УТВЕРЖДАЮ
Директор НМУ «Диада-лечебный центр ОН и ОНА»
____________ Сабанцев О.В.
ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. ОБЩИЕ ПОЛОЖЕНИЯ
Настоящая Политика в отношении обработки персональных данных (далее – Политика)
определяет позицию и намерения НМУ «Диада-лечебный центр ОН и ОНА»
(далее – лечебный центр) в области обработки и защиты персональных данных, соблюдения прав и основных свобод каждого человека и, в особенности, права на неприкосновенность частной
жизни, личную и семейную тайну, защиту своей чести и доброго имени. Политика предназначена
для изучения и неукоснительного исполнения всеми работниками Клиники, а также подлежит
доведению до сведения лиц, состоящих в договорных, гражданско-правовых и иных отношениях с
Клиникой, партнеров и других заинтересованных сторон.
2. ОПРЕДЕЛЕНИЯ
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному
или определяемому физическому лицу (субъекту персональных данных). Таким образом, к такой
информации, в частности, относятся: фамилия, имя, отчество, год, месяц, дата и место рождения,
адрес, сведения о семейном, социальном, имущественном положении, сведения об образовании,
профессии, доходах, а также другая информация.
Обработка персональных данных – любое действие (операция) или совокупность действий
(операций) с персональными данными, совершаемых с использованием средств автоматизации
или без использования таких средств. К таким действиям (операциям) относятся: сбор, запись,
систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение,
использование, передача (распространение, предоставление, доступ), обезличивание,
блокирование, удаление, уничтожение персональных данных.
Безопасность персональных данных – защищенность персональных данных от неправомерного
или случайного доступа к ним, уничтожения, изменения, блокирования, копирования,
предоставления, распространения персональных данных, а также от иных неправомерных
действий в отношении персональных данных.
Информационная система персональных данных – совокупность содержащихся в базах данных
персональных данных и обеспечивающих их обработку информационных технологий и
технических средств.
3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Обработка персональных данных Лечебным центром осуществляется в следующих целях:
- принятие решения о возможности заключения трудового договора с лицами,
претендующими на вакантные должности;
- обеспечение трудоустройства работников Лечебного центра в соответствии с требованиями
законодательства;
- исполнение условий договора предоставления медицинских услуг;
- исполнение требований законодательства, регламентирующих обработку персональных
данных.
4. ПОЛОЖЕНИЯ ПОЛИТИКИ
Лечебный центр обеспечивает надежную защиту персональных данных граждан, основываясь на
требованиях Конституции Российской Федерации, Трудового кодекса Российской Федерации,
Федерального закона №152-ФЗ «О персональных данных», подзаконных актов, других
определяющих случаи и особенности обработки персональных данных федеральных законов,
руководящих и методических документов ФСТЭК России и ФСБ России.
4.1. Принципы обработки персональных данных
При обработке персональных данных Лечебный центр соблюдает следующие принципы:
- обработка персональных данных осуществляется только на законной и справедливой
основе;
- Лечебный центр не раскрывает третьим лицам и не распространяет персональные данные без
согласия гражданина (если иное не предусмотрено действующим законодательством Российской
Федерации);
- Лечебный центр осуществляет обработку персональных данных в конкретных и законных целях;
- Лечебный центр осуществляет сбор только тех персональные данные, которые являются
необходимыми и достаточными для заявленных целей обработки;
- обработка персональных данных Лечебным центром ограничивается достижением конкретных,
заранее определенных и законных целей;
- по достижении целей обработки или в случае утраты необходимости в достижении таких
целей Лечебный центр производит уничтожение либо обезличивание персональных данных.
4.2. Передача персональных данных
В случаях, установленных законодательством Российской Федерации, Лечебный центр вправе
осуществлять передачу персональных данных граждан.
Лечебный центр вправе поручить обработку
персональных данных (с согласия гражданина) третьим лицам, на основании заключаемого с
этими лицами договора (поручения). Лица, осуществляющие обработку персональных данных по
поручению Лечебного центра, обязуются соблюдать принципы и правила обработки и защиты
персональных данных, предусмотренные Федеральным законом №152-ФЗ «О персональных
данных». Для каждого третьего лица в договоре (поручении) определяется перечень действий
(операций) с персональными данными, которые будут совершаться лицом, осуществляющим
обработку персональных данных, цели обработки, устанавливается обязанность такого лица
соблюдать конфиденциальность и обеспечивать безопасность персональных данных при их
обработке, также указываются требования к защите обрабатываемых персональных данных.
