ПОЛИТИКА в отношении обработки персональных данных в обществе с ограниченной ответственностью «Клиника семейной медицины»

1. ОБЩИЕ ПОЛОЖЕНИЯ

• Настоящий документ определяет политику Общества с ограниченной ответственностью «Клиника семейной медицины» в отношении обработки персональных данных (далее – Политика).
• Общество с ограниченной ответственностью « Клиника семейной медицины » (далее — Общество или Оператор) осуществляет обработку персональных данных, обеспечивает защиту прав и свобод субъектов при обработке их персональных данных и принимает меры для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 Nº 152-Ф3 «О персональных данных» (далее —
  Закон Nº 152-ФЗ) и принятыми в соответствии с ним нормативными правовыми актами.
• Обработка сведений, составляющих врачебную тайну, которые включают в себя персональные данные, осуществляется Обществом с соблюдением требований Федерального закона от 21.11.2011 Nº 323-ФЗ
  «Об основах охраны здоровья граждан в Российской Федерации» и иных нормативных правовых актов в сфере здравоохранения.
• Настоящая Политика применяется ко всем видам обработки персональных данных, осуществляемой Обществом с использованием любых средств, включая автоматизированные, неавтоматизированные, смешанные способы обработки, а также в информационно-телекоммуникационных сетях, в том числе в сети «Интернет».
• Действие настоящей Политики распространяется на все структурные подразделения Общества, все информационные системы персональных данных, а также на всех работников и контрагентов Общества, участвующих в обработке персональных данных.
• Обработка персональных данных организована на принципах:

• целостности, конфиденциальности и доступности информации;
• законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Оператора;
• ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
• достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
• обработки только персональных данных, которые отвечают целям их обработки. Недопустима обработка персональных данных, несовместимая с целями сбора персональных данных;
• соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
• недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
• обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
• хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
  • Настоящая Политика подлежит размещению на сайте Общества https://www.evkaliptmed.ru/, а также на всех страницах сайта Общества, с использованием которых осуществляется сбор персональных данных субъектов.
  • Локальные акты и другие документы, регламентирующие обработку персональных данных в Обществе, разрабатываются с учетом положений настоящей Политики.

2. ПОНЯТИЯ И ТЕРМИНЫ, ИСПОЛЬЗУЕМЫЕ В ПОЛИТИКЕ

3. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

• К субъектам персональных данных, персональные данные которых обрабатываются Обществом в соответствии с Политикой, относятся:

• потребители;
• соискатели;
• работники;
• бывшие работники;
• родственники работников;
• родственники соискателей;
• представители контрагентов;
• студенты;
• пользователи Сайта;
• пользователи Личного кабинета;
• члены органов управления Общества.

4. ЦЕЛИ ОБРАБОТКИ ПДн

Оператор руководствуется конкретными, заранее определенными целями обработки ПДн, в соответствии с которыми ПДн были предоставлены Субъектом.

Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных, обрабатываемых Оператором, в соответствие с целями обработки:

5. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

• Правовыми основаниями обработки персональных данных для достижения целей, указанных в разделе 4 Политики, являются:

• Конституция Российской Федерации;
• Гражданский кодекс Российской Федерации (далее – ГК РФ);
• Трудовой кодекс Российской Федерации (далее – ТК РФ);
• Налоговый кодекс Российской Федерации (далее – НК РФ);
• Федеральный закон № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»
  (далее – Закон № 323-ФЗ);
• Федеральный закон от 29 ноября 2010 года № 326-ФЗ «Об обязательном медицинском страховании
  в Российской Федерации» (далее – Закон № 326-ФЗ);
• Федеральный закон № 14-ФЗ «Об обществах с ограниченной ответственностью» (далее –
  Закон № 14-ФЗ);
• договоры, заключаемые между Обществом и субъектами персональных данных;
• согласие субъектов персональных данных на обработку их персональных данных;
• иные нормативные правовые акты, исполнение требований которых связано с обработкой персональных данных.

6. ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА ПДн И ОПЕРАТОРА

6.1. Субъект имеет право:

6.1.1. Получить информацию, касающуюся обработки его ПДн, в частности:

6.1.1.1. подтверждение факта обработки ПДн Оператором;

6.1.1.2. правовые основания и цели обработки ПДн;

6.1.1.3. применяемые Оператором способы обработки ПДн;

6.1.1.4. наименование и местонахождение Оператора, сведения о лицах (за исключением сотрудников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании федерального закона;

6.1.1.5. обрабатываемые ПДн, относящиеся к соответствующему Субъекту ПДн, источник их получения, если иной порядок предоставления не предусмотрен федеральным законом;

6.1.1.6. срок обработки ПДн и срок их хранения;

6.1.1.7. порядок осуществления Субъектом ПДн своих прав;

6.1.1.8. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;

6.1.1.9. иные сведения, предусмотренные федеральным законом;

6.1.2. Требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

6.1.3. Отозвать свое согласие на обработку ПДн;

6.1.4. На свободный безвозмездный доступ к своим ПДн посредством личного обращения либо направления запроса;

6.1.5.  Обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав Субъектов ПДн или в судебном порядке;

6.1.6. Реализовывать иные права, предусмотренные действующим законодательством.

6.2. Оператор обязан:

6.2.1. Обеспечивать конфиденциальность ПДн. Оператор и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия Субъекта ПДн, если иное не предусмотрено законом;

6.2.2. Опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн, сведениям о реализуемых требованиях к защите ПДн;

6.2.3. Принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;

6.2.4. Предоставлять ответы на запросы и обращения Субъектов ПДн, их представителей и уполномоченного органа по защите прав субъектов персональных данных;

6.2.5. Нести иные обязанности Оператора, предусмотренные законодательством.

7. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПДн

7.1. Оператор осуществляет обработку ПДн Субъектов посредством совершения любого действия (операции) или совокупности действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, включая следующие: сбор; запись; систематизация; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передача (предоставление, доступ); блокирование; удаление; уничтожение, распространение.

7.2. Оператор получает ПДн:

7.2.1. Путем личной передачи Субъектом ПДн при внесении данных на Сайте;

7.2.2. Путем личной передачи Субъектом в рамках гражданско-правовых отношений;

7.2.3. От третьих лиц.

7.3.1. Оператор получает и начинает обработку ПДн Субъекта с момента получения его согласия или с момента возникновения права или обязанности обработки соответствующих персональных данных в силу норм действующего законодательства.

7.3.2. Согласие на обработку ПДн может быть дано Субъектом в любой форме, позволяющей подтвердить факт получения согласия, если иное не установлено федеральным законом: в письменной, электронной или иной форме, предусмотренной действующим законодательством. В частности, согласие на обработку ПДн считается предоставленным Субъектом посредством проставления специального знака — «галочки» или «веб-метки» в специальном поле на Сайте Оператора.

7.4. Получение Оператором ПДн от иных лиц, а равно передача поручения по обработке ПДн осуществляется на основании договора, содержащего условия о порядке обработки и сохранения конфиденциальности полученных ПДн.

7.5. Перечень лиц, допущенных к обработке ПДн определяется распоряжением директора и внутренними локальным нормативными актами оператора.

7.6. В случае если Оператор поручает обработку ПДн третьим лицам, не являющимся его сотрудниками, на основании заключенных договоров (либо иных оснований), в силу которых они должны иметь доступ к ПДн субъектов, соответствующие данные предоставляются Оператором только после подписания с лицами, осуществляющими обработку ПДн по поручению Оператора, соответствующего соглашения, в котором должны быть определены:

• перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим их обработку;
• цели обработки;
• должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке;
• должны быть указаны требования к защите обрабатываемых ПДн в соответствии с ФЗ «О персональных данных».

