Положение о Персональных данных ООО «Медюнион»

Положение об обработке и защите персональных данных

1. Общие положения

  • Настоящее Положение об обработке персональных данных (далее – Положение) определяет порядок получения, хранения, обработки, комбинирования, передачи и любого другого использования персональных данных, обрабатываемых в Обществе с ограниченной ответственностью «МЕДЮНИОН» (далее – Оператор) в соответствии с законодательством Российской Федерации.
  • Настоящее Положение разработано в соответствии с:
    • Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных»;
    • Федеральным законом от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации».
  • Для целей настоящего Положения используются следующие основные понятия:
    • Персональные данные – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных);
    • Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
    • Распространение персональных данных – действия, направленные на передачу персональных данных определённому кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
    • Использование персональных данных – действия с персональными данными, совершаемые работниками Оператора в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
    • Автоматизированная обработка – обработка данных, выполняемая средствами вычислительной техники;
    • Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
    • Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;
    • Обезличивание персональных данных – действия, в результате которых становится невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
    • Информационная система персональных данных – система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
  • Защита персональных данных – деятельность уполномоченных лиц по обеспечению с помощью локального регулирования порядка обработки персональных данных и организационно-технических мер обеспечения конфиденциальности информации о конкретном субъекте персональных данных.
  • Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
  • Пациенты (субъекты персональных данных) — физические лица, обратившиеся к Оператору с целью получения медицинского обслуживания, либо состоящие в иных гражданско-правовых отношениях с Оператором по вопросам получения медицинских услуг.
  • Представители (законные представители) (субъекты персональных данных) – физические лица, осуществляющие права и обязанности пациента от его имени в силу полномочия, основанного на доверенности, указании закона либо акте уполномоченного на то государственного органа или органа местного самоуправления.
  • Работники (субъекты персональных данных) — физические лица, состоящие в трудовых и иных гражданско-правовых отношениях с Оператором.
  • Документы, содержащие персональные данные пациента(представителя) — документы, необходимые для осуществления действий в медико- профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг, а также для оформления договорных отношений.
  • Документы, содержащие персональные данные работника — документы, которые работник предоставляет Оператору(работодателю) в связи с трудовыми отношениями и касающиеся конкретного работника (субъекта персональных данных), а также другие документы, содержащие сведения, предназначенные для использования в служебных целях.
  • Специальные категории персональных данных — сведения о субъекте персональных данных, касающиеся его национальной принадлежности, состояния здоровья, интимной жизни.
  • Субъект персональных данных — физическое лицо, которому принадлежат персональные данные.
  • Врачебная тайна — соблюдение конфиденциальности информации о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении.
  • Конфиденциальность персональных данных — операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законодательством.
  • Несанкционированный доступ (несанкционированные действия) — доступ к информации или действия с информацией, нарушающие правила разграничения доступа, в том числе с использованием штатных средств, предоставляемых информационными системами персональных данных.
  • Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с Федеральным законодательством не распространяется требование соблюдения конфиденциальности.

2. Цели и задачи Положения

Целями настоящего Положения являются:

  • обеспечение соответствия обработки персональных данных работников Оператора, пациентов Оператора и других лиц требованиям законодательства Российской Федерации;
  • обеспечение защиты персональных данных работников Оператора, пациентов Оператора и других лиц от несанкционированного доступа, утраты, неправомерного их использования или распространения.
  • Задачами настоящего Положения являются:
    • определение целей, принципов и условий обработки персональных данных;
    • определение порядка обработки Оператором персональных данных;
    • определение категорий персональных данных, категорий субъектов персональных данных, обрабатываемых Оператором;
    • определение способов обработки персональных данных;
    • определение прав и обязанностей Оператора и субъектов при обработке персональных данных.

3. Цели, принципы и условия обработки персональных данных

Целями обработки персональных данных Оператором являются:

  • обеспечение соблюдения Конституции Российской Федерации, федеральных законов и нормативно- правовых актов Российской Федерации;
  • осуществление уставных задач Оператора.

Принципы обработки персональных данных:

  • законность целей и способов обработки персональных данных;
  • соответствие целей обработки персональных данных целям, определенным и заявленным при сборе персональных данных, а также полномочиям Оператора;
  • соответствие объема и характера обрабатываемых персональных данных, способов обработки;
  • точность, достаточность и актуальность по отношению к целям обработки персональных данных, недопустимость обработки избыточных персональных данных по отношению к целям, заявленным при сборе персональных данных;
  • недопустимость объединения Оператором баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

Обработка персональных данных осуществляется только должностными лицами Оператора, непосредственно использующими их в служебных целях.

Лица, уполномоченные на обработку персональных данных, имеют право получать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей. Все остальные работники Оператора имеют право на полную информацию, касающуюся только собственных персональных данных.

