Политика в отношении обработки персональных данных
1. Назначение и область действия документа
1.1.Настоящая политика ЗАО «Косметологическая лечебница» (далее – Лечебница) в отношении обработки персональных данных (далее – Политика) разработана в соответствии со ст.18.1. Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», Конституцией РФ, Трудовым Кодексом РФ, Федеральным законом от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации», постановлением Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», иными нормативно-правовыми актами, действующими на территории РФ, и определяет позицию и намерения Лечебница в области обработки и защиты персональных данных, соблюдения прав и основных свобод каждого гражданина.
1.2.Политика разработана в целях обеспечения реализации требований законодательства Российской Федерации в области обработки персональных данных (далее - ПД), направленного на обеспечение защиты прав и свобод человека и гражданина при обработке его ПД, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, в частности, в целях защиты от несанкционированного доступа и неправомерного распространения ПД, обрабатываемых в информационных системах Лечебница.
1.3.Политика предназначена для изучения и неукоснительного исполнения руководителями и работниками всех структурных подразделений Лечебница, а также подлежит доведению до сведения лиц, состоящих в договорных, гражданско-правовых и иных отношениях с Лечебницей и других заинтересованных сторон.
1.4. Положения Политики распространяются на отношения по обработке и защите ПД, полученных Лечебницей как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите ПД, полученных до ее утверждения.
2. Основные понятия
2.1.Обработка ПД в Лечебнице осуществляется в связи с исполнением законодательно возложенных на Лечебницу функций, определяемых ФЗ от 21.11.2011 №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», иными нормативными правовыми актами РФ. Перечень персональных данных, подлежащих защите, формируется в соответствии с федеральным законодательством о персональных данных.
2.2. Для целей настоящей Политики используются следующие понятия:
· Персональные данные (ПД) - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (гражданину). К такой информации, в частности, относятся: ФИО, год, месяц, дата и место рождения, адрес, сведения о семейном, социальном, имущественном положении, сведения об образовании, профессии, доходах, а также другая информация о гражданине.
· Обработка персональных данных (ПД) - любое действие (операция) или совокупность действий (операций) с ПД, совершаемых с использованием средств автоматизации или без использования таких средств. К таким действиям (операциям) относятся: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
· Безопасность персональных данных (ПД) - защищенность персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
· Информационная система персональных данных (ИСПД) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
· Оператор персональных данных (далее оператор ПД) - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. В рамках настоящей Политики оператором ПД является Лечебница.
3. Цели обработки персональных данных
3.1. Обработка ПД осуществляется Лечебницей в следующих целях:
· Трудоустройство работников Лечебницы в соответствии с требованиями законодательства.
· Принятие решения о возможности заключения трудового договора с лицами, претендующими на вакантные должности.
· Исполнение условий договора оказания платных медицинских услуг.
- Осуществление коммуникаций с физическими лицами, персональные данные которых сделаны ими общедоступными, а их обработка не нарушает их прав и соответствует требованиям, установленным законодательством о персональных данных и иными физическими лицами, выразившими согласие на обработку Лечебницей их персональных данных
· Исполнение требований законодательства в области предоставления медицинских услуг.
· Исполнение требований трудового законодательства.
4. Персональные данные работника
4.1 В состав ПД работников Лечебницы входят документы, содержащие информацию о паспортных данных, образовании, отношении к воинской обязанности, семейном положении, месте жительства, а также о предыдущих местах их работы.
4.2 Обработка ПД работника осуществляется на основании его письменного согласия, за исключением случаев, прямо предусмотренных действующим законодательством РФ.
4.3.Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
5. Персональные данные физических лиц – далее «пациентов» (в том числе потенциальных пациентов).
5.1.В состав ПД пациентов Лечебницы входят данные, содержащие информацию о паспортных данных пациента, страхового полиса ОМС/ДМС, амбулаторной (стационарной) карты пациента, контактные данные (номер телефона и адрес электронной почты) а так же иные документы, сопровождающие оказание платных медицинских услуг.
