Политика медицинского центра в отношении обработки персональных данных
1. Назначение и сфера действия документа
1.1. Настоящая политика ООО «ЮВИКС-ФАРМ», ИНН 2312090701 (далее – МЦ) в отношении обработки персональных данных (далее – Политика) соответствует ст. 18.1. Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», разработана в соответствии с Конституцией РФ, Трудовым Кодексом РФ, Федеральным законом от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации», постановлением Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», иным нормативно-правовым актам, действующими на территории РФ, и определяет позицию и намерения МЦ в области обработки и защиты персональных данных, соблюдения прав и основных свобод каждого гражданина.
1.2. Политика преследует цель обеспечения реализации требований законодательства Российской Федерации в сфере обработки персональных данных (далее — ПД), нацеленного на защиту прав и свобод человека и гражданина в процессе обработки его ПД, в числе прочего — защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а именно в целях защиты от несанкционированного доступа и неправомерного распространения ПД, которые обрабатываются в информационных системах МЦ.
1.3. Назначение Политики — изучение и исполнение руководителями и работниками всех подразделений МЦ. Этот документ подлежит доведению до сведения лиц, которые состоят в договорных, гражданско-правовых и иных отношениях с МЦ, а также иных заинтересованных сторон.
1.4. Положения Политики касаются отношений, связанных с обработкой и защитой ПД, которые получены МЦ до и после утверждения данного документа. Исключение составляют случаи невозможности распространения Политики на отношения по обработке и защите ПД по причинам правового, организационного и иного характера.
2. Основные понятия
2.1. Обработка ПД в МЦ выполняется в связи с исполнением законодательно возложенных на МЦ функций. Эти функции определяются ФЗ от 21.11.2011 №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», а также другими нормативно-правовыми актами РФ. Список ПД, которые подлежат защите, составляется, исходя из федерального законодательства о ПД.
2.2. Для достижения целей Политики применяются следующие понятия:
Персональные данные (ПД) — любые сведения, которые прямо или косвенно относятся к определенному или определяемому физическому лицу (гражданину). К таким сведениям, среди прочего, относятся: ФИО, дата и место рождения, адрес, информация о семейном, социальном, имущественном положении, данные об образовании, профессии, источниках и размерах доходов, а также прочая информация о гражданине.
Обработка ПД — любая операция или совокупность действий с персональными данными, которые совершаются с применением средств автоматизации или без них. Это, среди прочего: сбор и запись информации, ее систематизация и накопление, а также хранение и уточнение данных. Также к обработке относится извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение сведений.
Безопасность ПД — защищенность персональной информации от неправомерного или случайного доступа, уничтожения, внесения изменений, блокирования, создания копий, предоставления, распространения сведений персонального характера, а также от иных действий неправомерного характера.
Информационная система персональных данных (ИСПД) — совокупность персональных данных, которые содержатся в БД, а также обеспечивающих их обработку технических средств и информационных технологий.
Оператор персональных данных (ПД) — государственный или муниципальный орган, физическое или юридическое лицо, которое занимается организацией процесса обработки или обработкой ПД. В рамках данной Политики оператором ПД является ООО «ЮВИКС-ФАРМ».
3. Цели обработки ПД
3.1. Обработка персональных данных выполняется МЦ в следующих целях:
— трудоустройство работников в соответствии с законодательными нормами;
— принятие решения о потенциальной возможности заключения трудового контракта с претендентами на вакантные должности;
— выполнение договорных условий при оказании медицинских услуг на платной основе;
— исполнение законодательных требований в сфере оказания медицинских услуг;
— выполнение требований трудового законодательства.
4. ПД работника
4.1 В состав ПД работников МЦ входят документы, содержащие информацию о паспортных данных, образовании, отношении к воинской обязанности, семейном положении, месте жительства, а также о предыдущих местах их работы.
4.2 Обработка ПД работника осуществляется на основании его письменного согласия, за исключением случаев, прямо предусмотренных действующим законодательством РФ.
4.3. Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
5. Персональные данные пациентов.
5.1. В состав ПД пациентов МЦ входят документы, содержащие информацию о паспортных данных пациента, страхового полиса ОМС, амбулаторная (стационарная) карта пациента, а так же иные документы, сопровождающие оказание платных медицинских услуг.
