Политика в отношении обработки персональных данных КЛИНИКИ ДОКТОРА ЗАГЕРА (ООО "МЕГАИНФО»)
1. Введение.
1.1. Настоящий документ определяет политику КЛИНИКИ ДОКТОРА ЗАГЕРА (юридическое лицо ООО «МЕГАИНФО»), далее «КЛИНИКА», в отношении персональных данных, направленную на обеспечение защиты прав и свобод человека и гражданина, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Настоящая политика разработана в соответствии с действующим законодательством в области персональных данных:
- Конвенция о защите физических лиц при автоматизированной обработке персональных данных Страсбург, 28 января 1981г.);
- Директива европейского Союза No 95/46/ЕС «О защите данных»;
- Директива Европейского Союза No 2002/58/ЕС «О приватности и электронных коммуникациях»;
- Конституция Российской Федерации;
- Трудовой кодекс Российской Федерации от 30 декабря 2001г. No 197- ФЗ – Глава 14 «Защита персональных данных работника»;
- Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 No195 - ФЗ;
- Федеральный закон от 19 декабря 2005г. No 160- ФЗ «О ратификации Конвенции Совета Европы о защите прав физических лиц при автоматизированной обработке персональных данных»;
- Федеральный закон от 27 июля 2006 No 149- ФЗ «об информации, информационных технологиях и о защите информации»;
- Федеральный закон от 27 июля 2006г. No152- ФЗ «О персональных данных»;
- Федеральный закон Российской Федерации от 25 июля 2011г. No 261- ФФЗ «О внесении изменений в Федеральный закон «О персональных данных»;
- Федеральный закон от 3.12.2015 г. No439 - ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»;
- Федеральный закон от 21 июля 2014 г. No242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных и информационно-телекоммуникационных сетях»; - Указ Президента Российской Федерации от 06 марта 1997 No188 «Об утверждении перечня сведений конфиденциального характера»;
- Указ Президента Российской Федерации от 3 мая 2005г. No609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела»;
- Указ Президента Российской Федерации от 17 марта 2008 No351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»;
- Распоряжение Президента Российской Федерации от 10 июля 2001 No 366-РП «о подписании Конвенции о защите физических лиц при автоматизированной обработке персональных данных»;
- Постановление правительства Российской Федерации от 01 ноября 2012 No1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Постановление Правительства Российской Федерации от 06 июля 2008 г. No 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»
- Постановление Правительства Российской Федерации от 5 сентября 2008 No687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Приказ ФСБ России от 09 февраля 2005 No66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных криптографических) средств защиты информации. Положение ПКЗ 2005);
- Приказ ФСТЭК России No55, ФСБ России No86, Мининформсвязи России No20 от 13 февраля 2008г. «об утверждении Порядка проведения классификации информационных систем персональных данных»;
- Приказ ФСТЭК России от 18 февраля 2013No 21 «Об утверждении положения о методах способах защиты информации в информационных системах персональных данных»
- Приказ Роскомнадзора от 05 сентября 2013 No 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
- Иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов власти.
2. Термины и определения
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных).
Оператор – юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Уничтожение персональных данных – действия, в результате которых становиться невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных - действия, в результате которых становиться невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
3. Описание Политики обработки персональных данных
3.1. Принципы, цели, содержание и способы обработке персональных данных. Обработка персональных данных осуществляется с соблюдением принципов и правил, установленных Федеральным законом от 27.07.2006г. No152- З «О персональных данных».
3.2. Категория субъектов персональных данных КЛИНИКИ:
- действительные пациенты;
- потенциальные пациенты
- члены семей и иные родственники действительных и потенциальных пациентов;
- представители (в силу закона и по доверенности) действительных и потенциальных пациентов;
- сотрудники и представители сторонних медицинских организации;
- сотрудники и представители действующих контрагентов (юридических лиц), включая страховые компании;
- физические лица, приобретающие лекарственные препараты, изделия медицинского назначения на основании соответствующего рецепта;
- ица, являющиеся соискателями на замещении вакантных должностей;
- действующие и потенциальные контрагенты (физические лица);
- сотрудники и представители действующих и потенциальных контрагентов (юридических лиц);
- сотрудники (представители, контактные лица);
- сотрудники, являющиеся гражданами иностранных государств;
- сотрудники юридических лиц и физические лица, представляющие интересы Клиники доктора Загера;
3.3. Обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации функций, полномочий и обязанностей. КЛИНИКА осуществляет сбор и дальнейшую обработку персональных данных в следующих целях:
- организация и осуществление комплекса мероприятий, направленных на поддержание и (или) восстановление здоровья и включающих в себя предоставление медицинских услуг, в том числе профилактику, диагностику и лечение заболеваний, медицинскую реабилитацию;
- осуществление дистанционного взаимодействия с пациентами и иными заинтересованными лицами в рамках сервисно - информационного обслуживания путем использования телефонной связи, служб мгновенных сообщений, IP-телефонии, электронной почты;
- осуществление дистанционного взаимодействия с пациентами и иными заинтересованными лицами посредством сайта КЛИНИКИ в сети «Интернет»;
- организация и проведение мероприятий, направленных на повышение узнаваемости и лояльности в отношении КЛИНИКИ, а также продвижение услуг КЛИНИКИ;
- выполнение требований трудового законодательства, законодательства по учету труда и его оплаты;
- реализация КЛИНИКОЙ (ООО «МЕГАИНФО») как работодателя обязанностей, предусмотренных Трудовым кодексом Российской Федерации.