5.2. Получение ПД пациента преимущественно осуществляется на основании предоставленного пациентом письменного согласия на обработку ПД, в том числе путем заполнения формы с ПД в электронном виде на сайте в сети Интернет Лечебницы www.doctorselskiy.ru, за исключением случаев прямо предусмотренных действующим законодательством РФ. В случае недееспособности пациента или не достижения пациентом возраста 18 лет согласие на обработку его ПД дает в письменной форме его законный представитель.
5.3 Пациент как субъект ПД, в том числе специальной категории ПД, имеет право на получение информации, касающейся обработки его ПД, в том числе содержащей сведения, указанные в п.7.1.1. настоящей Политики.
5.4.Пациент имеет право: требовать от оператора уточнения своих ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
6. Положения Политики
6.1. Понимая важность и ценность информации о человеке, а также заботясь о соблюдении конституционных прав граждан Российской Федерации, Лечебница обеспечивает надежную защиту их ПД.
6.2. При обработке персональных данных работника Лечебница следует требованиям, установленным ст. 86 ТК РФ, в частности:
- действовать в целях соблюдения законов и других нормативных правовых актов, содействия работникам в трудоустройстве, получении образования, продвижении по службе, обеспечения их личной безопасности, контроля качества и количества работы, сохранности имущества организации;
- получать персональные данные исключительно у работника. Если же они могут быть получены только у третьих лиц, то необходимо уведомить об этом работника и заручиться его письменным согласием;
- обеспечить за счет собственных средств защиту персональных данных от неправомерного использования и утраты;
- знакомить работников под подпись с локальными нормативными актами, устанавливающими порядок обработки персональных данных.
6.3.Лечебница в связи с исполнением обязательств по договорам оказания платных медицинских услуг имеет право создавать информационные системы, содержащие данные о пациентах и об оказываемых им медицинских услугах, с соблюдением установленных законодательством РФ требований о защите ПД и соблюдением врачебной тайны.
6.4. Обработка и обеспечение безопасности ПД в Лечебнице осуществляется в соответствии с требованиями Конституции Российской Федерации, Трудового кодекса Российской Федерации, Федерального закона № 152-ФЗ «О персональных данных», подзаконных актов, Федерального закона №323 «Об основах охраны здоровья граждан в РФ», Постановлением Правительства РФ от 4 октября №1006 «Об утверждении правил предоставления медицинским организациям платных медицинских услуг», других определяющих случаи и особенности обработки персональных данных федеральных законов, руководящих и методических документов ФСТЭК России и ФСБ России.
6.5. При обработке ПД Лечебница придерживается следующих принципов:
· Обработка ПД осуществляется только на законной и справедливой основе;
· Лечебница не раскрывает третьим лицам и не распространяет ПД без согласия гражданина (если иное не предусмотрено действующим законодательством Российской Федерации);
· Лечебница определяет конкретные законные цели до начала обработки (в т.ч. сбора) ПД;
· Лечебница собирает только те ПД, которые являются необходимыми и достаточными для заявленной цели обработки (исполнение условий договора оказания платных медицинских услуг, трудового договора);
· При обработке ПД Лечебница ограничивается достижением конкретных, заранее определенных и законных целей;
· Уничтожение либо обезличивание ПД в Лечебнице происходит при достижении целей обработки или в случае утраты необходимости в достижении целей.
6.6. В случаях, установленных законодательством Российской Федерации, Лечебница вправе осуществлять передачу ПД граждан.
6.7. Лица, осуществляющие обработку ПД по поручению Лечебницы, обязуются соблюдать принципы и правила обработки и защиты ПД, предусмотренные Федеральным законом № 152-ФЗ «О персональных данных». Для каждого третьего лица в договоре (поручении) определяется перечень действий (операций) с ПД, которые будут совершаться лицом, осуществляющим обработку ПД, цели обработки, устанавливается обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность ПД при их обработке, также указываются требования к защите обрабатываемых ПД.