Обработка персональных данных осуществляется Оператором в следующих случаях:

  • обработка персональных данных осуществляется только с согласия субъекта персональных данных;
  • обработка персональных данных проводится для осуществления уставных функций Оператора;
  • обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных;
  • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
  • обработка персональных данных необходима для осуществления прав, законных интересов Оператора или третьих лиц, либо достижения значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных — обработка персональных данных, которые подлежат опубликованию или обязательному раскрытию в соответствии с федеральными законами.
  • Обработка персональных данных может осуществляться только для достижения заявленных целей их обработки.
  • При определении объёма и содержания, обрабатываемых персональных данных, Оператор должен руководствоваться Конституцией РФ, Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных» и иными федеральными законами в области защиты персональных данных, принципом соответствия объёма и содержания обрабатываемых персональных данных заявленным целям их обработки.

4. Понятие и состав персональных данных

Оператор обрабатывает персональные данные следующих категорий субъектов:

  • работников(сотрудников);
  • уволенных работников;
  • кандидатов на вакантные должности;
  • детей и супругов сотрудников;
  • сотрудников, вышедших на пенсию;
  • пациентов, их представителей и доверенных лиц;
  • иных субъектов персональных данных.
  • Персональные данные работника — информация, необходимая работодателю в связи с трудовыми отношениями и касающиеся конкретного работника. Под информацией о работниках понимаются сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность.
  • В состав персональных данных работника входят:
    • фамилия, имя, отчество;
    • пол
    • год, месяц, дата и место рождения;
    • анкетные и биографические данные;
    • образование;
    • сведения о трудовом и общем стаже;
    • сведения о составе семьи;
    • паспортные данные;
    • данные ИНН;
    • данные СНИЛС;
    • сведения об образовании;
    • сведения о профессиональной деятельности;
    • сведения о воинском учете;
    • сведения о заработной плате сотрудника;
    • сведения о социальных льготах;
    • сведения о наградах, почетных званиях, с указанием удостоверяющего документа;
    • данные свидетельств о регистрации брака и рождении детей;
    • занимаемая должность;
    • наличие судимостей;
    • адрес места жительства;
    • телефон;
    • адрес электронной почты;
    • содержание трудового договора;
    • содержание декларации, подаваемой в налоговую инспекцию;
    • подлинники и копии приказов по личному составу;
    • личные дела и трудовые книжки сотрудников;
    • основания к приказам по личному составу;
    • дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;
    • данные о реквизитах зарплатного счета;
    • другая информация, необходимая Оператору в связи с трудовыми отношениями, кроме специальных категорий персональных данных.

Обработка персональных данных работников ведется в соответствии с Трудовым кодексом Российской Федерации и на основании заключенного трудового договора, в целях обучения и продвижения по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

Под персональными данными пациентов и их представителей — понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе:

  • фамилия, имя, отчество;
  • пол;
  • год, месяц, дата и место рождения;
  • адрес места жительства;
  • контактные телефоны;
  • адрес электронной почты;
  • реквизиты полиса ОМС (ДМС);
  • данные индивидуального лицевого счета в Пенсионном фонде России (СНИЛС);
  • паспортные данные;
  • данные ИНН;
  • данные о состоянии здоровья, заболеваниях, случаях обращения за медицинской помощью.

Обработка персональных данных пациентов и их представителей ведется в целях оказания медицинской помощи в соответствии со ст.23 и ч.1 ст. 24 Конституции Российской Федерации, а также статьями 91-94 Федерального закона «Об основах охраны здоровья граждан в Российской Федерации».

Под персональными данными иных субъектов – понимается информация зафиксированная пациентом в согласии на обработку персональных данных.

Данные сведения являются конфиденциальными. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении срока хранения, если иное не определено законом.

Информация о персональных данных может содержаться:

  • на бумажных носителях;
  • на электронных носителях;
  • в информационных системах персональных данных;
  • в информационно телекоммуникационных сетях и иных информационных системах.

5. Получение персональных данных

Получение персональных данных осуществляется путем представления их самим работником, пациентом или его представителем на основании письменного согласия, за исключением случаев прямо предусмотренных действующим законодательством Российской Федерации.

Обработка персональных данных осуществляется только с согласия пациента (представителя) и работника в письменной форме, за исключением случаев предусмотренных законодательством Российской Федерации.

