Политика обработки персональных данных в ООО «Честная медицина»

1. Общие положения

Настоящая Политика в отношении обработки персональных данных (далее — Политика) составлена в соответствии с п. 2 ст. 18.1 Федерального закона № 152-ФЗ от 27 июля 2006 года «О персональных данных» и является основополагающим внутренним нормативным документом медицинской организации ООО «Честная медицина» (далее — Клиника), определяющим ключевые направления его деятельности в области обработки и защиты персональных данных, оператором которых является Клиника.

Политика разработана в целях реализации требований законодательства РФ в области обработки и защиты персональных данных и направлена на обеспечение защиты прав и свобод человека при обработке его персональных данных в Клинике, в том числе защиты прав на неприкосновенность частной жизни, личной, семейной и врачебной тайн.

Положения Политики распространяются на отношения, возникающие при обработке и защите персональных данных, полученных Клиникой как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите персональных данных, полученных до ее утверждения.
Обработка персональных данных в Клинике осуществляется в связи с выполнением Клиникой функций, предусмотренных ее учредительными документами, и определяемых:

• Федеральным законом № 152-ФЗ от 27 июля 2006 года «О персональных данных» (далее — закон о персональных данных)
• Федеральным законом от 21 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»
• Трудовым кодексом Российской Федерации
• Налоговым кодексом Российской Федерации
• Правилами предоставления медицинскими организациями платных медицинских услуг, утвержденными Постановлением Правительства Российской Федерации от 4 октября 2012 г. № 1006
• Постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
• Постановлением Правительства Р Ф от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
• иными нормативными правовыми актами Российской Федерации
• иными локальными нормативными актами

Кроме того, обработка Персональных данных в Клинике осуществляется в ходе трудовых и иных непосредственно связанных с ними отношений, в которых Клиника выступает в качестве работодателя (глава 14 Трудового кодекса Российской Федерации), в связи с реализацией Клиникой своих прав и обязанностей как юридического лица.

Клиника не осуществляет трансграничную передачу персональных данных.

Ответственным за обеспечение безопасности персональных данных является генеральный директор Клиники. На время его отсутствия данную функцию может исполнять работник Клиники, которому в соответствии с локальными нормативными актами предоставлено право подписи документов от имени Клиники.

Ответственным за организацию обработку персональных данных является генеральный директор Клиники. На время его отсутствия данную функцию может исполнять работник Клиники, которому в соответствии с локальными нормативными актами предоставлено право подписи документов от имени Клиники.

Электронная версия Политики размещается на сайте Клинике в сети Интернет по адресу http://www.yourmed-clinic.ru

Основной задачей обеспечения безопасности персональных данных при их обработке в Клинике является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения персональных данных, разрушения (уничтожения) или искажения их в процессе обработки. Для обеспечения безопасности персональных данных Клиника руководствуется следующими принципами:

• Законность — защита персональных данных основывается на положениях законодательства Российской Федерации.
• Системность — обработка персональных данных в Клинике осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для обеспечения безопасности персональных данных.
• Комплексность — защита персональных данных строится с использованием функциональных возможностей информационных технологий.
• Непрерывность — защита персональных данных обеспечивается на всех этапах их обработки.
• Своевременность — меры, обеспечивающие надлежащий уровень безопасности персональных данных, принимаются до начала их обработки.
• Преемственность — совершенствование мер и средств защиты персональных данных осуществляется на основании анализа практики обработки данных.
• Персональная ответственность — ответственность за обеспечение безопасности персональных данных возлагается на работников Клиники.
• Минимизация прав доступа — доступ к персональным данным предоставляется в объеме, необходимом для выполнения должностных обязанностей.
• Гибкость — обеспечение защиты персональных данных при изменении характеристик информационных систем.
• Специализация и профессионализм — меры по обеспечению безопасности осуществляются квалифицированными сотрудниками.
• Эффективность процедур отбора кадров — тщательный подбор персонала с целью исключения или минимизации возможности нарушения безопасности.
• Наблюдаемость и прозрачность — меры по обеспечению безопасности данных должны быть явно наблюдаемыми.
• Непрерывность контроля — в Клинике устанавливаются процедуры постоянного контроля использования систем обработки и защиты данных.

