Обработка персональных данных

Для оказания Пациентам качественных медицинских услуг Стоматологическая клиника "Мастердент" осуществляет обработку данных, предоставляемых Пациентами через официальный сайт, размещенный в сети Интернет по адресу http://www.masterdent36.ru.

Посетители сайта могут воспользоваться различными формами обратной связи, задать вопрос онлайн или записаться на прием к врачу.

Мы гарантируем сохранность всех предоставляемых сведений, включая сведения, составляющие персональные данные.

Надежная защита ваших данных осуществляется в соответствии с действующим законодательством РФ и регламентируется утвержденной в клинике Политикой обработки и защиты персональных данных.

ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В ИНФОРМАЦИОННЫХ СИСТЕМАХ

ПЕРСОНАЛЬНЫХ ДАННЫХ

ООО «Мастердент»

СОДЕРЖАНИЕ:

ОБЩИЕ ПОЛОЖЕНИЯ

В процессе осуществления своей деятельности в ООО «Мастердент» обрабатывает персональные данные. Важнейшими задачами при осуществлении обработки персональных данных (далее также – ПДн). Организация считает соблюдение принципов законности, справедливости и конфиденциальности. Руководство Организации несет ответственность за соблюдение конфиденциальности и безопасности обрабатываемых персональных данных.

Настоящая Политика по защите персональных данных в ООО «Мастердент» (далее – Политика) обеспечивает реализацию требований законодательства Российской Федерации в области обработки персональных данных. В Политике раскрываются основные категории персональных данных, цели, способы и принципы обработки персональных данных, права и обязанности при обработке персональных данных, права субъектов персональных данных, а также меры, применяемые в целях обеспечения безопасности персональных данных при их обработке.

Настоящая Политика распространяется на все случаи обработки персональных данных в Организации, вне зависимости от того, является обработка персональных данных автоматизированной или неавтоматизированной, производится она вручную либо автоматически.

Настоящая Политика является внутренним локальным нормативным актом и является обязательной для исполнения всеми подразделениями и Сотрудниками Организации.

Каждый сотрудник, вновь принимаемый на работу в Организацию, во время первого вводного инструктажа должен быть ознакомлен с настоящей Политикой.

Настоящая Политика утверждается Руководителем ООО «Мастердент», который осуществляет контроль соблюдения Политики в Организации.

Срок действия настоящей Политики – три года после ее утверждения. Политика подлежит пересмотру не реже одного раза в три года, либо при изменении законодательства.

Ответственность за актуализацию настоящей Политики и текущий контроль над выполнением норм Политики возлагается на назначаемого приказом Руководителя уполномоченного сотрудника, ответственного за организацию обработки и защиты ПДн.

Организация на основании требований настоящей Политики разрабатывает все внутренние локальные акты и иные документы, связанные с обработкой ПДн.

Настоящая Политика является общедоступным документом. Для обеспечения неограниченного доступа к документу, текст настоящей Политики размещен на общедоступном неопределенному кругу лиц стенде в организации.

ОСНОВНЫЕ ПОНЯТИЯ

Политика – утверждена Руководителем ООО «Мастердент» внутренний локальный нормативный акт - «Политика по защите персональных данных в ООО «Мастердент»».

Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу - субъекту персональных данных.

Обработка персональных данных - любое действие с персональными данными, совершаемое с использованием средств автоматизации или без использования таких средств.

Субъект персональных данных - идентифицированное или не идентифицированное физическое лицо, в отношении которого проводится обработка персональных данных.

Сотрудник - физическое лицо (субъект персональных данных), заключившее с ООО «Мастердент» трудовой договор.

Соискатель - физическое лицо (субъект персональных данных), представившее в ООО «Мастердент» свои персональные данные с предложением заключения трудового договора.

Партнер – юридическое лицо или индивидуальный предприниматель, оператор персональных данных, с которым у ООО «Мастердент» имеются договорные отношения, во исполнение обязательств по которым Партнер поручает ООО «Мастердент» в качестве третьего лица обработку ПДн Пациентов.

Пациент - физическое лицо - заказчик услуг (субъект персональных данных), заключивший с ООО «Мастердент» или Партнером договор на оказание услуг, согласно договору.

