Политика обработки и защиты персональных данных(редакция от 29.09.2017 года)
1. Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных (далее - Политика) составлена в соответствии с п.2 ст.18.1 Федерального закона Российской Федерации «О персональных данных» № 152-ФЗ от 27.07.2006 (ред. от 21.07.2014), а также иных нормативно-правовых актов Российской Федерации в области защиты и обработки персональных данных и действует в отношении всех персональных данных, которые ООО «УЗИЦЕНТР» (далее по тексту - Оператор, центр, общество) может получить от субъекта персональных данных, являющегося стороной по договору оказания медицинских услуг (пациент или его законный представитель), гражданско-правовому договору, а так же от субъекта персональных данных, состоящего с Оператором в отношениях, регулируемых трудовым законодательством (далее – Работника).
1.2. Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона от 27.07.2006 №152-ФЗ “О персональных данных”, Постановления Правительства Российской Федерации от 15.09.2008 №687 “Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации”, Постановлением Правительства РФ от 01.11.2012 №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", нормативных документов уполномоченных органов.
2.1. Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.
2.2. Действующая редакция хранится в электронном виде на сайте Оператора www.uzicenter.com.
3. Термины и принятые сокращения
Персональные данные (далее ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД);
Субъект ПД (далее Субъект) — физическое лицо, которое прямо или косвенно определено или определяемо с помощью ПД;
Обработка ПД – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПД, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД;
Автоматизированная обработка ПД – обработка ПД с помощью средств вычислительной техники;
Информационная система ПД (ИСПД) – совокупность содержащихся в базах данных ПД и обеспечивающих их обработку информационных технологий и технических средств;
ПД, сделанные общедоступными субъектом ПД – ПД, доступ неограниченного круга лиц к которым предоставлен субъектом ПД либо по его просьбе;
Блокирование ПД – временное прекращение обработки ПД (за исключением случаев, если обработка необходима для уточнения ПД);
Уничтожение ПД – действия, в результате которых становится невозможным восстановить содержание ПД в ИСПД и (или) в результате которых уничтожаются материальные носители ПД;
Оператор – организация, обрабатывающая ПД.
4. Основные права субъекта ПД и обязанности Оператора
4.1. Основные права субъекта ПД:
- обращение к Оператору и направление ему запросов;
- обжалование действий или бездействия Оператора.
Субъект имеет право на доступ к его ПД и следующим сведениям:
- подтверждение факта обработки ПД оператором;
- правовые основания и цели обработки ПД;
- цели и применяемые оператором способы обработки ПД;
- наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с оператором или на основании федерального закона;
- сроки обработки ПД, в том числе сроки их хранения;
- порядок осуществления субъектом ПД прав, предусмотренных действующим законодательством;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению оператора, если обработка поручена или будет поручена такому лицу.
4.2. Обязанности Оператора
Оператор обязан:
- при сборе ПД предоставить информацию об обработке ПД;
- в случаях, если ПД были получены не от субъекта ПД, уведомить субъекта;
- при отказе в предоставлении ПД субъекту разъясняются последствия такого отказа;
- опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД;
- принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;
- давать ответы на запросы и обращения субъектов ПД, их представителей и уполномоченного органа по защите прав субъектов ПД.
Все ПД следует получать от самого субъекта. Если ПД субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено согласие.
Оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения ПД, характере подлежащих получению ПД, перечне действий с ПД, сроке, в течение которого действует согласие и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение.
Документы, содержащие ПД, создаются путем:
• копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство и др.);
• внесения сведений в учетные формы;
• получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.).
5.2. Обработка ПД , цели и правовые основания осуществления обработки ПД
5.2.1. Обработка ПД осуществляется:
• С согласия субъекта ПД на обработку его ПД;
• В случаях, когда обработка ПД необходима для осуществления и выполнения возложенных законодательством Российской Федерации функций, полномочий и обязанностей;
• В случаях, когда осуществляется обработка ПД, доступ неограниченного круга лиц к которым предоставлен субъектом ПД либо по его просьбе (ПД, сделанные общедоступными субъектом ПД).
