ООО «УЗИЦЕНТР»

Политика обработки и защиты персональных данных(редакция от 29.09.2017 года)

 

1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных (далее - Политика) составлена в соответствии с п.2 ст.18.1 Федерального закона Российской Федерации «О персональных данных» № 152-ФЗ от 27.07.2006 (ред. от 21.07.2014), а также иных нормативно-правовых актов Российской Федерации в области защиты и обработки персональных данных и действует в отношении всех персональных данных, которые ООО «УЗИЦЕНТР» (далее по тексту - Операторцентробщество) может получить от субъекта персональных данных, являющегося стороной по договору оказания медицинских услуг (пациент или его законный представитель), гражданско-правовому договору, а так же от субъекта персональных данных, состоящего с Оператором в отношениях, регулируемых трудовым законодательством (далее – Работника).

1.2. Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона от 27.07.2006 №152-ФЗ “О персональных данных”, Постановления Правительства Российской Федерации от 15.09.2008 №687 “Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации”, Постановлением Правительства РФ от 01.11.2012 №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", нормативных документов уполномоченных органов.

 

 2. Изменение Политики

2.1. Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.

2.2. Действующая редакция хранится в электронном виде на сайте Оператора www.uzicenter.com.

 

3. Термины и принятые сокращения

Персональные данные (далее ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД);

Субъект ПД (далее Субъект) — физическое лицо, которое прямо или косвенно определено или определяемо с помощью ПД;

Обработка ПД – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПД, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД;

Автоматизированная обработка ПД – обработка ПД с помощью средств вычислительной техники;

Информационная система ПД (ИСПД) – совокупность содержащихся в базах данных ПД и обеспечивающих их обработку информационных технологий и технических средств;

ПД, сделанные общедоступными субъектом ПД – ПД, доступ неограниченного круга лиц к которым предоставлен субъектом ПД либо по его просьбе;

Блокирование ПД – временное прекращение обработки ПД (за исключением случаев, если обработка необходима для уточнения ПД);

Уничтожение ПД – действия, в результате которых становится невозможным восстановить содержание ПД в ИСПД и (или) в результате которых уничтожаются материальные носители ПД;

Оператор – организация, обрабатывающая ПД.

 

4. Основные права субъекта ПД и обязанности Оператора

4.1. Основные права субъекта ПД:

- обращение к Оператору и направление ему запросов;

- обжалование действий или бездействия Оператора.

Субъект имеет право на доступ к его ПД и следующим сведениям:

подтверждение факта обработки ПД оператором;

правовые основания и цели обработки ПД;

цели и применяемые оператором способы обработки ПД;

наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с оператором или на основании федерального закона;

сроки обработки ПД, в том числе сроки их хранения;

порядок осуществления субъектом ПД прав, предусмотренных действующим законодательством;

наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению оператора, если обработка поручена или будет поручена такому лицу.

4.2. Обязанности Оператора

Оператор обязан:

при сборе ПД предоставить информацию об обработке ПД;

в случаях, если ПД были получены не от субъекта ПД, уведомить субъекта;

при отказе в предоставлении ПД субъекту разъясняются последствия такого отказа;

опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД;

принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;

давать ответы на запросы и обращения субъектов ПД, их представителей и уполномоченного органа по защите прав субъектов ПД.

 

5. Обработка ПД

5.1. Получение ПД

Все ПД следует получать от самого субъекта. Если ПД субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено согласие.

Оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения ПД, характере подлежащих получению ПД, перечне действий с ПД, сроке, в течение которого действует согласие и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение.

Документы, содержащие ПД, создаются путем:

• копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство и др.);

• внесения сведений в учетные формы;

• получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.).

5.2. Обработка ПД , цели и правовые основания осуществления обработки ПД

5.2.1. Обработка ПД осуществляется:

• С согласия субъекта ПД на обработку его ПД;

• В случаях, когда обработка ПД необходима для осуществления и выполнения возложенных законодательством Российской Федерации функций, полномочий и обязанностей;

• В случаях, когда осуществляется обработка ПД, доступ неограниченного круга лиц к которым предоставлен субъектом ПД либо по его просьбе (ПД, сделанные общедоступными субъектом ПД).