5.2. Получение ПД пациента преимущественно осуществляется путем представления пациентом письменного согласия на обработку ПД, за исключением случаев прямо предусмотренных действующим законодательством РФ.
В случае недееспособности пациента или недостижения пациентом возраста 15 лет согласие на обработку его ПД дает в письменной форме его законный представитель.
5.3. Пациент как субъект ПД, в том числе специальной категории ПД, имеет право на получение информации, касающейся обработки его ПД, в том числе содержащей сведения, указанные в п. 7.1.1.настоящей Политики.
5.4. Пациент имеет право: требовать от оператора уточнения своих ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
6. Положения Политики
6.1. Понимая важность и ценность информации о человеке, а также заботясь о соблюдении конституционных прав граждан Российской Федерации, МЦ обеспечивает надежную защиту их ПД.
6.2. При обработке персональных данных работника МЦ следует требованиям, установленным ст. 86 ТК РФ, в частности:
— действовать в целях соблюдения законов и других нормативных правовых актов, содействия работникам в трудоустройстве, получении образования, продвижении по службе, обеспечения их личной безопасности, контроля качества и количества работы, сохранности имущества организации;
— получать персональные данные исключительно у работника. Если же они могут быть получены только у третьих лиц, то необходимо уведомить об этом работника и заручиться его письменным согласием;
— обеспечить за счет собственных средств защиту персональных данных от неправомерного использования и утраты;
— знакомить работников под подпись с локальными нормативными актами, устанавливающими порядок обработки персональных данных.
6.3. МЦ, в связи с исполнением обязательств по договорам оказания платных медицинских услуг, имеет право создавать информационные системы, содержащие данные о пациентах и об оказываемых им медицинских услугах, с соблюдением установленных законодательством РФ требований о защите ПД и с соблюдением врачебной тайны.
6.4. Обработка и обеспечение безопасности ПД в МЦ осуществляется в соответствии с требованиями Конституции Российской Федерации, Трудового кодекса Российской Федерации, Федерального закона № 152-ФЗ «О персональных данных», подзаконных актов, Федерального закона №323 «Об основах охраны здоровья граждан в РФ», Постановлением Правительства РФ от 4 октября №1006 «Об утверждении правил предоставления медицинским организациям платных медицинских услуг», а также других определяющих случаи и особенности обработки персональных данных федеральных законов, руководящих и методических документов ФСТЭК России и ФСБ России.
6.5. При обработке ПД МЦ придерживается следующих принципов:
— обработка ПД осуществляется только на законной и справедливой основе;
— МЦ не раскрывает третьим лицам и не распространяет ПД без согласия гражданина (если иное не предусмотрено действующим законодательством Российской Федерации);
— МЦ определяет конкретные законные цели до начала обработки (в том числе сбора) ПД;
— МЦ собирает только те ПД, которые являются необходимыми и достаточными для заявленной цели обработки (исполнение условий договора оказания платных медицинских услуг);
— в процессе обработки персональных данных МЦ руководствуется достижением конкретных, заблаговременно определенных и разрешенных законом целей;
— уничтожение или обезличивание персональных данных в МЦ осуществляется при условии достижения целей обработки ПД или в случае утраты такой необходимости.
6.6. В случаях, предусмотренных законодательством РФ, МЦ имеет право передавать персональные данные граждан.
6.7. Лица, выполняющие обработку ПД по поручению МЦ, обязаны соблюдать правила и принципы обработки и защиты ПД, которые предусмотрены ФЗ № 152-ФЗ «О персональных данных». Для каждого третьего лица договором определяется список операций с персональными данными, совершаемые лицом, обрабатывающим ПД, а также цели обработки. Кроме того, такое лицо обязуется соблюдать конфиденциальность и обеспечивать безопасность данных в процессе их обработки.
