Политика
ООО "МКГЦ оториноларингологии и эстетической медицины" в
отношении обработки персональных данных
Самара 2020 г.
1. Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных (далее - Политика) в ООО "МКГЦ оториноларингологии и эстетической медицины" (далее - Учреждение) составлена в соответствии с требованиями пункта 2 части 1 и части 2 статьи 18.1 Федерального закона РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и другими нормативно-правовыми актами и определят основные цели, задачи, общие принципы и направления обеспечения надлежащей обработки персональных данных Учреждения.
1.2. Политика разработана в целях обеспечения реализации требований законодательства Российской Федерации в области обработки персональных данных, направленного на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, в частности, в целях защиты от несанкционированного доступа и неправомерного распространения персональных данных, обрабатываемых в информационных системах Учреждения.
1.3. Настоящая Политика раскрывает принципы, порядок и условия обработки персональных данных граждан Российской Федерации, иностранных граждан (далее - граждане) и лиц без гражданства в информационных системах персональных данных.
1.4. Политика обязательна для исполнения всеми лицами, непосредственно осуществляющими обработку персональных данных в Учреждении.
1.5. Все персональные данные в Учреждения, за исключением обезличенных и сделанными общедоступными субъектом персональных
данных, признаются информацией ограниченного доступа. Необходимость соблюдения конфиденциальности такой информации определена требованиями Федерального закона «О персональных данных».
1.6. Политика актуализируется на регулярной основе в порядке, установленном в Учреждении.
2. Принципы обработки персональных данных
2.1. Обработка персональных данных Учреждением осуществляется на основе принципов:
⦁ законности и справедливости целей и способов обработки персональных данных;
⦁ соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Учреждения;
⦁ соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
⦁ достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
⦁ недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
⦁ хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
⦁ уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.
2.2. Обработка персональных данных осуществляется на основании условий, определенных законодательством Российской Федерации.
3. Цели обработки персональных данных
3.1. Учреждение обрабатывает персональные данные для оказания медицинских услуг и осуществления своей административно-хозяйственной деятельности.
3.2. Учреждение может обрабатывать персональные данные в следующих целях:
⦁ подбора работников Учреждения;
⦁ ведения кадрового учета работников Учреждения;
⦁ ведения налоговой отчётности и осуществление взаиморасчётов с работниками Учреждения;
⦁ направления работников Учреждения в командировки;
⦁ ведения локальных/общедоступных справочников работников Учреждения;
⦁ заключения договоров с контрагентами.
⦁ оказание медицинских услуг и ведение персонифицированного учета в сфере обязательного медицинского страхования в соответствии с действующим законодательством;
4. Категории персональных данны
4.1. Перечень персональных данных, подлежащих защите в Учреждении,
формируется в соответствии с федеральным законодательством о персональных данных и утверждается приказом Учреждения, устанавливающим принимаемые меры по защите персональных данных и ответственность должностных лиц. Персональные данные граждан и лиц без гражданства (любая информация, относящаяся прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных) включены в Перечень персональных данных, утвержденный приказом Учреждения.
4.2. В Учреждении осуществляется обработка персональных данных следующих категорий субъектов:
⦁ работников Учреждения;
⦁ контрагентов (физические лица и представители юридических лиц);
⦁ пациентов Учреждения для оказания им платных медицинских услуг на договорной основе.
5. Правила обработки персональных данных
5.1. В Учреждении назначается лицо, ответственное за организацию обработки и обеспечение безопасности персональных данных (далее - Ответственное лицо).
5.2. Решения об инициации новых процессов обработки персональных данных или внесении изменений в существующие процессы обработки персональных данных согласовываются Ответственным лицом.
5.3. Доступ к персональным данным имеют работники Учреждения, которые обязаны осуществлять их обработку в связи с исполнением ими должностных обязанностей. Перечень структурных подразделений и работников участвующих в обработке персональным данных, определяется Ответственным лицом.
5.4. Хранение персональных данных в Учреждении осуществляется в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект.
5.5. По достижении целей обработки или в случае утраты необходимости в достижении этих целей персональные данные подлежат уничтожению либо обезличиванию, если иное не предусмотрено Федеральным законом.
5.6. Обработка персональных данных в Учреждении осуществляется с использованием средств автоматизации и без использования средств автоматизации.
5.7. Обработка персональных данных осуществляется только в случаях:
⦁ согласия субъекта на обработку его персональных данных;
⦁ необходимости достижения целей, предусмотренных нормативноправовыми актами Министерства здравоохранения РФ и Учреждения, для осуществления и выполнения возложенных законодательством РФ полномочий и обязанностей на Учреждение;
⦁ необходимости исполнения договора, одной из сторон которого является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных;
⦁ необходимости осуществления прав и законных интересов Учреждения или третьих лиц для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
⦁ обязательного раскрытия и подлежащих к опубликованию персональных данных в соответствии с законодательством РФ.