Иное физическое лицо – физическое лицо (субъект персональных данных), заключившее с ООО «Мастердент» договор на оказание определенного вида услуг или работ либо сотрудник Партнера.

Посетитель – физическое лицо (субъект персональных данных), не являющееся Сотрудником и получившее на законных основаниях допуск в помещения Организации.

Уполномоченный сотрудник – Сотрудник, назначенный приказом Руководителя ответственным за обеспечение информационной безопасности и защиту персональных данных.

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

ОСНОВНЫЕ ПОЛОЖЕНИЯ

1. Цели обработки ПДн

Организация проводит обработку персональных данных исключительно в целях:

а) осуществления деятельности в соответствии с нормативными актами, указанными в п.1. статьи 3. Политики;

б) организации учета Сотрудников в соответствии с требованиями законов и иных нормативно-правовых актов, содействия им в карьерном росте и трудоустройстве, в обучении, для осуществления медицинского страхования и для предоставления им иных льгот и компенсаций;

в) принятия решения о заключении с Соискателем трудового договора;

г) исполнения обязательств и осуществление прав по заключенным с Пациентами договорам оказания услуг в соответствии с нормами законодательства.

д) исполнения обязательств и осуществление прав по заключенным с иными физическими лицами или юридическими лицами договорам в соответствии с нормами Гражданского кодекса Российской Федерации;

е) для исполнения обязательств и осуществление прав в процессе судопроизводства по искам к ООО «Мастердент» Сотрудников, Пациентов или Партнеров, или исков к Сотрудникам, Пациентам или Партнерам в рамках Гражданского процессуального кодекса Российской Федерации, Арбитражного процессуального кодекса Российской Федерации, Кодекса Российской Федерации об административных правонарушениях;

ж) обработки персональных данных, доступ неограниченного круга лиц к которым предоставлен Сотрудником или Пациентом либо по их просьбе;

з) выполнения маркетинговых и рекламных действий в целях установления и дальнейшего развития отношений с Пациентами и Партнерами;

и) не допущение бесконтрольного нахождение в помещениях Организации.

В Организации обработке подлежат только те персональные данные, которые отвечают указанным выше целям их обработки. Персональные данные не подлежат обработке в случае несоответствия их характера и объема поставленным целям.

Организация не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, судимости.

В том случае если для достижения указанных выше целей обработки персональных данных, Организации необходимо осуществить обработку биометрических персональных данных, либо касающихся состояния здоровья, то такая обработка осуществляется только на основании согласия субъекта персональных данных. Обработка специальных категорий персональных данных, должна быть незамедлительно прекращена, если устранены причины, вследствие которых она осуществлялась.

2. Допуск Сотрудников к обработке ПДн

Персональные данные в Организации могут обрабатываться только уполномоченными в установленном порядке Сотрудниками.

Сотрудники допускаются в Организации к обработке персональных данных только решением Руководителя.

Сотрудники, допущенные к обработке персональных данных, имеют право приступать к работе с персональными данными только после ознакомления под личную роспись с локальными нормативными актами, регламентирующими в Организации обработку ПДн.

Сотрудники, осуществляющие обработку персональных данных, должны действовать в соответствии с должностными инструкциями, регламентами и другими распорядительными документами Организации, и соблюдать требования по соблюдению режима конфиденциальности.

3. Получение ПДн, их категории, сроки хранения

Организация получает персональные данные только на основании того, что субъект персональных данных принимает решение о предоставлении Организации своих персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой форме, позволяющей подтвердить факт его получения. Как правило, такое согласие дается при заключении письменных договоров с ООО «Мастердент» или нашими Партнерами, либо в форме совершения субъектом персональных данных конклюдентных действия на Интернет-сайте Организации или наших Партнеров.

Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

В Организации обрабатываются следующие категории персональных данных:

а) Персональные данные Сотрудников и Руководителя. Источники получения: от субъектов персональных данных, на основании заключенных трудовых договоров.

б) Персональные данные Пациентов. Источники получения: от субъектов персональных данных или Партнеров, на основании заключенных договоров.

