Стоматология «Аполлония» в Краснодаре

1. Общие положения

Настоящая Политика определяет принципы, порядок и условия обработки персональных данных субъектов с целью обеспечения защиты прав и свобод человека и гражданина, в том числе на неприкосновенность его частной жизни, личной и семейной тайне; а также устанавливает ответственность лиц, имеющих доступ к персональным данным, за невыполнение требований, регулирующих обработку и защиту персональных данных.

Обеспечение безопасности обработки персональных данных, соблюдение требований конфиденциальности персональных данных, установленных ст. 7 Федерального закона «О персональных данных», а также информацию о принятии оператором мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона «О персональных данных», в ООО «Клиника «Аполлония» являются одной из приоритетных задач.

В организации для этих целей, а также для исполнения положений настоящей политики введен в действие комплект организационно-распорядительной документации в соответствии с действующим законодательством РФ в сфере защиты обработки персональных данных, обязательный для исполнения всеми лицами, допущенными к обработке персональных данных.

2. Порядок ввода в действие

Настоящая Политика вводится в действие с момента ее утверждения и действует до ее изменения либо принятия в новой редакции. Политика подлежит опубликованию или обязательному раскрытию в соответствии с законодательством РФ.

3. Базовые документы

Настоящая Политика разработана в соответствии с требованиями:

1. Конституции Российской Федерации.

2. Трудового кодекса Российской Федерации.

3. Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

4. Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

5. Постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

6. Постановления правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

7. Приказа ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 от 13 февраля 2008 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных».

8. Приказа ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

9. Приказа Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных.

10. Приказа ФНС от 17 ноября 2010 г. № ММВ-7-3/611 «Об утверждении формы сведений о доходах физических лиц и рекомендации по ее заполнению, формата сведений о доходах физических лиц в электронном виде, справочников».

11. Иными нормативно-правовыми актами.

4. Термины и определения

Персональные данные (далее ПДн) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Оператор персональных данных (оператор) — юридическое лицо, самостоятельно организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Обработка персональных данных — любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования, включая сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передачу (распространение, предоставление, доступ); обезличивание; блокирование; удаление; уничтожение;
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

5. Цели обработки персональных данных

Цели обработки персональных данных субъектов определяются выполнением возложенных на ООО « Клиника «Аполлония» обязанностей по осуществлению медицинской деятельности и сопровождению юридического лица, а именно с целями:

Реализации прав граждан РФ на обращение в медицинские организации, оказание медицинских услуг, оказание медицинской помощи, установление медицинского диагноза, для определения назначений и рекомендаций, организации записи на прием, организации хранения и ведения медицинской документации;
Заключения договора гражданско-правового характера на выполнение работ/оказание услуг, начисление платы согласно договору, исчисление и уплату предусмотренных законодательством РФ налогов и сборов.

6. Условия обработки персональных данных

6.1. Обработка персональных данных:

Должна ограничиваться достижением конкретных, заранее определенных и законных целей для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей;
Необходима для исполнения договора, стороной которого либо выгодоприобретателем является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или выгодоприобретателя;
Осуществляется с согласия субъекта ПДн на обработку его персональных данных;
Необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если поручение согласия субъекта ПДн невозможно.

6.2. Основанием для начала обработки ПДн является согласие субъекта на обработку ПДн, заключенные договоры с третьими лицами и законодательные требования.

7. Субъекты и категории персональных данных

7.1. Субъекты ПДн:

Пациент;

7.2. Категории ПДн

В случаях, предусмотренных действующим законодательством, субъект персональных данных принимает решение о предоставлении оператору персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.

Оператор обеспечивает соответствие содержания и объема обрабатываемых ПДн заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, оператором не осуществляется.

7.2.1. Под персональными данными пациентов понимается:

Фамилия, имя, отчество;
Пол;
Дата рождения;
Адрес регистрации/фактического проживания;
Контактный телефон;
Адрес электронной почты;
Паспортные данные;
Данные страхового медицинского полиса (ДМС);
Данные о состоянии здоровья, заболеваниях;
Случаи обращения за медицинской помощью;
Данные о составе семьи;
Данные о проведенных оплатах;
Место работы;
Идентификационный номер о постановке на учет в налоговом органе физического лица по месту жительства на территории Российской Федерации (ИНН);
Данные диагностических исследований (в т.ч. рентгенодиагностические снимки);
Фотопротокол (фотофиксация) в процессе планирования и осуществления лечения.

8. Принципы обработки персональных данных

Обработка персональных данных в организации производится на основе соблюдения принципов:

Законности целей и способов обработки персональных данных;
Соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
Соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
Достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
Недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
Хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
Уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.

Отказ субъекта от предоставления согласия на обработку его персональных данных влечет за собой невозможность достижения целей обработки.

9. Порядок обработки персональных данных

9.1. Перечень действий с персональными данными:

Cбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

9.2. Способы обработки персональных данных:

Неавтоматизированная обработка персональных данных;
Автоматизированная обработка персональных данных;
Смешанная обработка персональных данных.

9.3. Состав и перечень мер по обеспечению безопасности персональных данных

Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных нормативно-правовыми актами.

