Информация для пациентов

1. Общие положения:

1. Положение об обработке персональных данных (далее - Положение) издано и применяется ООО «СК Эстель» (далее - Оператор) в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», Федеральным законом от 21 ноября 2011 года № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», Федеральным законом от 29 ноября 2010 года № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации» и иными нормативными актами, действующими на территории Российской Федерации, Уставом Оператора, лицензий на осуществление медицинской деятельности.

Настоящее Положение определяет порядок и условия обработки персональных данных (далее ПД), которая включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, удаление и уничтожение ПД, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой ПД.

Все вопросы, связанные с обработкой ПД, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области ПД.

2. Целью обработки ПД является:

1. осуществление трудовых отношений с работниками Оператора

2. ведение кадровой работы и бухгалтерского учета;

3. заключение договорных отношений с физическими лицами или ИП на оказание услуг и (или) выполнение работ;

4. исполнение договорных обязательств с контрагентами;

5. осуществление деятельности в соответствии с Уставом;

6. оказание медицинских услуг физическим и юридическим лицам, проведение опроса данных лиц, направление результатов анализов, исследований, заключений специалистов, иной информации, информационных сообщений (по телефону, смс, эл.почте, с использованием мессенджеров).

7. ведение аудио и видеозаписей в целях антитеррористической защиты объекта.

3. Действие настоящего Положения не распространяется на отношения, возникающие при:

1) организации хранения, комплектования, учета и использования содержащих ПД документов Архивного фонда Российской Федерации и других архивных фондов в соответствии с законодательством об архивном деле в Российской Федерации;

2) обработке ПД, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

4. Обработка организована Оператором на принципах:

- законности целей и способов обработки ПД, добросовестности и справедливости в деятельности Оператора;

- ограничения обработки ПД достижением конкретных, заранее определенных и законных целей;

- достоверности ПД, их достаточности для целей обработки, недопустимости обработки ПД, избыточных по отношению к целям, заявленным при сборе ПД;

- обработки только ПД, которые отвечают целям их обработки. Недопустима обработка ПД, несовместимая с целями сбора ПД;

- соответствия содержания и объема обрабатываемых ПД заявленным целям обработки. Обрабатываемые ПД не должны быть избыточными по отношению к заявленным целям их обработки;

- недопустимости объединения баз данных, содержащих ПД, обработка которых осуществляется в целях, не совместимых между собой;

- обеспечения точности ПД, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки ПД. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;

- хранения ПД в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели обработки ПД, если срок хранения ПД не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД. Обрабатываемые ПД подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

5. Обработка ПД осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и настоящим Положением.

6. Способы обработки ПД:

- смешанная обработка ПД (и автоматизированный, и неавтоматизированный способы одновременно).

При обработке ПД информация не передается по внутренней сети.

При обработке ПД информация передается с использованием сети общего пользования Интернет.

Трансграничная передача ПД не осуществляется.

7. Категории ПД.

В информационных системах Оператора осуществляется обработка следующих категорий ПД в соответствии с целями обработки, указанными в п. 2:

1. фамилия, имя, отчество; (цели 1,2,3,4,5,6)

2. год, месяц, дата, место рождения; (цели 1,2,3,4,5,6)

3. адрес; (цели 1,2,3,4,5,6)

4. семейное, социальное, имущественное положение; (цели 1,2)

5. гражданство; (цели 1,2,3,5,6)

6. образование; (цели 1,2,5)

7. профессия; (цели 1,2,5)

8. доходы; (цели 1,2)

9. паспортные данные (либо данные документа, удостоверяющего личность); (цели 1,2,3,4,5,6)

10. данные трудовой книжки; (цели 1,2,5)

11. данные военного билета; (цели 1,2)

12. сведения о пенсионном страховании; (цели 1,2)

13. ИНН; (цели 1,2,3,5,6)

14. СНИЛС; (цели 1,2,3,5)

15. номер расчетного счета (цели 1,2,3,5)

16. контактные данные: номер телефона, e-mail (цели 1,2,3,4,5,6)

17. пол (цели 1,2,3,6)

18. полис медицинского страхования (цель 6)

19. данные о состоянии здоровья, диагнозе, заболеваниях, случаях обращения за медицинской помощью и иные сведения, полученные при медицинском обследовании и лечении (цель 6).

8. Категории субъектов, ПД которых обрабатываются, с указанием конкретных ПД в соответствии с подпунктами п. 7:

- работники, состоящие в трудовых отношениях с Оператором (п.п.1-17);

- члены семьи работника (п.п. 1,2,3,4,9,16);

- соискатели на должность (п.п. 1,2,3,5,6,7,9,10,16,17);

- физические лица, состоящие в гражданско-правовых отношениях с Оператором (п.п. 1,2,3,9,13,14,15,16,17);

- законные представители физических и юридических лиц (п.п. 1,2,3,9,16);

- пациенты (п.п. 1,2,3,5,9,13,16,17,18,19).

