ГлавнаяПолитика обработки персональных данных

Политика обработки персональных данных

Общество с ограниченной ответственностью «Клиника»
далее (ООО «Клиника»)
198412, г. Санкт-Петербург, г. Ломоносов,
ул. Еленинская, дом 24, литер. А, пом.7Н
ИНН/КПП 7814511494/781901001
ОГРН 1117847378626


 

 

УТВЕРЖДАЮ:

Генеральный директор ООО «Клиника» 

 _____________________/ Пономаренко Г.О./

     

Политика ООО «Клиника»
в отношении обработки персональных данных

Персональные данные пациентов обрабатываются с целью:

  1. Реализации гражданами РФ предусмотренных Конституцией РФ прав на обращение в медицинские организации в установленном порядке;
  2. Установления медицинского диагноза и оказания медицинских услуг пациенту на основании Договора об оказании медицинских услуг;
  3. Выполнения условий трудового договора с сотрудниками медицинского центра в соответствии с действующим законодательством;

Правовым основанием для обработки персональных данных являются:

  • Федеральный закон № 152-ФЗ «О персональных данных» от 27 июля 2006 г.;
  • Федеральный закон № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний» от 24 июля 1998 г.;
  • Федеральный закон N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» от 21 ноября 2011 г.;
  • Согласие пациента на обработку персональных данных;
  • Согласие сотрудников на обработку персональных данных;
  • Заключенные договоры с контрагентами медицинского центра.

Категории субъектов, персональные данные которых обрабатываются в ООО «Клиника»:

  1. Лица, обратившиеся в ООО «Клиника» для получения медицинских услуг. 
    В состав обрабатываемых персональных данных этой категории субъектов входят: фамилия, имя, отчество; дата рождения; пол; адрес места регистрации и проживания; контактный телефон; адрес электронной почты (по желанию); место работы; сведения о состоянии здоровья, перенесённых заболеваниях, операциях, случаях обращения за медицинской помощью, результаты проведенных медицинских обследований.
  2. Сотрудники ООО «Клиника» (в рамках трудовых отношений). 
    В состав обрабатываемых персональных данных этой категории субъектов входят: паспортные данные; адрес места регистрации и проживания; идентификационный номер налогоплательщика (ИНН); номер страхового свидетельства государственного пенсионного страхования; трудовой договор; сведения о составе семьи, воинском учёте, стаже работы, профессиональной аттестации, повышении квалификации, профессиональной переподготовке, имеющихся сертификатах; государственных и ведомственных наградах, почетных званиях; информация об отпусках, командировках, листах временной нетрудоспособности, трудовой деятельности до приема на работу в ООО «Клиника»; данные о дате и основании выхода на пенсию, наличии судимостей; наличии загранпаспорта, выездах за границу, заработной плате, номере расчетного счета в банке, знании иностранных языков;
  3. Контрагенты ООО «Клиника» (в рамках заключенных договоров). 
    В состав обрабатываемых персональных данных этой категории субъектов входят: фамилия, имя, отчество; адрес места проживания; контактный телефон; электронный адрес; идентификационный номер налогоплательщика (ИНН); банковские реквизиты.

Перечень действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение/ обновление/ изменение, извлечение, использование, передача/ предоставление/ доступ (в рамках трехстороннего договора, по запросу суда, на основании нормативно-правовых документов), обезличивание, блокирование, удаление, уничтожение.

Обработка вышеуказанных персональных данных осуществляется как с использованием, так и без использования средств автоматизации.

Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ:

  1. Правовые и организационные меры безопасности персональных данных:
    В ООО «Клиника» разработаны организационно-распорядительные документы, регламентирующие процесс получения, обработки, хранения, передачи и защиты персональных данных.

Технические меры по обеспечению безопасности персональных данных при их обработке с использованием средств автоматизации:

  • блокирование несанкционированного доступа к персональным данным (установка паролей доступа на ПК, на которых непосредственно осуществляется обработка персональных данных); 
  • использование средств защиты персональных данных от несанкционированного доступа (системы разграничения прав доступа к информации, криптографическая защита, использование программ архивирования информации с использованием метода шифрования и кодированием передаваемых данных на ПЭВМ, обрабатывающих персональные данные;
  • веб-интерфейс с установленными сертификатами и аутентификацией пользователя);
  • предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок.

Технические меры по обеспечению безопасности персональных данных при их обработке без использования средств автоматизации:

  • отдельное хранение персональных данных от иной информации путем фиксации их на отдельных материальных носителях;
  • определение порядка хранения материальных носителей персональных данных и установление перечня лиц, осуществляющих обработку персональных данных, либо имеющих к ним доступ;
  • ограничение доступа пользователей в помещения, где хранятся материальные носители информации;
  • размещение материальных носителей информации, содержащих персональные данные, в пределах контролируемой зоны;
  • обеспечение раздельного хранения материальных носителей персональных данных, обработка которых осуществляется в различных целях;
  • соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним: хранение документов (материальных носителей персональных данных) в специально оборудованных помещениях, сейфах, металлических шкафах, установление решеток на окна, охранно-пожарной сигнализации;
  • проведение внутренней проверки безопасности информационных систем персональных данных учреждения; 
  • проведение вводного и текущего инструктажа для работников учреждения, допущенных к обработке персональных данных.

Право субъекта персональных данных на доступ к своим персональным данным

  1. Субъект персональных данных имеет право на получение следующих сведений:
  • Наименование и место нахождения оператора, а также сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
  • Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
  • Обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • Подтверждение факта обработки персональных данных оператором;
  • Порядок осуществления субъектом персональных данных прав, предусмотренных настоящим федеральным законом;
  • Правовые основания и цели обработки персональных данных;
  • Сроки обработки персональных данных, в том числе сроки их хранения;
  • Цели и применяемые оператором способы обработки персональных данных;
  • Иные сведения, предусмотренные настоящим федеральным законом или другими федеральными законами.

Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Субъект персональных данных также вправе принимать предусмотренные законом меры по защите своих прав.

  1. Указанные в пункте 1 сведения должны быть предоставлены субъекту персональных данных оператором в доступной форме, в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
  2. Указанные в пункте 1 сведения предоставляются субъекту персональных данных или его представителю оператором при обращении, либо при получении запроса субъекта персональных данных или его представителя.

Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

  1. В случае если сведения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
  2. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения указанных в п. 1 сведений, а также в целях ознакомления с обрабатываемыми персональными данными до истечения 30 дней, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.
  3. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным п. 4 и 5. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.
  4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:
  • Обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
  • Обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
  • Обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
  • Доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
  • Обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.