5.2.2. Цели обработки ПД:
• Обеспечение организацией оказания медицинской помощи населению, а также наиболее полного исполнения обязательств и компетенций в соответствии c Федеральным законом «Об основах охраны здоровья граждан в Российской Федерации» (№ 323-ФЗ от 21.11.2011), а также Правилами предоставления медицинскими организациями платных медицинских услуг, утвержденные Постановлением Правительства Российской Федерации (№1006 от 04.10.2012);
• Осуществление трудовых отношений;
• Осуществление гражданско-правовых отношений.
5.2.3. Категории субъектов ПД
Оператором обрабатываются ПД следующих субъектов ПД:
• физические лица, состоящие с обществом в трудовых отношениях;
• физические лица, являющие близкими родственниками сотрудников общества;
• физические лица, уволившиеся из общества;
• физические лица, являющиеся кандидатами на работу;
• физические лица, состоящие с обществом в гражданско-правовых отношениях
• физические лица, обратившиеся в общество за медицинской помощью.
5.2.4. ПД, обрабатываемые Оператором:
• Данные полученные при осуществлении трудовых отношений;
• Данные полученные для осуществления отбора кандидатов на работу;
• Данные полученные при осуществлении гражданско-правовых отношений;
• Данные полученные при оказании медицинской помощи.
5.2.5. Обработка ПД ведется:
• С использованием средств автоматизации
• Без использования средств автоматизации.
- ПД субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде. Все базы ПД размещаются исключительно по адресу осуществления деятельности общества.
- ПД, зафиксированные на бумажных носителях хранятся в запираемых шкафах, либо в запираемых помещениях с ограниченным правом доступа (регистратура).
- ПД субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках (вкладках).
- не допускается хранение и размещение документов, содержащих ПД, в открытых электронных каталогах (файлообменниках) в ИСПД.
- хранение ПД в форме, позволяющей определить субъекта ПД, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
- уничтожение документов (носителей), содержащих ПД производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
- ПД на электронных носителях уничтожаются путем стирания или форматирования носителя.
- уничтожение производится комиссией. Факт уничтожения ПД подтверждается документально актом об уничтожении носителей, подписанным членами комиссии.
5.5.1. Оператор передает ПД третьим лицам в следующих случаях:
• субъект выразил свое согласие на такие действия;
• передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры.
5.5.2. Перечень третьих лиц, которым передаются ПД:
• Пенсионный фонд РФ (в соответствии с законодательством);
• Налоговые органы РФ (в соответствии с законодательством);
• Фонд социального страхования (в соответствии с законодательством);
• Территориальный фонд обязательного медицинского страхования (в соответствии с законодательством);
• Страховые медицинские организации по обязательному и добровольному медицинскому страхованию (в соответствии с законодательством);
• Банки (для перечисления заработной платы на основании договора);
• Органы МВД в случаях, установленных законодательством.
6.1. В соответствии с требованиями нормативных документов Оператором создана система защиты ПД (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.
- Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.
- Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.
- Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПД.
6.2. Основными мерами защиты ПД, используемыми Оператором, являются:
- Назначение лица, ответственного за обработку ПД, которое осуществляет организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением обществом и его работниками требований к защите ПД;
- Разработка политики в отношении обработки ПД;
- Определение актуальных угроз безопасности ПД при их обработке в ИСПД, и разработка мер и мероприятий по защите ПД: установление правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечения регистрации и учета всех действий, совершаемых с ПД в ИСПД, установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями, использование сертифицированного антивирусного ПО с регулярно обновляемыми базами, сертифицированных межсетевых экранов и средств обнаружения вторжения.
- Соблюдение условий, обеспечивающих сохранность ПД и исключающих несанкционированный к ним доступ;
- Обнаружение фактов несанкционированного доступа к ПД и принятия мер;
- Обучение работников Оператора, непосредственно осуществляющих обработку ПД, положениям законодательства Российской Федерации о ПД, в том числе требованиям к защите ПД, документами, определяющими политику Оператора в отношении обработки ПД, локальным актам по вопросам обработки ПД;
- Осуществление внутреннего контроля и аудита.