- выделение подключение вычислительных средств, создание новых пользователей информационных системах КЛИНИКИ, предоставление доступа к ресурсам информационных систем, а также решение проблем, возникших у пользователей процессе работы с компьютерами (аппаратным и программным обеспечением) и оргтехникой;
- организация и осуществления внутреннего контроля качества медицинской помощи и внутренних производственных процессов.
4. Условия обработки персональных данных
4.1. Порядок работы с персональными данными в КЛИНИКЕ регламентирован действующим законодательством РФ.
4.2. Обработка персональных данных в КЛИНИКЕ осуществляется путем сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), использования, передачи (предоставления, доступа), обезличивания, блокирования, уничтожения персональных данных исключительно для обеспечения соблюдения федерального законодательства и иных нормативных правовых актов. При этом используется смешанный (с использованием средств автоматизации и без использования средств автоматизации) способ обработки персональных данных.
4.3. Передача персональных данных третьим лицам осуществляется только в соответствии с действующим законодательством.
4.4. В КЛИНИКЕ осуществляется обработка специальных категорий персональных данных о состоянии здоровья в соответствии с требованиями законодательства, а также с письменного согласия субъектов персональных данных (сотрудников и пациентов).
4.5. КЛИНИКА не осуществляет трансграничную передачу персональных данных.
4.6. Сроки хранения документов, содержащих персональные данные, определяются согласно действующему законодательству РФ. По истечении сроков хранения таких документов они подлежат уничтожению.
4.7. С целью защиты персональных данных при их обработке в информационных системах персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий с ними применяются организационные и технические меры.
4.8. В КЛИНИКЕ установлены следующие условия прекращения обработки персональных данных:
- Достижение целей обработки персональных данных и максимальных сроков хранения;
- Утрата необходимости в достижении целей обработки персональных данных;
- Представление субъектом персональных данных или его законным представителем документально подтвержденных сведений о том, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
- Невозможность обеспечения правомерности обработки персональных данных;
- Отзыв субъекта персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных;
- Истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных.
4.9. ООО «МЕГАНИНФО» осуществило уведомление уполномоченного органа по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.
5. Основные мероприятия по надлежащей организации обработки и обеспечению безопасности персональных данных
5.1. При обработке персональных данных КЛИНИКА (ООО «МЕГАИНФО») применяет необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иного неправомерного действия в отношении персональных данных.
5.2. Конфиденциальная информация, содержащая персональные данные субъектов персональных данных, проходит процедуру уничтожения в соответствии с принятым в ООО «МЕГАНИНФО» порядком в сроки, установленные законодательством РФ;
6. Права субъектов персональных данных
6.1. С убъект персональных данных имеет право получать сведения согласно Федеральному закону «О персональных данных» No 152-ФЗ от 27.07.2006 г. об обработке его персональных данных в КЛИНИКЕ. 6.2. Субъект персональных данных вправе требовать уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
6.4. Обращение/запрос субъекта персональных данных к КЛИНИКЕ в целях реализации своих прав, установленных Федеральным законом «О персональных данных» No 152-ФЗ от 27.07.2006 г., осуществляется в письменном виде при личном визите. Срок формирование ответа на обращение/запрос, внесения необходимых изменений в персональные данные, уничтожения персональных данных составляет тридцать календарных дней с даты получения обращения/запроса или предоставления сведений являющейся основанием для изменения и/или уничтожения персональных данных.
7. Ответственность за нарушение требований, регулирующих получение, обработку и хранение персональных данных
7.1. Должностные лица Компании, обрабатывающие персональные данные, несут ответственность в соответствии с действующим законодательством РФ за нарушение режима защиты, обработки и порядка использования этой информации.
8. Заключительные положения
8.1. Настоящая Политика вступает в силу с момента ее утверждения исполнительными органами юридических лиц, являющиеся сторонами Соглашения о сотрудничестве.
8.2. Настоящая Политика подлежит корректировке в случае изменения законодательства РФ, внутренних документов КЛИНИКИ (ООО «МЕГАИНФО») в области защиты персональных данных.
8.3. Действующая редакция Политики на бумажном носителе хранится по адресу Москва, 1-ый Кожуховский пр-д, д.1/7. Электронная версия Политики в соответствии с требованиями п.2, ст. 18.1 Федерального закона «О персональных данных» No 152-ФЗ от 27.07.2006г. подлежит опубликованию на официальном сайте КЛИНИКИ: www.zagerclinic.ru.