В Клинике не производится обработка персональных данных, несовместимая с целями их сбора. Если иное не предусмотрено федеральным законом, по окончании обработки персональных данных они уничтожаются или обезличиваются.

Общая информация о персональных данных, обрабатываемых в Клинике, фиксируется в Перечне персональных данных, содержащем следующие сведения:

• цели обработки персональных данных,
• перечень сведений, составляющих персональные данные,
• категории субъектов персональных данных,
• сроки обработки персональных данных.

Перечень персональных данных:

• пересматривается не реже одного раза в год,
• ведется ответственным за организацию обработки персональных данных в бумажном и электронном виде,
• утверждается генеральным директором Клиники,
• публикуется в установленном порядке на выделенном общедоступном ресурсе Клиники.

В Клинике обрабатываются:

• персональные данные, полученные при осуществлении трудовых отношений,
• персональные данные, полученные для осуществления отбора кандидатов на работу в Клинику,
• персональные данные, полученные при осуществлении гражданско-правовых отношений,
• персональные данные, полученные при оказании медицинской помощи населению.

Полный список персональных данных представлен в Перечне персональных данных, утвержденном генеральным директором Клиники.

В Клинике обрабатываются персональные данные следующих субъектов персональных данных:

• физические лица, состоящие с учреждением в трудовых отношениях,
• физические лица, являющиеся близкими родственниками сотрудников учреждения,
• физические лица, уволившиеся из учреждения,
• физические лица, являющиеся кандидатами на работу,
• физические лица, состоящие с учреждением в гражданско-правовых отношениях,
• пациенты,
• законные представители пациентов.

Клиника обрабатывает персональные данные в следующих целях:

— Обеспечение организации оказания медицинской помощи населению, а также наиболее полного исполнения обязательств и компетенций в соответствии с:

• Федеральным законом от 21 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан Российской Федерации»,
• Правилами предоставления медицинскими организациями платных медицинских услуг, утвержденными Постановлением Правительства Российской Федерации от 4 октября 2012 г. № 1006;

— Осуществление трудовых отношений;
— Осуществление гражданско-правовых отношений.

Обработка персональных данных осуществляется:

• при наличии согласия субъекта персональных данных / законного представителя субъекта персональных данных на обработку персональных данных субъекта,
• в случаях, когда обработка персональных данных необходима для выполнения обязанностей, возложенных на Клинику законодательством Российской Федерации,
• в случаях, когда осуществляется обработка персональных данных, доступ к которым предоставлен субъектом данных либо по его просьбе (далее — общедоступные персональные данные).

Обработка персональных данных включает в себя такие действия как:

• сбор,
• систематизация,
• накопление,
• хранение,
• уточнение,
• использование,
• распространение, включая передачу третьим лицам,
• обезличивание,
• блокирование,
• уничтожение.

Способы обработки персональных данных:

• без использования средств автоматизации,
• с использованием средств вычислительной техники,
• смешанный способ.

Клиника обеспечивает конфиденциальность персональных данных при их обработке за исключением:

• обработки обезличенных персональных данных,
• обработки общедоступных персональных данных.

Персональные данные, полученные Клиникой до проведения идентификации субъекта в установленном законодательством порядке, считаются обезличенными.

Сбор персональных данных осуществляется Клиникой:

• при трудовых отношениях — непосредственно от субъекта персональных данных,
• при отборе кандидатов на работу — непосредственно от субъекта или третьих лиц,
• при оказании медицинской помощи пациентам старше 15 лет — от субъекта персональных данных,
• при оказании медицинской помощи пациентам моложе 15 лет — от законного представителя субъекта.

Клиника информирует субъекта / его представителя о:

• целях обработки персональных данных,
• предполагаемых источниках и способах получения данных,
• характере получаемых данных,
• перечне действий с персональными данными,
• сроке действия согласия на обработку данных и порядке его отзыва,
• последствиях отказа предоставить письменное согласие на обработку данных.

Согласие на обработку персональных данных пациентов включается в договоры об оказании платной медицинской помощи.

Документы, содержащие персональные данные, создаются путем:

• копирования оригиналов документов (паспорт, свидетельство о рождении и т. д.),
• внесения сведений в учетные формы,
• получения оригиналов необходимых документов (трудовая книжка, медицинское заключение и др.).

Порядок доступа к персональным данным, обрабатываемым Клиникой, определяется законодательством РФ и локальными нормативными документами Клиники.