7. Права граждан в части обработки персональных данных
7.1.Гражданин, персональные данные которого обрабатываются, имеет право (за исключением ограничения этого права федеральными законами РФ):
7.1.1.Получать от Лечебницы:
- подтверждение факта обработки ПД;
- сведения о правовых основаниях и целях обработки ПД;
- сведения о применяемых Лечебницей способах обработки ПД;
- сведения о наименовании и местонахождении Лечебницы;
- сведения о лицах (за исключением работников Лечебницы), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с Лечебницей или на основании федерального закона;
- перечень обрабатываемых ПД, относящихся к гражданину, от которого поступил запрос, и информацию об источниках их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом;
- сведения о сроках обработки ПД, в том числе сроках их хранения;
- сведения о порядке осуществления гражданином прав, предусмотренных Федеральным законом №152-ФЗ «О персональных данных»;
- иные сведения, предусмотренные Федеральным законом №152-ФЗ «О персональных данных» или другими федеральными законами, в том числе информацию об осуществленной или о предполагаемой трансграничной передаче данных; наименование или Ф.И.О. и адрес лица, осуществляющего обработку ПД по поручению Лечебницы, если обработка поручена или будет поручена такому лицу
7.1.2.Требовать уточнения своих ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
7.1.3.Отозвать свое согласие на обработку персональных данных путем письменного уведомления оператора (в этом случае оператор обязан прекратить обработку ПД в течение времени, достаточного для технической возможности такого прекращения, с момента получения уведомления);
7.1.4. Требовать устранения неправомерных действий Лечебницы в отношении его персональных ПД;
7.1.5. Обжаловать действия или бездействие Лечебницы в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке в случае, если гражданин считает, что Лечебница осуществляет обработку его ПД с нарушением требований Федерального закона №152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы;
7.1.6.На защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
8. Сведения о реализуемых требованиях к защите персональных данных
8.1.В процессе обработки персональных данных Лечебница принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
8.2.К мерам по защите ПД в соответствии ст. 18.1 и 19 Федерального закона №152-ФЗ «О персональных данных» относятся, в том числе, следующие:
· назначение лица, ответственного за организацию обработки персональных данных, и лиц, ответственных за обеспечение безопасности ПД;
· разработка и утверждение локальных актов по вопросам обработки и защиты ПД;
· применение правовых, организационных и технических мер по обеспечению безопасности ПД;
· ознакомление работников Лечебницы, непосредственно осуществляющих обработку ПД, с положениями законодательства Российской Федерации о ПД, в том числе с требованиями к защите ПД, локальными актами по вопросам обработки и защиты ПД, и обучение работников Лечебницы.
9. Заключительные положения
9.1.Настоящая Политика является общедоступным документом и размещается на сайте Лечебницы по адресу http://cosmetologia-ufa.ru/ 9.2.Пересмотр положений настоящей Политики проводится периодически по необходимости, а также в следующих случаях:
-при изменении законодательства Российской Федерации в области обработки и защиты ПД;
-при изменении целей обработки ПД, структуры информационных и/или телекоммуникационных систем (или введении новых);
-при применении новых технологий обработки ПД (в т.ч. передачи, хранения);
-при появлении необходимости в изменении процесса обработки ПД, связанной с деятельностью Лечебницы;
-по результатам контроля выполнения требований по обработке и защите ПД;
-по решению руководства Лечебницы.
9.3.В случае неисполнения положений настоящей Политики Лечебница несет ответственность в соответствии с действующим законодательством Российской Федерации.
9.4. В целях координации действий по обеспечению безопасности ПД в Лечебнице назначено лицо, ответственное за организацию обработки ПД .
10. Контактная информация
Граждане, чьи персональные данные обрабатываются Лечебницей, могут направлять вопросы по обработке своих персональных данных в Лечебница по следующим адресам:
Адрес электронной почты: mouseufa@yandex.ru
Почтовый адрес: 450059, Республика Башкортостан, г.Уфа, ул.Комсомольская, д.37.
При этом в тексте запроса в целях идентификации гражданина необходимо указать:
· фамилию, имя, отчество гражданина или его законного представителя, осуществляющего запрос;
· номер основного документа, удостоверяющего личность гражданина (или его законного представителя), сведения о дате выдачи указанного документа и выдавшем его органе;
· сведения, подтверждающие участие в отношениях с Лечебницей (например, номер договора, фамилию, имя, отчество пациента), либо сведения, иным способом подтверждающие факт обработки персональных данных Лечебницей;
· подпись гражданина (или его законного представителя). Если запрос отправляется в электронном виде, то он должен быть оформлен в виде электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.