7.7. В целях, указанных в разделе 4 настоящей Политики и на основании соответствующих согласий субъектов персональных данных, обработка ПДн осуществляется лицами, входящими в одну группу лиц с Оператором по признакам, установленным ст. 9 Федерального закона N 135-ФЗ «О защите конкуренции».

7.8. ПДн обрабатываются и хранятся Оператором с даты дачи Субъектом соответствующего Согласия или с момента возникновения права или обязанности обработки соответствующих персональных данных в силу норм действующего законодательства до достижения цели обработки персональных данных или отзыва Согласия  Субъектом ПДн или срока, указанного в соответствующем Согласии Субъекта или в течение срока хранения персональных данных в соответствии с законодательством Российской Федерации.

8. ПРЕКРАЩЕНИЕ ОБРАБОТКИ, УТОЧНЕНИЕ, УНИЧТОЖЕНИЕ ПДн

8.1. Прекращение обработки

Оператор прекращает обработку ПДн в случае:

8.1.1. Достижения цели обработки ПДн — в течение тридцати дней, если иное не предусмотрено договором;

8.1.2. Истечения срока действия согласия Субъекта ПДн — в течение тридцати дней;

8.1.3. Выявления неправомерной обработки ПДн – в течение трех дней с даты выявления. В случае, если обеспечить правомерность обработки ПДн невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПДн, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении ПДн Оператор обязан уведомить Субъекта или его представителя, а в случае, если обращение Субъекта или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

8.1.4. Отзыва согласия Субъекта ПДн, если сохранение ПДн более не требуется для целей обработки ПДн — в течение 30 дней;

8.1.5. Предоставления Субъектом ПДн сведений, подтверждающих, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки — в течение 7 рабочих дней со дня представления таких сведений.

8.1.6. В случае выявления неправомерной обработки ПДн, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению Оператора.

8.2. Отзыв согласия на обработку ПДн

8.2.1. Субъект ПДн может в любой момент отозвать свое согласие на обработку ПДн при условии, что подобная процедура не нарушает требований законодательства РФ. В случае отзыва Субъектом согласия на обработку ПДн, Оператор вправе продолжить обработку ПДн без согласия Субъекта только при наличии оснований, указанных в ФЗ.

8.2.2. Для отзыва согласия на обработку ПДн необходимо подать соответствующее заявление в письменной форме по месту нахождения Оператора или в электронной форме путем направления на адрес электронной почты Оператора, указанный в разделе «Реквизиты Оператора».

8.2.3. В случае отзыва Субъектом согласия на обработку его ПДн, Оператор прекращает их обработку или обеспечивает прекращение такой обработки (если обработка осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение ПДн более не требуется для целей их обработки, уничтожает ПДн или обеспечивает их уничтожение (если обработка осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий 30 (Тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект ПДн, иным соглашением между Оператором и Субъектом, либо если Оператор не вправе осуществлять обработку ПДн без согласия Субъекта на основаниях, предусмотренных ФЗ или другими федеральными законами.

8.3. Уточнение ПДн

8.3.1. В случае выявления неправомерной обработки ПДн при обращении Субъекта или его представителя либо по запросу Субъекта или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых ПДн, относящихся к этому Субъекту, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки.

8.3.2. В случае выявления неточных ПДн при обращении Субъекта  или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование ПДн, относящихся к этому Субъекту, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы Субъекта или третьих лиц.

8.3.3. В случае подтверждения факта неточности ПДн Оператор на основании сведений, представленных Субъектом или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование ПДн.

8.4. Уничтожение ПДн

8.4.1. ПДн уничтожаются в порядке, установленном внутренним регламентом Оператора.

8.4.2. ПДн уничтожаются в следующих случаях:

• достижение целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;
• по обоснованному требованию Субъекта персональных данных;
• выявления неправомерной обработки ПДн субъекта ПДн;
• в случае истечения срока хранения или отзыва субъектом персональных данных согласия на обработку его персональных данных (если персональные данные обрабатываются оператором на основании согласия субъекта персональных данных);
• в случае ликвидации Оператора.