9. Права и обязанности субъектов ПД

9.1. Права субъектов ПД

9.1.1. Субъект ПД имеет право на получение информации, касающейся обработки его ПД (за исключением случаев, предусмотренных ч 8 ст. 14 Федерального закона от 27.07.2006 № 152 ФЗ «О персональных данных»), в том числе содержащей:

- подтверждение факта обработки ПД оператором;

- правовые основания и цели обработки ПД

- цели и применяемые оператором способы обработки ПД

- наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с оператором или на основании федерального закона;

- обрабатываемые ПД, относящиеся к соответствующему субъекту ПД, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

- сроки обработки ПД , в том числе сроки их хранения;

- порядок осуществления субъектом ПД прав, предусмотренных настоящим федеральным законом;

- информацию об осуществленной или о предполагаемой трансграничной передаче данных;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению оператора, если обработка поручена или будет поручена такому лицу;

- иные сведения, предусмотренные Федеральным законом от 27.07.2006 № 152 ФЗ «О персональных данных» или другими федеральными законами.

9.1.2. Эти сведения должны быть предоставлены субъекту ПД оператором в доступной форме, и в них не должны содержаться ПД, относящиеся к другим субъектам ПД , за исключением случаев, если имеются законные основания для раскрытия таких ПД.

9.1.3. Эти сведения предоставляются субъекту ПД или его представителю оператором при обращении либо при получении запроса субъекта ПД или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Запрос должен содержать: - номер основного документа, удостоверяющего личность субъекта ПД или его представителя; - сведения о дате выдачи указанного документа и выдавшем его органе; - сведения, подтверждающие участие субъекта ПД в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПД оператором; - подпись субъекта подпись субъекта ПД или его представителя.

9.1.4. В случае, если указанные сведения, а также обрабатываемые ПД были предоставлены для ознакомления субъекту ПД по его запросу, субъект ПД вправе: -обратиться повторно к оператору или направить ему повторный запрос в целях получения указанных сведений и ознакомления с ПД не ранее чем через 30 тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого является субъект ПД.

9.1.5. Субъект ПД вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения указанных сведений, а также в целях ознакомления с обрабатываемыми ПД до истечения срока 30 (тридцать дней) в случае, если такие сведения и (или) обрабатываемые ПД не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос дополнительно должен содержать обоснование направления повторного запроса.

9.1.6. Оператор вправе отказать субъекту ПД в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 1.9.1.4.и 1.9.1.5. настоящего Положения. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.

9.1.7. Субъект ПД вправе требовать от Общества уточнения его ПД , их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

9.1.8. Запросы пользователей информационной системы на получение ПД, а также факты предоставления ПД по этим запросам регистрируются в Журнале учета обращений субъектов персональных данных о выполнении их законных прав при обработке ПД. Данный Журнал ведется в подразделениях, где осуществляется сбор ПД. Журнал хранится в течение 5 лет с момента внесения последней записи, после чего уничтожается ответственным лицом за организацию обработки ПД.

9.1.9. Если субъект ПД считает, что Оператор осуществляет обработку его ПД с нарушением требований Федерального закона от 27.07.2006 № 152 ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект ПД вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов ПД или в судебном порядке.

9.1.10. Субъект ПД имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

9.2. Обязанности субъектов ПД:

9.2.1. Субъект ПД обязан предоставлять полную и достоверную информацию о своих ПД

9.2.2. В случае изменений сведений, содержащих ПД, субъект ПД обязан в течение 3 (трех) рабочих дней сообщить Оператору об изменениях и дополнениях своих ПД.

10. Права и обязанности Оператора и работников Оператора, работающих с ПД.

10.1. Оператор имеет право: - Отстаивать свои интересы в судебных органах; - Предоставлять ПД субъектов третьим лицам, если это предусмотрено действующим законодательством Российской Федерации (правоохранительные, налоговые органы и др.), а также связано с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПД. - Отказывать в предоставлении ПД в случаях предусмотренных законодательством Российской Федерации; - Использовать ПД субъекта без его согласия в случаях предусмотренных законодательством Российской Федерации.

10.2. Работники Оператора, допущенные к ПД, несут ответственность за точное выполнение требований, предъявляемых к ним в целях обеспечения сохранности указанных сведений. До получения доступа к работе, связанной с обработкой ПД, им необходимо изучить настоящее Положение.

10.3. Работники Общества, допущенные к ПД должны: - не разглашать ПД -о ставшей им известной утечке ПД сообщать непосредственно руководителю и ответственному за организацию обработки ПД Оператора - знакомиться только с теми документами и выполнять только те работы, к которым они допущены -соблюдать правила пользования документами, содержащими ПД - не допускать их необоснованной рассылки -выполнять требования режима, исключающие возможность ознакомления с ПД посторонних лиц, включая и работников Оператора, не имеющих к указанным документам прямого отношения - использовать информационные ресурсы Оператора только для достижения целей деятельности Оператора (не использовать в личных целях) - при ведении деловых переговоров с представителями сторонних организаций или частными лицами ограничиваться выдачей минимальной информации, действительно необходимой для их успешного завершения.