5.8. Согласно требованиям Федерального закона № 152 от 27.07.2006 г. «О персональных данных», Учреждение в установленном порядке прошел регистрацию как оператор персональных данных.
⦁ В открытом и общедоступном реестре операторов персональных данных, размещенном на официальном сайте Роскомнадзора как уполномоченного лица по защите прав и свобод субъектов персональных данных, содержится следующая актуальная информация:
⦁ адрес Учреждения;
⦁ цели обработки персональных данных;
⦁ категории персональных данных;
⦁ категории субъектов, персональные данные которых обрабатываются;
⦁ правовое основание обработки персональных данных;
⦁ перечень действий с персональными данными, общее описание используемых Учреждением способов обработки персональных данных;
⦁ фамилия, имя, отчество физического лица, ответственного в Учреждении за организацию обработки персональных данных, и номера его контактных телефонов, почтовые адреса и адреса электронной почты;
⦁ описание мер, которые Учреждение обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;
⦁ дата начала обработки персональных данных;
⦁ срок или условие прекращения обработки персональных данных;
⦁ сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
⦁ адреса нахождения серверов, на которых хранятся персональные данные, обрабатываемые в государственных информационных системах.
6. Права субъектов персональных данных
6.1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
6.2. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в Федеральном законе №152- ФЗ от 27.07.2006 «О персональных данных», возлагается на Учреждение.
6.3. Субъект персональных данных имеет право на получение у Учреждения информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами. Субъект персональных данных вправе требовать от Учреждения уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.4. Учреждение обязано немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных в вышеуказанных целях.
6.5. Запрещается принятие на основании исключительно
автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных
федеральными законами, или при наличии согласия в письменной форме субъекта персональных данных.
6.6. Если субъект персональных данных считает, что Учреждение
осуществляет обработку его персональных данных с нарушением требований Федеральном законе №152-ФЗ от 27.07.2006 «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Учреждения в
Уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
6.7. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
6.8. Информация о персональных данных, действий с ними, основания для их обработки, на получение которых субъект имеет право:
⦁ подтверждение факта обработки персональных данных Учреждением;
⦁ правовые основания и цели обработки персональных данных;
⦁ цели и применяемые Учреждением способы обработки персональных данных;
⦁ наименование и место нахождения Учреждения, сведения о лицах (за исключением лиц, допущенных к обработке персональных данных, приказом Директора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Учреждением или на основании законодательства РФ;
⦁ обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
⦁ сроки обработки персональных данных, в том числе сроки их хранения;
⦁ порядок осуществления субъектом персональных данных прав, предусмотренных законодательством РФ;
⦁ информацию об осуществленной или о предполагаемой трансграничной передаче данных.
7. Организация защиты персональных данных
7.1. Учреждение осуществляет следующие организационнотехнические меры для защиты персональных данных:
7.1.1. Издание документов, определяющих политику Учреждения в
отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов,
устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;
7.1.2. Применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона №152 «О персональных данных», включая:
⦁ определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных Учреждения;
⦁ применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Учреждения, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных;
⦁ применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
⦁ оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных Учреждения;
⦁ учет машинных носителей персональных данных;
⦁ обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер;
⦁ восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
⦁ установление правил доступа к персональным данным,
обрабатываемым в информационных системах персональных данных Учреждения, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных Учреждения;
⦁ контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных Учреждения;
⦁ осуществление внутреннего контроля соответствия обработки персональных данных законодательству РФ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Учреждения в отношении обработки персональных данных;
⦁ ознакомление работников Учреждения и лиц, допущенных приказом Главного врача к обработке персональных данных, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Учреждения в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных лиц.
7.2. Защита персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных обеспечивается Учреждением. В отдельных случаях для выполнения части функций по обеспечению безопасности персональных данных Учреждения могут привлекаться сторонние организации, имеющие оформленные в установленном порядке лицензии на осуществление деятельности по технической защите конфиденциальной информации.
7.3. Защите подлежат все обрабатываемые в Учреждении персональные данные, за исключением обезличенных персональных данных и персональных данных, сделанных общедоступными субъектом.
7.4. Общую организацию защиты персональных данных субъектов и контроль над соблюдением работниками Учреждения мер и мероприятий по защите персональных данных осуществляет Ответственное лицо.
8. Изменение Политики
8.1. Учреждение имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики
указывается дата последнего обновления редакции.
8.2. Должностные лица Учреждения, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско- правовую или уголовную ответственность в порядке, установленном федеральными законами.
.png)