8.4.3. Уничтожение производится путем стирания или иным путем, исключающим возможность восстановления.

Съёмные машинные носители по истечению сроков обработки и хранения на них персональных данных подлежат уничтожению с целью невозможности восстановления и дальнейшего использования. Это достигается путем деформирования, нарушения единой целостности носителя или его сжигания.

В случае допустимости повторного использования съёмного машинного носителя применяется программное удаление («затирание») содержимого путём его форматирования с последующей записью новой информации на данный носитель.

Черновики документов, испорченные листы, варианты и неподписанные проекты документов уничтожаются путём их сожжения, измельчения или другим путем, исключающим восстановление текста документов.

8.4.4 Ответственным за уничтожение информации, содержащей персональные данные, является Ответственный за организацию обработки персональных данных.

9. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПДн

9.1. При обработке ПДн Оператор применяет правовые, организационные и технические меры и обеспечивает их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в соответствии с требованиями к обеспечению безопасности ПДн при их обработке в информационных системах ПДн, требованиям к материальным носителям ПДн и технологиям хранения таких данных вне информационных систем ПДн, установленными действующим законодательством и актами технического регулирования.

9.2. Мероприятия по защите ПДн определяются Положениями, Приказами, Инструкциями и другими локальными актами Оператора.

9.3. Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законами РФ и принятыми в соответствии с ними нормативно-правовыми актами.

9.4. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативно-правовыми актами, если иное не предусмотрено указанным законом иди другими федеральными законами.

9.5. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов персональных данных, Оператор с момента выявления такого инцидента Оператором, регулятором или иным заинтересованным лицом уведомляет регулятора:

• в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Оператором на взаимодействие с регулятором, по вопросам, связанным с выявленным инцидентом;
• в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

9.6. Оператор предоставляет доступ к информации о реализуемых мерах защиты персональных данных.

10. ПОРЯДОК ОБРАБОТКИ ЗАПРОСОВ И ОБРАЩЕНИЙ СУБЪЕКТОВ ПДн

10.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона № 152-ФЗ, предоставляются Оператором субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя.

В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

10.1.1. Запрос должен содержать:

• номер основного документа, удостоверяющего личность Субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
• сведения, подтверждающие участие Субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
• подпись Субъекта персональных данных или его представителя.

10.1.2. Запрос может быть направлен:

• в письменной форме на адрес: 394062, г. Воронеж, ул. Путиловская, д. 19А, оф. 1:
• в электронной форме на адрес электронной почты secretary@evkaliptmed.ru:

Если в обращении (запросе) Субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или Субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

10.2. Право Субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

10.3. Оператор обязуется рассмотреть и направить ответ на поступивший запрос в течение 10 (десяти) рабочих дней с момента поступления обращения.

11. ПРОЧИЕ ПОЛОЖЕНИЯ

11.1. Политика и изменения к ней утверждаются директором и вступает в силу со дня ее утверждения.

11.2. Оператор имеет право вносить изменения в Политику без согласия Субъекта.

11.3. Опубликование или обеспечение иным образом неограниченного доступа к настоящей Политике, определяющим политику Оператора в отношении обработки ПДн, Оператор осуществляет, в частности, но не ограничиваясь, посредством размещения на электронном сайте, принадлежащем Оператору.

11.4. Новая редакция Политики вступает в силу с момента опубликования.

11.5. Все вопросы, связанные с обработкой ПДн, не урегулированные настоящей Политикой, разрешаются в соответствии с действующими законодательством РФ в области персональных данных, а также принятыми Оператором иными локальными актами в области персональных данных.

12. РЕКВИЗИТЫ ОПЕРАТОРА

ООО «Клиника семейной медицины»

Адрес юридического лица: 394062, г. Воронеж, ул. Путиловская, д. 19А, оф. 1

ИНН 3665140973

ОГРН 1173668029908

тел.: +7 (473) 2-103-103

e-mail: secretary@evkaliptmed.ru