в) Персональные данные Партнеров и их представителей. Источники получения: от субъектов персональных данных или Партнеров, на основании заключенных договоров.

г) Персональные данные Посетителей. Источники получения: от субъектов персональных данных.

д) Персональные данные Соискателей. Источники получения: от субъектов персональных данных.

Сроки обработки и хранения персональных данных определяются в соответствие со сроком действия договора с субъектом персональных данных, сроком исковой давности, сроками хранения документов, иными требованиями законодательства и нормативными документами, а также сроком предоставленного субъектом согласия на обработку персональных, в случаях, когда такое согласие должно быть предоставлено в соответствии с требованиями законодательства.

4. Передача ПДн третьим лицам

Передача персональных данных осуществляется Организацией исключительно для достижения целей, заявленных для обработки персональных данных в п.2. настоящей статьи Политики.

Передача персональных данных третьим лицам осуществляется либо с письменного согласия субъекта персональных данных, которое оформляется по установленной законодательством форме, либо для исполнения договора, стороной которого или выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем, либо в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных; либо в иных случаях, установленных федеральным законодательством.

Передача персональных данных третьим лицам осуществляется Организации только на основании соответствующего договора с третьим лицом, существенным условием которого является обязанность обеспечения третьим лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

Организация не осуществляет трансграничную передачу персональных данных Пациента на территории иностранных государств с учетом перечня государств, утвержденного уполномоченным органом по защите прав субъектов персональных данных.

В целях соблюдения законодательства РФ, для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных Организация в ходе своей деятельности предоставляет персональные данные ниже следующим третьим лицам.

а) Персональные данные Сотрудников и Руководителя на основании трудового договора и/или письменного согласия передаются в ниже следующие организации:

- Банку – для оформления безналичного счета, на который будет перечисляться заработная плата и иные доходы Сотрудника и Руководителя, при условии, что Организация заранее сообщит Сотруднику и Руководителю наименование и адрес данного банка.

- Кредитным организациям, в которые Сотрудник обращался для оформления кредитов, ссуд либо получения иных услуг, при условии, что Сотрудник заранее сообщит Работодателю наименования указанных кредитных организаций.

- Страховой компании – для оформления полиса добровольного медицинского страхования, при условии, что Организация заранее сообщит Сотруднику наименование и адрес данной страховой компании.

- Полиграфической организации или типографии - для изготовления визитных карточек Сотрудника и Руководителя при условии, что Организация заранее сообщит им наименование и адрес данного полиграфического предприятия.

- Арендодателю - для оформления Сотруднику пропуска на территорию и в здание, в котором размещается Организация.

- Партнерам Организации - для исполнения обязательств, возложенных на Организацию договорами и иными законными сделками, исполнение которых предусмотрено должностными обязанностями Сотрудника, при условии, что Организация заранее сообщит Сотруднику наименования и адреса данных организаций.

- Налоговым органа, подразделениям Пенсионного фонда Российской Федерации, подразделениям Федеральной миграционной службы России - для исполнения обязательств, возложенных на Организацию законодательными и нормативными актами, а также исполнения законных официальных запросов, касающихся Сотрудника.

б) Персональные данные Пациентов в соответствии с заключенным с ними Организацией или Партнерами письменным договором, и/или с письменного согласия субъекта персональных Организации на основании договоров передает ниже следующим третьим лицам:

- Банкам – для безналичного перечисления денежных средств в счет оплаты услуг, заказанных Пациентом.

- Налоговым и правоохранительным органам - для исполнения обязательств, возложенных на Организацию законодательными и нормативными актами, а также исполнения законных официальных запросов, касающихся Пациента.

5. Получение Организацией в качестве третьего лица персональных данных от Партнеров

Получение персональных данных Пациентов от Партнеров – операторов персональных данных, осуществляется Организацией исключительно для достижения целей, заявленных для обработки персональных данных в п.1. настоящей статьи Политики, и на основании заключенных с Партнерами письменных договоров.

В тексте договоров с Партнерами обязательно определяются цели обработки ПДн, перечень операций с ними, и устанавливается обязанность Организации соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также указываются требования к защите обрабатываемых персональных данных.