10.4. Обязанности Оператора:

10.4.1. Операторы и иные лица, получившие доступ к ПД , обязаны не раскрывать третьим лицам и не распространять ПД без согласия субъекта ПД , если иное не предусмотрено федеральным законом.

10.4.2. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152 «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152--ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Федеральным законом от 27.07.2006 № 152--ФЗ «О персональных данных» или другими федеральными законами.. К таким мерам могут, в частности, относиться: - назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки ПД; - издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки ПД, локальных актов по вопросам , обработки ПД, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, , устранение последствий таких нарушений; - применение правовых, организационных и технических мер по обеспечению безопасности ПД в соответствии со статьей 19 Федерального от 27.07.2006 № «О персональных данных»; - осуществление внутреннего контроля и (или) аудита соответствия обработки ПД Федеральному закону от 27.07.2006 № 152--ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПД, политике оператора в отношении обработки ПД, локальным актам , Оператора; - оценка вреда, который может быть причинен субъектам ПД в случае нарушения Федерального закона от 27.07.2006 № «О персональных данных», соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № «О персональных данных»; - ознакомление работников Оператора, непосредственно осуществляющих обработку ПД, с положениями законодательства Российской Федерации о ПД, в том числе требованиями к защите ПД, документами, определяющими политику Оператора в отношении ПД, локальными актами по вопросам обработки ПД, и (или) обучение указанных работников.

10.4.3. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД (а при сборе ПД через интернет–– также опубликовать документ в также опубликовать документ в интернет).

10.4.4. Оператор обязан предоставить документы и локальные акты и (или) иным образом подтвердить принятие мер по запросу уполномоченного органа по защите прав субъектов ПД.

10.4.5. Оператор обязан предоставить работнику необходимые условия для выполнения требований по охране конфиденциальных сведений, к которым допускается работник.

10.5. Работник разрешает Оператору производить контроль использования информационных ресурсов Оператора, а также использования им технических средств, обработки, хранения и передачи информации, предоставленных Оператором для выполнения работником договорных обязанностей.

10.6. Оператор оставляет за собой право, но не принимает каких-либо обязательств контролировать использование работником информационных ресурсов, технических средств обработки, хранения и передачи информации, а также соблюдения мер по охране конфиденциальных сведений.

11. В соответствии с поставленными целями и задачами Оператор до начала обработки ПД приказом назначает ответственного за организацию обработки ПД.

12. При обработке ПД Оператор применяет правовые, организационные и технические меры по обеспечению безопасности ПД в соответствии со ст. 19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных": - разработано и утверждено данное Положение об обработке ПД; - осуществляется внутренний контроль соответствия обработки ПД законодательству, требованиям к защите ПД. Контроль заключается в проверке выполнения требований нормативных документов по защите информации, а также в оценке обоснованности и эффективности принятых мер; - назначено лицо, ответственное за организацию обработки ПД; - работники, непосредственно осуществляющие обработку ПД, ознакомлены с положениями законодательства Российской Федерации о ПД, а также с данным Положением; - определены места хранения ПД; - обеспечивается учет материальных носителей ПД; - обеспечивается восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; - ПД доступны для строго определенного круга сотрудников; - исключена возможность неконтролируемого проникновения или пребывания посторонних лиц в помещения, где ведется работа с ПД; - обеспечивается сохранность носителей ПД и средств защиты информации; - обеспечивается регистрация и учет всех действий, совершаемых с ПД в информационной системе ПД.

13. С целью исполнения пункта 1.11. применяются следующие средства обеспечения безопасности: - в здании установлена пожарная сигнализация; - здание в нерабочее время охраняется специализированным предприятием; - персональные сведения, материальные носители хранятся в запирающихся шкафах, металлическом сейфе, информационных системах; - электронная цифровая подпись; - антивирусные средства защиты информации; - при входе в информационную систему установлены пароли; - средства восстановления защиты ПД; - использование шифровальных криптографических средств.

14. Оператор на основании договора может поручить обработку ПД третьему лицу. Существенным условием такого договора является наличие права у данного лица на обработку ПД, обязанность обеспечения указанным лицом конфиденциальности ПД и безопасности ПД при их обработке.

15. Хранение ПД должно осуществляться в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

16. Взаимодействие с федеральными органами исполнительной власти по вопросам обработки и защиты ПД субъектов, ПД которых обрабатываются Оператором, осуществляется в рамках законодательства Российской Федерации.

17. По всем фактам уничтожения ПД или носителей ПД составляется Акт об уничтожении ПД. Уничтожение документов на бумажных носителях осуществляется путем сдачи предприятию по утилизации вторичного сырья либо посредством аппарата для уничтожения документов. Уничтожение по окончании срока обработки ПД на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление ПД, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.

18. Лица, нарушающие или не исполняющие требования Положения, привлекаются к дисциплинарной, административной (ст. ст. 5.39, 13.11 - 13.14, 19.7 Кодекса Российской Федерации об административных правонарушениях) или уголовной ответственности (ст. ст. 137, 140, 272 Уголовного кодекса Российской Федерации).