5.2.2. Цели обработки ПД:

• Обеспечение организацией оказания медицинской помощи населению, а также наиболее полного исполнения обязательств и компетенций в соответствии c Федеральным законом «Об основах охраны здоровья граждан в Российской Федерации» (№ 323-ФЗ от 21.11.2011), а также Правилами предоставления медицинскими организациями платных медицинских услуг, утвержденные Постановлением Правительства Российской Федерации (№1006 от 04.10.2012);

• Осуществление трудовых отношений;

• Осуществление гражданско-правовых отношений.

5.2.3. Категории субъектов ПД

Оператором обрабатываются ПД следующих субъектов ПД:

• физические лица, состоящие с обществом в трудовых отношениях;

• физические лица, являющие близкими родственниками сотрудников общества;

• физические лица, уволившиеся из общества;

• физические лица, являющиеся кандидатами на работу;

• физические лица, состоящие с обществом в гражданско-правовых отношениях

• физические лица, обратившиеся в общество за медицинской помощью.

5.2.4. ПД, обрабатываемые Оператором:

• Данные полученные при осуществлении трудовых отношений;

• Данные полученные для осуществления отбора кандидатов на работу;

• Данные полученные при осуществлении гражданско-правовых отношений;

• Данные полученные при оказании медицинской помощи.

5.2.5. Обработка ПД ведется:

• С использованием средств автоматизации

• Без использования средств автоматизации.

5.3. Хранение ПД

- ПД субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде. Все базы ПД размещаются исключительно по адресу осуществления деятельности общества.

- ПД, зафиксированные на бумажных носителях хранятся в запираемых шкафах, либо в запираемых помещениях с ограниченным правом доступа (регистратура).

- ПД субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках (вкладках).

- не допускается хранение и размещение документов, содержащих ПД, в открытых электронных каталогах (файлообменниках) в ИСПД.

- хранение ПД в форме, позволяющей определить субъекта ПД, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

5.4. Уничтожение ПД

- уничтожение документов (носителей), содержащих ПД производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.

- ПД на электронных носителях уничтожаются путем стирания или форматирования носителя.

- уничтожение производится комиссией. Факт уничтожения ПД подтверждается документально актом об уничтожении носителей, подписанным членами комиссии.

5.5. Передача ПД

5.5.1. Оператор передает ПД третьим лицам в следующих случаях:

• субъект выразил свое согласие на такие действия;

• передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры.

5.5.2. Перечень третьих лиц, которым передаются ПД:

• Пенсионный фонд РФ (в соответствии с законодательством);

• Налоговые органы РФ (в соответствии с законодательством);

• Фонд социального страхования (в соответствии с законодательством);

• Территориальный фонд обязательного медицинского страхования (в соответствии с законодательством);

• Страховые медицинские организации по обязательному и добровольному медицинскому страхованию (в соответствии с законодательством);

• Банки (для перечисления заработной платы на основании договора);

• Органы МВД в случаях, установленных законодательством.

 

6. Защита ПД

6.1. В соответствии с требованиями нормативных документов Оператором создана система защиты ПД (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.

- Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.

- Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.

- Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПД.

6.2. Основными мерами защиты ПД, используемыми Оператором, являются:

- Назначение лица, ответственного за обработку ПД, которое осуществляет организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением обществом и его работниками требований к защите ПД;

- Разработка политики в отношении обработки ПД;

- Определение актуальных угроз безопасности ПД при их обработке в ИСПД, и разработка мер и мероприятий по защите ПД: установление правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечения регистрации и учета всех действий, совершаемых с ПД в ИСПД, установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями, использование сертифицированного антивирусного ПО с регулярно обновляемыми базами, сертифицированных межсетевых экранов и средств обнаружения вторжения.

- Соблюдение условий, обеспечивающих сохранность ПД и исключающих несанкционированный к ним доступ;

- Обнаружение фактов несанкционированного доступа к ПД и принятия мер;

- Обучение работников Оператора, непосредственно осуществляющих обработку ПД, положениям законодательства Российской Федерации о ПД, в том числе требованиям к защите ПД, документами, определяющими политику Оператора в отношении обработки ПД, локальным актам по вопросам обработки ПД;

- Осуществление внутреннего контроля и аудита.