6. Меры по обеспечению безопасности ПДн при их обработке

До начала обработки персональных данных Организацией предприняты правовые, технические и организационные меры к защите персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:

Вводом в Организации режима конфиденциальности персональных данных, когда все документы и сведения, содержащие информацию о персональных данных, являются в Организации конфиденциальными.

Организацией режима обеспечения безопасности помещений, в которых размещены информационные системы, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения.

Утверждением полного перечня персональных данных и иных объектов, подлежащих защите в Организации.

Обеспечением нераспространения документов и сведений, содержащих информацию о персональных данных, без согласия субъекта персональных данных, либо наличия иного законного основания.

Назначением уполномоченного сотрудника, ответственного за организацию обработки персональных данных.

Введением персональной ответственности руководителей Организации и его подразделений за обеспечение режима безопасности персональных данных при их обработке.

Утверждением перечня лиц, осуществляющих в Организации обработку персональных данных либо имеющих к ним доступ.

Определением типа угроз безопасности персональных данных, актуальных для информационных систем Организации с учетом оценки возможного вреда, который может быть причинен субъектам персональных данных.

Разработкой и утверждением локальных нормативных актов, регламентирующих в Организации обязанности должностных лиц, осуществляющих обработку и защиту ПДн, их ответственность за компрометацию персональных данных.

Осуществлением внутреннего контроля и аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам.

Запретом для Сотрудников, осуществляющих обработку персональных данных, проводить несанкционированное или нерегистрируемое копирование персональных данных, в том числе с использованием сменных носителей информации, мобильных устройств копирования и переноса информации, коммуникационных портов и устройств ввода-вывода, реализующих различные интерфейсы (включая беспроводные), запоминающих устройств мобильных средств (например, ноутбуков, карманных персональных компьютеров, смартфонов, мобильных телефонов), а также устройств фото и видеосъемки.

Обеспечением сохранности носителей персональных данных.

Использованием средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных.

Ознакомлением Сотрудников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных, и обучением указанных сотрудников.

Выделением конкретных мест хранения персональных данных (материальных носителей), обработка которых осуществляется Организацией, режима обеспечения безопасности помещений и мест хранения материальных носителей ПДн.

Обеспечение раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется без использования средств автоматизации и в различных целях.

Осуществлением учета документов по обработке персональных данных без использования автоматизированных систем отдельным делопроизводством, хранением документов с отметкой «Персональные данные» в надежно запираемых шкафах и сейфах, ключи от которых хранятся только у ответственных за данную деятельность Сотрудников.

Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных.

Оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.

Учетом машинных носителей персональных данных.

Выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер.

Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.

Обеспечением доступа к содержанию электронного журнала сообщений исключительно для Сотрудников Организации или уполномоченного сотрудника, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения трудовых обязанностей.

Контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.

7. Права и обязанности субъекта ПДн

Субъект персональных данных имеет право:

- на получение сведений о Организации, о месте его нахождения, о наличии у Организации персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными;

- требовать от Организации уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

- требовать прекращения обработки своих персональных данных;

- получать информацию, касающуюся обработки его персональных данных, в том числе содержащую: подтверждение факта обработки персональных данных Организацией, а также цель такой обработки; способы обработки персональных данных, применяемые Организацией; сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ; перечень обрабатываемых персональных данных и источник их получения; сроки обработки персональных данных, в том числе сроки их хранения; сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе в следующих случаях:

- Если обработка персональных данных, включая те, что получены в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, выполняется в целях укрепления обороны страны, обеспечения безопасности государства и охраны правопорядка.

- При условии, что обработка персональных данных производится органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, когда допускается ознакомление подозреваемого или обвиняемого с такими персональными данными.

- Если обработка персональных данных выполняется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма.

- Когда доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

- Если обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться в Организацию, которая рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.

Субъект персональных данных вправе обжаловать действия или бездействие Организации путем обращения в уполномоченный орган по защите прав субъектов персональных данных.

Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

Субъект персональных данных обязан предоставлять только достоверные и полные персональные данные, которые при необходимости должны быть документально подтверждены.

