Политика в отношении обработки персональных данных

1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) разработана в соответствии с пунктом 2 статьи 18.1. Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее Закон о персональных данных) и является основополагающим внутренним регулятивным документом в Организации, определяющим ключевые направления деятельности в области обработки и защиты персональных данных, оператором которых является Организация.

1.2. Политика разработана в целях реализации требований законодательства в области обработки и защиты персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных в Организации, в том числе защиты прав на неприкосновенность частной жизни, личной, семейной и врачебной тайны.

1.3. Положения Политики распространяются на отношения по обработке и защите персональных данных, полученных Организацией как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите персональных данных, полученных до ее утверждения.

1.4. Во исполнение требований ч. 2 ст. 18.1. Закона о персональных данных настоящая Политика является общедоступным документом.

2. Основные понятия

2.1. В настоящем документе используются следующие понятия:

Клиент – физическое лицо или пациент, намеревающееся использовать и/или использующее Сервисы Организации и/или заключившее договор с Организацией и/или обратилось за оказанием платной медицинской помощи.

Персональные данные – любая информация, прямо или косвенно относящаяся к определенному или определяемому физическому лицу (субъекту персональных данных).

Субъекты персональных данных – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Конфиденциальность персональных данных – обязательное для соблюдения оператором требование не раскрывать третьим лицам и не допускать распространения персональных данных без согласия субъектов персональных данных или наличия иного законного основания.

Защита персональных данных – это комплекс мероприятий правового, организационного и технического характера в целях защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

3. Цели обработки персональных данных

3.1. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

3.2. Обработка Оператором персональных данных осуществляется в следующих целях:

• осуществления своей деятельности в соответствии с уставом Организации, в том числе, но не исключительно заключения и исполнения договоров с клиентами и предоставления медицинской помощи;
• исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, в том числе, но не исключительно ведение кадрового и бухгалтерского учета, заполнение и передача в уполномоченные органы требуемых форм отчетности, организация постановки на индивидуальный (персонифицированный) учет работников в системах обязательного пенсионного страхования и обязательного социального страхования;
• осуществления пропускного режима.

3.3. Обработка персональных данных работников может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативно-правовых актов.

4. Принципы и условия обработки персональных данных

4.1. Обработка персональных данных в Организации осуществляется с соблюдением требований Закона о персональных данных и учитывает необходимость обеспечения защиты прав и свобод субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, медицинскую, личную и семейную тайны, а именно:

• обработка персональных данных осуществляется на законной и справедливой основе;
• обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями их сбора;
• не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• обработке подлежат только те персональные данные, которые отвечают целям их обработки;
• содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Не подлежит обработке персональные данные, избыточные по отношению к заявленным целям их обработки;
• при обработке обеспечиваются точность и достаточность персональных данных, а при необходимости актуальность по отношению к целям обработки. Организация принимает меры по удалению или уточнению неполных или неточных данных, либо обеспечивает принятие таких мер;
• хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной по которому является субъект персональных данных;
• обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4.2. Обработка персональных данных в Организации осуществляется с согласия субъекта персональных данных, а также на иных основаниях, предусмотренных законодательством Российской Федерации. При обработке персональных данных Организация обеспечивает их конфиденциальность.

5. Субъекты персональных данных

Организация осуществляет обработку персональных данных следующих категорий субъектов персональных данных: клиентов, физических лиц, состоящих в договорных и иных гражданско-правовых отношениях с Организацией, работников Организации и других субъектов персональных данных.

6. Обрабатываемые персональные данные

6.1. Организация обрабатывает следующие персональные данные:

• фамилия, имя, отчество;
• число, месяц, год рождения;
• место рождения;
• вид и номер документа, удостоверяющего личность;
• сведения о дате выдачи документа и органе, выдавшем документ, удостоверяющего личность;
• сведения об органе, выдавшем документ, удостоверяющий личность;
• пол;
• информацию о состоянии здоровья;
• контактные телефоны;
• адрес электронной почты;
• полный почтовый адрес;
• гражданство;
• страховой номер индивидуального лицевого счёта;
• индивидуальный номер налогоплательщика;
• банковские реквизиты.

В Организации могут обрабатываться также другие персональные данные клиентов, необходимые для реализации целей обработки, указанных в пункте 3.1. настоящего документа.

6.2. Персональные данные работников, обрабатываемые в Организации, определяются на основании Трудового кодекса Российской Федерации и нормативных актов Организации.

7. Обработка персональных данных в Организации

7.1. Обработка персональных данных осуществляется с согласия субъектов персональных данных, если иное не предусмотрено законодательством Российской Федерации.

7.2. Обработка персональных данных может осуществляться с помощью средств вычислительной техники (автоматизированная обработка) либо при непосредственном участии человека без использования средств вычислительной техники (не автоматизированная обработка).

7.3. Работники Организации имеют право получать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей.

7.4. Обработка персональных данных осуществляется путем:

• получения информации, содержащей персональные данные, в устной и письменной форме непосредственно от субъектов персональных данных;
• предоставления субъектами персональных данных оригиналов необходимых документов;
• получения заверенных в установленном порядке копий документов, содержащих персональные данные, или копирования оригиналов документов;
• фиксации (регистрации) персональных данных в журналах, книгах, реестрах и других учетных формах;
• внесения персональных данных в информационные системы Организации;
• обеспечения сохранности полученных персональных данных;
• передачи (предоставление, доступ) в случаях и порядке, предусмотренных законодательством Российской Федерации;
• уничтожения персональных данных в случаях и порядке, предусмотренных законодательством Российской Федерации;
• использования иных средств и способов фиксации персональных данных, получаемых в рамках осуществляемой деятельности.