Клиника создала систему защиты персональных данных (СЗПД), состоящую из подсистем правовой, организационной и технической защиты.

• Подсистема правовой защиты — комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.
• Подсистема организационной защиты — включает организацию структуры управления СЗПД, защиту информации при работе с сотрудниками, партнерами, сторонними лицами и в публичных источниках.
• Подсистема технической защиты — комплекс технических, программных и программно-аппаратных средств для обеспечения защиты персональных данных.

Основные меры защиты персональных данных, применяемые Клиникой:

• назначение лица, ответственного за обработку персональных данных, которое организует обработку, обучение и инструктаж сотрудников, а также внутренний контроль за соблюдением требований к защите данных;
• определение актуальных угроз безопасности данных и разработка мер по их защите;
• разработка политики в отношении обработки персональных данных;
• установление правил доступа к данным, обработанным в ИСПД, а также обеспечение учета всех действий с данными в ИСПД;
• установка индивидуальных паролей доступа сотрудников Клиники в информационную систему в соответствии с их обязанностями;
• использование сертифицированного антивирусного ПО с регулярно обновляемыми базами;
• применение сертифицированного программного средства защиты информации от несанкционированного доступа;
• установка сертифицированного межсетевого экрана и системы обнаружения вторжений;
• соблюдение условий, исключающих несанкционированный доступ, и оценка эффективности реализованных мер по обеспечению безопасности данных;
• регистрация и учет действий, совершаемых с персональными данными, а также выявление несанкционированного доступа;
• восстановление данных, модифицированных или уничтоженных вследствие несанкционированного доступа;
• обучение работников Клиники, непосредственно осуществляющих обработку данных, законодательным требованиям о защите данных;
• проведение внутреннего контроля и аудита.

Субъект персональных данных или его законный представитель имеет право на получение информации, касающейся обработки его данных, включая:

• подтверждение факта обработки данных Клиникой;
• правовые основания и цели обработки;
• информацию о применяемых Клиникой способах обработки данных;
• наименование и место нахождения Клиники, а также сведения о лицах, имеющих доступ к данным;
• сроки обработки, включая сроки хранения данных;
• порядок осуществления прав, предусмотренных законом «О персональных данных»;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку данных по поручению Клиники.

Субъект данных или его законный представитель вправе требовать уточнения данных, их блокирования или уничтожения в случае, если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также применять меры по защите своих прав, предусмотренные законом о персональных данных.

На нашем сайте используются файлы «cookies» для улучшения работы и повышения эффективности. Продолжая использовать сайт, Вы соглашаетесь с размещением cookie-файлов на Вашем устройстве.

Cookies — это небольшой объем текстовой информации, передаваемой веб-сервером в браузер, который сохраняется на устройстве пользователя и позволяет распознавать его при последующих посещениях сайта.

Типы cookie-файлов:

1. Сеансовые — сохраняются на устройстве до момента закрытия сайта.
2. Постоянные — хранятся на устройстве длительное время или до удаления вручную.

Файлы cookies могут использоваться как в обобщенном виде, так и в индивидуальном или анонимном профайле.

1. Основные cookies — необходимы для предоставления запрашиваемых услуг и обеспечения безопасности. Например, при регистрации или использовании клиентского портала они могут использоваться для аутентификации устройства пользователя.
2. Статистические cookies — собирают и хранят общую информацию для анализа и улучшения сайта. Они не идентифицируют личность и используются для формирования общих отчетов о работе сайта.
3. Функциональные cookies — запоминают настройки пользователя, такие как язык и последнюю активность в рамках одной сессии, обеспечивая удобство использования сайта.

Cookies позволяют анализировать трафик, улучшать содержание и предоставляемые услуги.

Пользователь может разрешить использование cookie-файлов или отказаться от них. Однако отказ от использования cookie-файлов может негативно сказаться на качестве предоставляемых услуг и функциональности сайта.

Управление в браузере: Если Вы не согласны с использованием cookie-файлов, рекомендуем покинуть сайт или отключить их в настройках браузера. Управление cookie-файлами обычно находится в разделе «Параметры» или «Меню настроек» браузера.

О любых изменениях в политике использования cookie-файлов будет сообщено дополнительно. Пожалуйста, периодически проверяйте обновления данной политики для получения актуальной информации.