8. Порядок предоставления информации субъекту персональных данных

Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю Организации при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.

Организация сообщает субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его законного представителя.

Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если предоставление персональных данных нарушает конституционные права и свободы других лиц.

Неправомерный отказ в предоставлении собранных в установленном порядке документов, содержащих персональные данные, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации может повлечь наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.

9. Ответственность за обеспечение безопасности ПДн

Организация несет ответственность за разработку, введение и действенность соответствующих требованиям законодательства норм, регламентирующих получение, обработку и защиту персональных данных. Организация закрепляет персональную ответственность Сотрудников за соблюдением установленного в Организации режима конфиденциальности.

Руководитель подразделения несет персональную ответственность за соблюдение Сотрудниками его подразделения норм, регламентирующих получение, обработку и защиту персональных данных. Руководитель, разрешающий доступ сотрудника к документам и сведениям, содержащим персональные данные, несет персональную ответственность за данное разрешение.

Каждый Сотрудник, получающий для работы документ, содержащий персональные данные, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

Сотрудники, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

Организация не несет ответственности за убытки и иные затраты, понесенные субъектами персональных данных в результате предоставления ими недостоверных и неполных персональных данных.

10. Список использованных источников правового обоснования.

Организация обязана осуществлять обработку персональных данных только на законной и справедливой основе.

- Политика Организации в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами РФ:

- Конституцией Российской Федерации;

- Трудовым кодексом Российской Федерации;

- Гражданским кодексом Российской Федерации;

- Налоговым кодексом Российской Федерации;

- Федеральным законом от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;

- Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;

- Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

- Федеральным законом № 132-ФЗ от 24.11.1996 года «Об основах туристской деятельности в Российской Федерации»;

- Федеральным законом № 2300-1 от 07.02.1992 года «О защите прав потребителей»;

- Постановлением Правительства Российской Федерации от 01 ноября 2012 года №1119 «Об утверждении требования к защите персональных данных при их обработке в информационных системах персональных данных»;

- Постановлением Правительства РФ от 15 сентября 2008 года № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

ПОЛОЖЕНИЕ

ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПАЦИЕНТОВ

ООО «Мастердент»

Статья 1. Общие положения

1.1. Настоящее Положение устанавливает порядок сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), использования, распространения (в том числе передачи), обезличивания, блокирования, уничтожения персональных данных пациентов в ООО «Мастердент» (далее «Организация»). Под пациентами (субъектами персональных данных) подразумеваются лица, заказывающие услуги в ООО «Мастердент» и предоставляющие свои данные.

1.2. Целью данного Положения является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.3. Сбор, хранение, использование и распространение информации о частной жизни лица без письменного его согласия не допускаются. Персональные данные относятся к категории конфиденциальной информации.

1.4. Должностные лица, в обязанность которых входит ведение персональных данных пациента, обязаны обеспечить каждому субъекту персональных данных возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.

1.5. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено в соответствии с законодательством.

1.6. Оператор, осуществляющий обработку персональных данных, а также определяющие цели и содержание обработки персональных данных, в соответствии со своими полномочиями владеющие информацией о гражданах, получающий и использующий ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.

1.7. Неправомерность деятельности организаций по сбору персональных данных может быть установлена в судебном порядке по требованию субъектов, действующих на основании статей 14 и 15 Федерального закона Российской Федерации «О персональных данных».

1.8. Настоящее положение утверждается в ООО «Мастердент» и является обязательным для исполнения всеми сотрудниками, имеющими доступ к персональным данным пациентов.

Статья 2. Понятие и состав персональных данных Пациентов

2.1. Персональные данные пациента – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), необходимая оператору в связи с его деятельностью, и касающаяся конкретного пациента (субъекта персональных данных) его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, адреса прописки, контактные данные, другая информация.

2.2 К персональным данным, сбор и обработку которых осуществляет Организации, относятся:

–фамилия, имя, отчество;

–дата рождения; место рождения;

–адрес;

–данные паспорта (серия, номер, кем и когда выдан);

–данные свидетельства о рождении;

–телефон;

–данные страхового медицинского полиса;

–данные о состоянии здоровья (жалобы пациента, ранее перенесенные заболевания, текущий диагноз).