7.5. Передача персональных данных третьим лицам допускается с письменного согласия субъектов персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъектов персональных данных, а также в иных случаях, установленных законодательством Российской Федерации.

При передаче персональных данных третьим лицам в соответствии с заключенными договорами Организация обеспечивает обязательное выполнение требований законодательства Российской Федерации и нормативных актов Организации, регламентирующих обработку персональных данных.

7.6. Трансграничная передача персональных данных Организацией не осуществляется.

7.7. Хранение персональных данных в Организации осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки или законодательство Российской Федерации. По достижении целей обработки или в случае утраты необходимости в их достижении персональные данные подлежат уничтожению. Сроки хранения персональных данных в Организации определяются в соответствии с законодательством Российской Федерации.

8. Права субъектов персональных данных

8.1. Субъект персональных данных имеет право:

• получать полную информацию, касающуюся обработки в Организации его персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
• требовать исправления неверных либо неполных персональных данных, а также данных, обрабатываемых с нарушением требований законодательства Российской Федерации;
• требовать блокирования или уничтожения своих персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• требовать извещения всех лиц, которым ранее были сообщены его неверные или неполные персональные данные, обо всех произведенных в них изменениях;
• отозвать согласие на обработку своих персональных данных;
• обжаловать действия или бездействие Организации при обработке своих персональных данных в соответствии с законодательством Российской Федерации;
• осуществлять иные права, предусмотренные законодательством Российской Федерации.

9. Обязанности Организации

9.1. Организация как оператор, осуществляющий обработку персональных данных, обязана:

• принимать необходимые меры для выполнения обязанностей оператора, предусмотренных законодательством Российской Федерации в сфере обработки и защиты персональных данных;
• разъяснять субъекту персональных данных юридические последствия отказа предоставить персональные данные и/или дать согласие на их обработку, если это является обязательным в соответствии с законодательством Российской Федерации;
• осуществлять блокирование неправомерно обрабатываемых персональных данных или обеспечить их блокирование;
• осуществлять прекращение обработки или обеспечить прекращение обработки персональных данных в соответствии с законодательством Российской Федерации;
• уведомлять субъекта персональных данных об устранении допущенных нарушений или уничтожении его персональных данных;
• в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, обеспечить проведение внутреннего аудита и уведомление уполномоченного органа государственной власти по защите прав субъектов персональных данных в соответствии с законодательством Российской Федерации в области персональных данных;
• предоставлять по просьбе субъекта персональных данных или его представителя информацию, касающуюся обработки его персональных данных, в порядке, установленном законодательством Российской Федерации и нормативными актами Организации.

9.2. В целях принятия мер, необходимых для выполнения обязанностей, предусмотренных законодательством Российской Федерации и нормативными актами Организации, назначается лицо, ответственное за организацию обработки персональных данных.

9.3. Лицо, ответственное за организацию обработки персональных данных в Организации, обязано:

• осуществлять внутренний контроль за соблюдением в Организации и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
• доводить до сведения работников Организации положения законодательства Российской Федерации о персональных данных, нормативных актов по вопросам обработки персональных данных, требований к защите персональных данных;
• организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

9.4. Организация, при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", обязано обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

10. Обеспечение безопасности персональных данных

10.1. Обеспечение безопасности персональных данных при их обработке в Организации осуществляется в соответствии с законодательством Российской Федерации и требованиями уполномоченного органа государственной власти по защите прав субъектов персональных данных, федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации.

10.2. Организация предпринимает необходимые организационные и технические меры для защиты персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.

10.3. Меры защиты, реализуемые Организацией при обработке персональных данных, включают:

• принятие нормативных актов Организации и иных документов в области обработки и защиты персональных данных;
• организацию обучения и проведение методической работы с работниками, осуществляющими обработку персональных данных в Организации;
• создание необходимых условий для работы с материальными носителями и информационными системами ресурсами, в которых обрабатываются персональные данные;
• организацию учета материальных носителей персональных данных и информационных систем и ресурсов, в которых обрабатываются персональные данные;
• хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
• обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации;
• обеспечение раздельного хранения материальных носителей персональных данных, на которых содержатся персональные данные разных категорий или содержатся персональные данные, обработка которых осуществляется в разных целях;
• установление запрета на передачу персональных данных по открытым каналам связи, вычислительным сетям и сети Интернет без применения мер по обеспечению безопасности персональных данных;
• осуществление внутреннего контроля за соблюдением в Организации законодательства Российской Федерации и нормативных актов Организации при обработке персональных данных.

10.4. Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов Организации в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.

11. Правовые основания обработки персональных данных

11.1. Правовыми основаниями обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:

• Конституция Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон от 08 февраля 1998 года № 14-ФЗ «Об обществах с ограниченной ответственностью»;
• Федеральный закон от 06 декабря 2011 года № 402-ФЗ «О бухгалтерском учете»;
• Федеральный закон от 15 декабря 2001 года № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
• Федеральный закон от 21 ноября 2011 года № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
• иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.

11.2. Правовым основанием обработки персональных данных также являются:

• Устав Организации;
• Договоры, заключаемые между Оператором и субъектами персональных данных;
• Согласие субъектов персональных данных на обработку их персональных данных.