К таким мерам относятся:

Назначение оператором ответственного за организацию обработки персональных данных;
Издание локальных актов по вопросам обработки персональных данных, предотвращения и выявления нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
Применение правовых, организационных и технических мер по обеспечению безопасности персональных данных, защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
Осуществление внутреннего контроля соответствия обработки персональных данных нормативным правовым актам, требованиям к защите персональных данных, данной политике, локальным актам;
Определение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований законодательства, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
Ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных сотрудников;
Проведение вводного и текущего инструктажей для работников, допущенных к обработке персональных данных.

9.3.1. Меры с использованием средств автоматизации:

Блокирование несанкционированного доступа (установка паролей доступа на ПЭВМ, на которых осуществляется обработка персональных данных);
Использование средств защиты от несанкционированного доступа (системы разграничения прав доступа к информации, криптографическая защита, использование программ архивирования информации с использованием метода шифрования и кодированием передаваемых данных на ПЭВМ, обрабатывающих персональные данные, веб-интерфейс с установленными сертификатами и аутентификацией пользователя);

9.3.2. Без использования средств автоматизации:

Ограничение доступа пользователей в помещения, где хранятся носители информации;
Размещение носителей информации в пределах контролируемой зоны;
Обособление информации ПДн от иной информации путем фиксации их на отдельных материальных носителях;
Определение порядка хранения материальных носителей персональных данных и установление перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;
Обеспечение раздельного хранения материальных носителей персональных данных, обработка которых осуществляется в различных целях;
Соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним: хранение документов-носителей персональных данных в специально оборудованных помещениях, сейфах, металлических шкафах, установление решеток на окна, охранно-пожарной сигнализации.

9.4. Сроки обработки персональных данных

Сроки обработки персональных данных определяются в соответствии со сроком действия договора (соглашением) с субъектом персональных данных, Приказом Минкультуры РФ от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», сроком исковой давности, а также иными требованиями законодательства РФ.

Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.

В организации создаются и хранятся документы, содержащие сведения о субъектах персональных данных. Требования к использованию в организации данных типовых форм документов установлены Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку, персональные данные подлежат уничтожению, если:

Иное не предусмотрено договором, стороной которого, выгодоприобретателем по которому является субъект персональных данных;
Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;
Иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.

10. Права

10.1 Оператора:

Отстаивать свои интересы в суде;
Предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, фонды, правоохранительные органы, страховые компании и др.);
Отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;
Использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством.

10.2. Субъекта:

Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Субъект персональных данных имеет право:

1. Получать информацию, касающую обработки его персональных данных, в том числе содержащей:

Подтверждение факта обработки персональных данных оператором;
Правовые основания и цели обработки персональных данных;
Применяемые оператором способы обработки персональных данных;
Наименование и место нахождения оператора, сведения о лицах (за исключением сотрудников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
Обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных; источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
Сроки обработки персональных данных, в том числе сроки их хранения;
Порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
Информацию, что оператор не осуществляет трансграничную передачу данных;
Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу.

2. Требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

3. Требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.

Сведения должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

Сведения предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать: номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе; сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором; подпись субъекта персональных данных или его представителя.

Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, а также в целях ознакомления с обрабатываемыми персональными данными до истечения 30 дней, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.

Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, если в том числе доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в орган, уполномоченный по вопросам защиты прав субъектов персональных данных, или в судебном порядке.

В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации оператором, а обработка должна быть прекращена, в соответствии со ст. 21 № 152-ФЗ «О персональных данных».

Оператор вправе мотивированно отказать субъекту персональных данных в выполнении повторного запроса. Обязанность представления доказательств обоснованности отказа лежит на операторе.

11. Передача сведений третьим лицам

В случае необходимости взаимодействия с третьими лицами, в рамках достижения целей обработки персональных данных, условием передачи персональных данных в адрес третьих лиц является наличие договора/поручения на обработку персональных данных в соответствии с ч. 3 ст. 6 № 152-ФЗ «О персональных данных».

Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

12. Хранение персональных данных

Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных.

Сроки обработки персональных данных определяются сроком действия договора с субъектом персональных данных, Приказом Минкультуры РФ от 25.08.2010 г. № 558 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения, сроком исковой давности, а также иными требованиями законодательства РФ.

При осуществлении хранения персональных данных организация использует базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона «О персональных данных».

При указании сроков хранения персональных данных указывается конкретная дата (число, месяц, год) и/или основание (условие), наступление которого повлечет прекращение обработки персональных данных.

Договором, стороной которого, выгодоприобретателем по которому является субъект персональных данных;
Иным соглашением между оператором и субъектом персональных данных.

13. Обеспечение безопасности персональных данных

Организация предпринимает необходимые организационные и технические меры для обеспечения безопасности персональных данных субъектов от случайного или несанкционированного доступа и действий.

В целях координации действий по обеспечению безопасности персональных данных в организации назначается ответственный за организацию защиты персональных данных.

14. Заключительные положения

Настоящая Политика предназначена для размещения в информационных ресурсах общественного пользования.

Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года.

Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных.

Ответственность должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и локальными документами.