6. Организация обработки, хранения, уничтожения персональных данных

  • Все персональные данные субъекта следует получать от него самого или представителя. Если персональные данные субъекта возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом и от него должно быть получено письменное согласие (либо письменный отказ).
  • Оператор не имеет права получать и обрабатывать персональные данные субъекта о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях.
  • Все меры конфиденциальности при сборе, обработке и хранении персональных данных распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
  • С работниками, ответственными за хранение персональных данных, а также с работниками, владеющими персональными данными в силу своих должностных обязанностей, заключаются Соглашения о неразглашении персональных данных. Экземпляр Соглашения хранится в отделе кадров.
  • Хранение персональных данных субъектов осуществляется отделом кадров, бухгалтерией, медицинским персоналом, административно-управленческим персоналом на бумажных и электронных носителях с ограниченным доступом.
  • Автоматизированная обработка и хранение персональных данных допускаются только после выполнения всех основных мероприятий по защите информации. Помещения, в которых хранятся персональные данные должны быть оборудованы надежными замками.Использование документов содержащих персональные данные, работниками Оператора, должно исключать бесконтрольное их распространение и ознакомление с ними лиц, не допущенных к сведениям, содержащихся в данных документах.Подразделения Оператора, хранящие персональные данные на бумажных носителях, обеспечивают их защиту от несанкционированного доступа.В процессе хранения персональных данных субъектов персональных данных, необходимо обеспечивать контроль за достоверностью и полнотой персональных данных, их регулярное обновление и внесение по мере необходимости соответствующих изменений.Хранение персональных данных должно осуществляться не дольше, чем это необходимо для достижения целей их обработки, либо чем это определено Федеральным законом, принятым в соответствии с ним нормативным актом, договором или иным документом, являющимся основанием для обработки и хранения персональных данных.При необходимости уничтожения персональных данных Оператор должен руководствоваться следующими требованиями:уничтожение персональных данных осуществляется комиссией по проведению мероприятий по уничтожению персональных данных. После уничтожения персональных данных составляется соответствующий акт;бумажные носители персональных данных должны уничтожаться при помощи специального оборудования (измельчителя бумаги);- персональных данных, представленные в электронном виде, должны уничтожаться с использованием специализированного программного обеспечения, гарантирующего невозможность восстановления удаленных данных или посредством неоднократной перезаписи областей памяти.

    7. Обеспечение безопасности персональных данных

    Работники, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять их без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.В целях защиты персональных данных от неправомерных действий (в частности, неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения) Оператором применяется комплекс правовых, организационных и технических мер по обеспечению безопасности персональных данных, составляющий систему защиты персональных данных. Оператор самостоятельно:назначает лиц, ответственных за организацию обработки персональных данных;определяет и поддерживает в актуальном состоянии перечень обрабатываемых персональных данных и технических средств, применяемых при их обработке;составляет и поддерживает в актуальном состоянии модель угроз безопасности обрабатываемых персональных данных;устанавливает правила доступа к информационным системам персональных данных и обрабатываемым ими персональным данным;разрабатывает и реализует систему организационных и технических мер по обеспечению безопасности хранения и использования персональных данных;предпринимает меры по своевременному выявлению и предотвращению попыток несанкционированного доступа к находящимся в его распоряжении персональных данных.

    8. Права и обязанности субъекта персональных данных и Оператора

    В целях обеспечения защиты персональных данных субъекты имеют право:получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии документов, содержащих персональные данные, за исключением случаев, предусмотренных законодательством Российской Федерации;требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением законодательства Российской Федерации;дополнить персональные данные;требовать от Оператора или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них изменениях или исключениях из них;обжаловать в суд любые неправомерные действия или бездействие Оператора или уполномоченного им лица при обработке и защите персональных данных субъекта.Субъект персональных данных и/или его представитель обязуется предоставлять лицу, обрабатывающему персональные данные, комплекс достоверных, документированных персональных данных, а также своевременно сообщать об изменении персональных данных.Для защиты персональных данных субъектов Оператор обязан:за свой счет обеспечить защиту персональных данных субъекта от неправомерного их использования или утраты в порядке, установленном законодательством Российской Федерации;ознакомить работников с настоящим положением и его правами в области защиты персональных данных под роспись;по запросу ознакомить субъекта персональных данных, не являющегося работником, или в случае недееспособности либо несовершеннолетия субъекта, его законных представителей с настоящим положением и его правами в области защиты персональных данных;осуществлять передачу персональных данных субъекта только в соответствии с настоящим Положением и законодательством Российской Федерации;принимать необходимые организационные и технические меры для защиты персональных данных от несанкционированного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий;соблюдать порядок получения, учёта и хранения персональных данных;предоставлять персональные данные субъекта только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей в соответствии с настоящим положением и законодательством Российской Федерации; по требованию субъекта или его законного представителя предоставить ему полную информацию о его персональных данных и обработке этих данных.

    9. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

    Лица, виновные в нарушении требований федеральных законов Российской Федерации, регулирующих обработку и защиту персональных данных, несут предусмотренную законодательством Российской Федерации ответственность.Лица, которым сведения о персональных данных стали известны в силу их служебного положения, несут ответственность за их разглашение. Обязательства по соблюдению конфиденциальности персональных данных остаются в силе и после окончания работы с ними вышеуказанных лиц.

Записаться на приём

Для того чтобы записаться на приём к специалисту заполните ниже форму. Наш оператор свяжется с вами в ближайшее время.

Нажимая на кнопку "Записаться", вы даёте согласие на обработку своих персональных данных, в соответствии с Политикой конфиденциальности.