2.3. Все персональные данные сотрудники Организации получают непосредственно от субъекта персональных данных - Пациентов.

Статья 3. Конфиденциальность персональных данных

3.1. Сведения, перечисленные в статье 2. Положения, содержащие сведения о персональных данных Пациентов, являются конфиденциальными. Оператор обеспечивает конфиденциальность персональных данных, и обязан не допускать их распространения без согласия Пациентов, либо наличия иного законного основания.

3.2. Лица, имеющие доступ к персональным данным Пациентов, обязаны соблюдать режим конфиденциальности, они должны быть предупреждены о необходимости соблюдения режима секретности. В связи с режимом конфиденциальности информации персонального характера должны предусматриваться соответствующие меры безопасности для защиты данных от случайного или несанкционированного уничтожения, от случайной утраты, от несанкционированного доступа к ним, изменения или распространения.

3.3. Все меры конфиденциальности при сборе, обработке и хранении персональных данных Пациента распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

3.4. Режим конфиденциальности персональных данных снимается в случаях обезличивания или включения их в общедоступные источники персональных данных, либо при наличии письменного согласия Пациента на то, что его персональные данные являются общедоступными персональными данными.

Статья 4. Обработка и хранение персональных данных Пациентов

4.1. Обработка персональных данных в Организации в интересах Пациентов заключается в получении, систематизации, накоплении, хранении, уточнении (обновлении, изменении), использовании, распространении, обезличивании, блокировании, уничтожении и в защите от несанкционированного доступа персональных данных Пациентов.

4.2. Согласие Пациентов на обработку персональных данных не требуется, поскольку обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных - Пациент.

4.3. Обработка персональных данных Пациентов ведется методом смешанной обработки (на бумажных носителях и с применением средств автоматизации).

4.4. К обработке персональных данных Пациентов могут иметь доступ только сотрудники Организации, допущенные к работе с персональными данными Пациента и подписавшие Соглашение о неразглашении персональных данных Пациента.

4.5. Перечень сотрудников Организации, имеющих доступ к персональным данным Пациентов, определяется приказом в ООО «Мастердент».

4.6. Персональные данные Пациентов на бумажных носителях хранятся в сейфе или закрываемом шкафу администраторов, архиве Организации с целью их защиты от несанкционированного доступа.

4.7. Персональные данные Пациентов в электронном виде хранятся в электронных папках и файлах в персональном компьютере дежурного администратора Организации, допущенного к обработке персональных данных Пациентов.

Статья 5. Использование и передача персональных данных Пациентов

5.1. Использование персональных данных Пациентов осуществляется Организацией в соответствии с законодательством Российской Федерации для достижения целей, определенных договором между Пациентом – ООО «Мастердент», в частности, для предоставления услуг по учету, периодической поверкой закрепленных за пациентом средств контроля и учтенных в договоре с выгодоприобретателем услуги, а также дополнительных услуг.

5.2. При передаче персональных данных Пациентов Организация должна соблюдать следующие требования:

5.2.1. Предупредить лиц, получающих персональные данные Пациентов о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные Пациентов, обязаны соблюдать режим конфиденциальности. Данное положение не распространяется в случае обезличивания персональных данных и в отношении общедоступных данных.

5.2.2. Разрешать доступ к персональным данным Пациентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций.

5.3. Не допускается отвечать на вопросы, связанные с передачей информации, содержащей персональные данные, по телефону или факсу.

5.4. ООО «Мастердент» предоставляет или передает персональные данные Пациентов третьим лицам исключительно в соответствии с действующим законодательством.

