их
блокирования или уничтожения в случае, если ПДн являются неполными,
устаревшими, неточными, незаконно полученными или не являются необходимыми для
заявленной цели обработки, а также принимать предусмотренные законом меры по
защите своих прав.
Если
субъект ПДн считает, что ООО «Поликлиника Профмедосмотр» осуществляет обработку
его ПДн с нарушением требований ФЗ «О персональных данных» или иным образом
нарушает его права и свободы, субъект ПДн вправе обжаловать действия или
бездействие ООО «Поликлиника Профмедосмотр» в уполномоченный орган по защите
прав субъектов ПДн или в судебном порядке.
Право
субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с
федеральными законами Российской Федерации.
9.
Обеспечение безопасности персональных данных
ООО
«Поликлиника Профмедосмотр» не несет ответственности, если ПДн стали известны
неограниченному кругу лиц по вине самого субъекта ПДн.
Для
обеспечения безопасности ПДн в ООО «Поликлиника Профмедосмотр» принимаются
организационные и технические меры, включающие в том числе:
-
назначение лица, ответственного за организацию
обработки ПДн, определение его функций и полномочий;
-
назначение лица, ответственного за обеспечение
безопасности ПДн, определение его функций и полномочий;
-
разработка и поддержание актуальности комплекта
внутренних нормативных документов в отношении обработки и защиты ПДн;
-
проведение оценки вреда, который может быть
причинен субъектам ПДн в случае нарушения ФЗ «О персональных данных», а также
соотношение указанного вреда с принимаемыми мерами по безопасности ПДн;
-
ознакомление сотрудников ООО «Поликлиника
Профмедосмотр», непосредственно осуществляющих обработку ПДн, с положениями
законодательства Российской Федерации и внутренних нормативных документов ООО
«Поликлиника Профмедосмотр» в отношении обработки и защиты ПДн, периодическое
обучение вопросам обработки и защиты ПДн;
-
определение угроз безопасности ПДн при их
обработке в ИСПДн;
-
учет сотрудников, допущенных к обработке ПДн;
-
учет материальных носителей ПДн;
-
применение технических средств защиты
информации;
-
периодический внутренний контроль, а также
внешний аудит соответствия обработки ПДн требованиям ФЗ «О персональных данных»
и принятым в соответствии с ним нормативно-правовым актам;
-
обнаружение фактов несанкционированного доступа
к ПДн и принятием мер;
-
восстановление ПДн, модифицированных или
уничтоженных вследствие несанкционированного доступа к ним;
-
установление правил доступа к ПДн,
обрабатываемым в ИСПДн, а также обеспечение регистрации и учета всех действий,
совершаемых с ПДн в ИСПДн;
-
контроль за принимаемыми мерами по обеспечению
безопасности ПДн и уровня защищенности ИСПДн.
Комплекс
мероприятий и технических средств по обеспечению безопасности ПДн в ООО
«Поликлиника Профмедосмотр» формулируется с учетом результатов оценки
возможного вреда субъекту ПДн, который может быть нанесен в случае нарушения
безопасности его ПДн, актуальности угроз безопасности ПДн, а также установления
уровня защищенности ПДн.
10.
Контроль за соблюдением законодательства РФ и локальных нормативных актов ООО
«Поликлиника Профмедосмотр» в области персональных данных
Контроль
за соблюдением подразделениями ООО «Поликлиника Профмедосмотр» локальных
нормативных актов ООО «Поликлиника Профмедосмотр» в области ПДн осуществляется
с целью проверки соответствия процессов обработки и защиты ПДн требованиям
законодательства РФ в области ПДн, а также выявления возможных каналов утечки и
несанкционированного доступа к ПДн.
Внутренний
контроль за соблюдением подразделениями ООО «Поликлиника Профмедосмотр» требований
законодательства РФ и локальных нормативных актов ООО «Поликлиника
Профмедосмотр» , в области ПДн осуществляется лицами, ответственными за
обработку и защиту ПДн в ООО «Поликлиника Профмедосмотр».
Сотрудники
ООО «Поликлиника Профмедосмотр», виновные в нарушении норм, регулирующих
обработку и защиту ПДн, установленных в ООО «Поликлиника Профмедосмотр», могут
быть привлечены к дисциплинарной, материальной, гражданско-правовой,
административной или уголовной ответственности в соответствии с законодательством
РФ.
11.
Заключительные положения
Настоящая
Политика является публичным, равнодоступным документом и предоставляется для
ознакомления неограниченному кругу лиц на сайте ООО «Поликлиника Профмедосмотр»:
https://www.medosmotr-nk.ru/.
Внесение
изменений в настоящую Политику может вызвано изменениями в законодательстве
Российской Федерации, внутренних документах ООО «Поликлиника Профмедосмотр»,
информационных системах ПДн, системе защиты ПДн.
Все
изменения и дополнения, внесенные в настоящую Политику, утверждаются в порядке,
предусмотренном в ООО «Поликлиника Профмедосмотр»/
Все
сотрудники ООО «Поликлиника Профмедосмотр» подлежат обязательному ознакомлению
с настоящей Политикой и несут предусмотренную законодательством Российской
Федерации ответственность за нарушение её положений.
Вопросы толкования настоящей Политики необходимо адресовать в ООО «Поликлиника Профмедосмотр» г. Новокузнецк, пр. Строителей, 18/4, оф. 7, ИНН 4218024649.