7. Права граждан в части обработки ПД
7.1. Гражданин, чьи персональные данные находятся в обработке МЦ, вправе (за исключением ограничения этого права законами РФ федерального уровня):
7.1.1. Получать от МЦ:
— подтверждение факта обработки ПД;
— информацию о правовых основаниях и целях обработки данных;
— сведения об используемых МЦ методов обработки ПД;
— информацию о наименовании и расположении МЦ;
— данные о лицах (за исключением сотрудников МЦ), имеющих доступ к ПД или которым могут быть раскрыты персональные данные на основании договора с МЦ или по требованию федерального закона;
— список ПД, находящихся в обработке и относящихся к гражданину, от которого поступил запрос, а также сведения об источниках их получения в том случае, если другой порядок предоставления такой информации федеральным законом не предусмотрен;
— информацию о сроках обработки персональных данных;
— данные о порядке исполнения гражданином прав, которые предусматриваются Федеральным законом №152-ФЗ «О персональных данных»;
— другую информацию, которая предусмотрена Федеральным законом №152-ФЗ «О персональных данных» или иными федеральными законами, в том числе сведения о выполненной или о предполагаемой трансграничной передаче ПД; наименование или Ф. И. О. и адрес лица, выполняющего обработку ПД по поручению МЦ.
7.1.2. Требовать уточнения своих персональных данных, их блокирования или уничтожения, если ПД неполные, устарели, являются неточными или незаконно полученными. А также в случае, если данные не являются необходимыми для цели обработки, которая была заявлена.
7.1.3. Отозвать свое разрешение на обработку ПД. Отзыв выполняется письменно, а оператор прекращает обработку ПД в течение времени, которого достаточно для технической возможности соответствующего прекращения.
7.1.4. Требовать устранения неправомерных действий МЦ по отношению к его персональным данным.
7.1.5. Обжаловать действия или бездействие МЦ в Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке в случае, если гражданин считает, что МЦ осуществляет обработку его ПД с нарушением требований Федерального закона №152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы.
7.1.6. На защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
8. Сведения о реализуемых требованиях к защите персональных данных.
8.1. В ходе обработки ПД МЦ принимает необходимые правовые, организационные и технические меры с целью защиты соответствующей информации от неправомерного или случайного доступа к ней, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
8.2. К мерам по защите ПД в соответствии со ст. 18.1 и 19 Федерального закона №152-ФЗ «О персональных данных» относятся, в том числе, следующие:
— назначение ответственного за работу с ПД лица;
— разработка и утверждение документов по вопросам обработки и защиты ПД внутри МЦ;
— использование правовых, организационных и технических мер с целью обеспечения безопасности ПД;
— ознакомление работников МЦ, которые непосредственно вовлечены в обработку персональных данных, с соответствующими положениями законодательства РФ, в том числе с требованиями к защите данных, локальными актами по вопросам обработки и защиты ПД, и обучение работников МЦ.
9. Заключительные положения.
9.1. Настоящая Политика является общедоступным документом и размещается на сайте МЦ.
9.2. Пересмотр положений Политики выполняется периодически, не реже чем ежегодно, а также в следующих случаях:
— в случае изменения законодательства РФ в сфере обработки и защиты ПД;
— в случае изменений целей обработки персональных данных, структуры информационных и/или телекоммуникационных систем;
— при применении новых методов обработки информации;
— в случае необходимости изменения процесса обработки ПД, связанной с деятельностью МЦ;
— по итогам контроля выполнения требований по обработке и защите персональных данных;
— в соответствии с решением руководства МЦ.
9.3. В случае неисполнения положений Политики МЦ несет ответственность в соответствии с действующим законодательством Российской Федерации.
9.4. В целях координации действий по обеспечению безопасности ПД в МЦ назначено лицо, ответственное за организацию обработки ПД.
10. Контактная информация.
Граждане, чьи персональные данные обрабатываются МЦ, могут направлять вопросы по обработке своих персональных данных в МЦ по почтовому адресу: 350021, г. Краснодар, ул. Бородинская, 158.
При этом в тексте запроса в целях идентификации гражданина необходимо указать:
— ФИО гражданина или его законного представителя, осуществляющего запрос;
— номер основного документа, удостоверяющего личность гражданина (или его законного представителя), сведения о дате выдачи указанного документа и выдавшем его органе;
— сведения, подтверждающие участие в отношениях с МЦ (например, номер договора, фамилию, имя, отчество пациента), либо сведения, иным способом подтверждающие факт обработки персональных данных МЦ;
— подпись гражданина (или его законного представителя). Если запрос отправляется в электронном виде, то он должен быть оформлен в виде электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.