Статья 6. Защита персональных данных Пациентов от несанкционированного доступа

6.1. Организация обязана при обработке персональных данных Пациентов принимать необходимые организационные и технические меры для защиты персональных данных от несанкционированного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий

6.2. Для эффективной защиты персональных данных Пациентов необходимо:

6.2.1. соблюдать порядок получения, учета и хранения персональных данных Пациентов;

6.2.2. применять технические средства охраны, сигнализации;

6.2.3. ознакомить под роспись с приказом о назначении ответственных лиц по работе с персональными данными пациентов Организации и о неразглашении персональных данных пациентов и настоящим Положением всех сотрудников, связанных с получением, обработкой и защитой персональных данных Пациентов;

6.2.4. привлекать к дисциплинарной ответственности сотрудников, виновных в нарушении норм, регулирующих получение, обработку и защиту персональных данных Пациента.

6.3. Допуск к персональным данным Пациентов сотрудников Организации, не имеющих надлежащим образом оформленного доступа, запрещается.

6.4. Документы, содержащие персональные данные Пациентов, хранятся в архиве Организации, защищенном от несанкционированного доступа.

6.5. Защита доступа к электронным базам данных, содержащим персональные данные Пациентов, обеспечивается:

- использованием программного продукта, предотвращающего несанкционированный доступ третьих лиц к персональным данным Пациентов;

- системой паролей; пароли устанавливаются администратором информационной системы по согласованию с руководителем ООО «Мастердент» и сообщаются индивидуально операторам Организации.

6.6. Копировать и делать выписки персональных данных Пациента не разрешается.

Статья 7. Обязанности Оператора

7.1. Организация обязана:

7.1.1. Осуществлять обработку персональных данных Пациентов исключительно в целях оказания законных услуг Пациентам.

7.1.2. Получать персональные данные Пациента непосредственно у него самого. Если персональные данные Пациента возможно получить только у третьей стороны, то Пациент должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Сотрудники Организации должны сообщить Пациентам о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа пациента дать письменное согласие на их получение.

7.1.3. Не получать и не обрабатывать персональные данные Пациента о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, за исключением случаев, предусмотренных законом.

7.1.4. Предоставлять доступ к своим персональным данным Пациенту или его законному представителю при обращении либо при получении запроса, содержащего номер основного документа, удостоверяющего личность Пациента или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись Пациента или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации. Сведения о наличии персональных данных должны быть предоставлены Пациенту в доступной форме и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

7.1.5. Ограничивать право Пациента на доступ к своим персональным данным, если:

1) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

2) предоставление персональных данных нарушает конституционные права и свободы других лиц.

7.1.6. Обеспечить хранение и защиту персональных данных Пациента от неправомерного их использования или утраты.

7.1.7. В случае выявления недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу субъекта персональных данных или его законного представителя, либо уполномоченного органа по защите прав субъектов персональных данных, оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.

7.1.8. В случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование.

7.1.10. В случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

Статья 8. Права Пациента

8.1. Пациент имеет право на:

- доступ к информации о самом себе, в том числе содержащей информацию подтверждения факта обработки персональных данных, а также цель такой обработки; способы обработки персональных данных, применяемые Организацией; сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ; перечень обрабатываемых персональных данных и источник их получения, сроки обработки персональных данных, в том числе сроки их хранения; сведения о том, какие юридические последствия для Пациента может повлечь за собой обработка его персональных данных;

- определение форм и способов обработки его персональных данных;

- ограничение способов и форм обработки персональных данных;

- запрет на распространение персональных данных без его согласия;

- изменение, уточнение, уничтожение информации о самом себе;

- обжалование неправомерных действий или бездействий по обработке персональных данных и соответствующую компенсацию в судебном порядке.

9. Ответственность за нарушение норм, регулирующих обработку персональных данных Пациентов:

9.1. Организация несет ответственность за персональную информацию, которая находится в ее распоряжении и закрепляет персональную ответственность сотрудников за соблюдением установленного режима конфиденциальности.

9.2. Каждый сотрудник, получающий для работы документ, содержащий персональные данные Пациента, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

9.3. Любое лицо может обратиться к сотруднику Организации с жалобой на нарушение данного Положения. Жалобы и заявления по поводу соблюдения требований обработки данных рассматриваются в пятидневный срок со дня поступления.

9.4. Сотрудники Организации обязаны на должном уровне обеспечивать рассмотрение запросов, заявлений и жалоб Пациентов, а также содействовать исполнению требований компетентных органов.

9.5. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Пациентов, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.