5. ПРАВА ГРАЖДАН В ЧАСТИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Гражданин, персональные данные которого обрабатываются Клиникой, имеет право:
- получать от Лечебного центра подтверждения факта обработки его персональных данных
Лечебного центра, сведения о правовых основаниях и целях обработки персональных данных, о
применяемых способах обработки персональных данных, о наименовании и местонахождении
Лечебного центра, о лицах (за исключением работников), которые имеют доступ к персональным данным
или которым могут быть раскрыты персональные данные на основании договора с Лечебным центром или
на основании федерального закона, о перечне обрабатываемых персональных данных,
относящихся к гражданину, и информацию об источниках их получения, о сроках обработки
персональных данных, в том числе сроках их хранения, о наименовании и адресе лица,
осуществляющего обработку персональных данных по поручению Лечебного центра, о порядке
осуществления гражданином прав, предусмотренных Федеральным законом №152-ФЗ «О
персональных данных», иные сведения, предусмотренные Федеральным законом №152- ФЗ «О
персональных данных» или другими федеральными законами;
- требовать уточнения своих персональных данных, их блокирования или уничтожения в
случае, если персональные данные являются неполными, устаревшими, неточными, незаконно
полученными или не являются необходимыми для заявленной цели обработки;
-отозвать свое
согласие на обработку персональных данных;
- требовать устранения неправомерных действий в отношении его персональных данных;
- обжаловать действия или бездействия Лечебного центра в Федеральную службу по надзору в сфере
связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном
порядке в случае, если гражданин считает, что Лечебный центр осуществляет обработку его персональных
данных с нарушением требований Федерального закона №152-ФЗ «О персональных данных» или
иным образом нарушает его права и свободы;
- на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или
компенсацию морального вреда в судебном порядке.
6. СВЕДЕНИЯ О РЕАЛИЗУЕМЫХ МЕРАХ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ
ДАННЫХ
Лечебный центр при обработке персональных данных принимает необходимые правовые,
организационные и технические меры для защиты персональных данных от неправомерного или
случайного доступа к ним, уничтожения, изменения, блокирования, копирования,
предоставления, распространения персональных данных, а также от иных неправомерных
действий в отношении персональных данных. К таким мерам, в соответствии ст. 18.1 и 19
Федерального закона №152-ФЗ «О персональных данных», в частности, относятся:
- назначение лица, ответственного за организацию обработки персональных данных, и лиц,
ответственных за обеспечение безопасности персональных данных;
- разработка и утверждение локальных актов по вопросам обработки и защиты персональных
данных;
- применение правовых, организационных и технических мер по обеспечению
безопасности персональных данных: определение угроз безопасности персональных данных
при их обработке в информационных системах персональных данных;
- применение организационных и технических мер по обеспечению безопасности
персональных данных при их обработке в информационных системах персональных данных,
необходимых для выполнения требований к защите персональных данных, исполнение которых
обеспечивает установленные уровни защищенности персональных данных;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных
данных до ввода в эксплуатацию информационных систем персональных данных;
- обнаружение фактов несанкционированного доступа к персональным данным и принятие
мер;
- восстановление персональных данных, модифицированных или уничтоженных вследствие
несанкционированного доступа к ним;
- установление правил доступа к персональным данным, обрабатываемым в информационных
системах персональных данных, а также обеспечением регистрации и учета всех действий,
совершаемых с персональными данными в информационных системах персональных данных;
- осуществление внутреннего контроля и/или аудита соответствия обработки персональных
данных Федеральному закону №152-ФЗ «О персональных данных», подзаконным нормативным
актам и локальным актам Клиники;
- оценка вреда, который может быть причинен гражданам в случае нарушения Федерального
закона №152-ФЗ «О персональных данных», соотношение указанного вреда и принимаемых
Лечебным центром мер, направленных на обеспечение выполнения обязанностей, предусмотренных
Федеральным законом № 152-ФЗ «О персональных данных»;
- соблюдение условий, исключающих несанкционированный доступ к материальным носителям
персональных данных и обеспечивающих сохранность персональных данных;
- ознакомление работников Лечебного центра, непосредственно осуществляющих обработку
персональных данных, с положениями законодательства Российской Федерации о персональных
данных, в том числе с требованиями к защите персональных данных, локальными актами по
вопросам обработки и защиты персональных данных, и обучение работников Лечебного центра.
ч.1 ст.13.11 КоАП Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных.
ч.2 ст.13.11 КоАП Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных.
ч.3 ст.13.11 КоАП Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных.
ч.4 ст.13.11 КоАП Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных
ч.5 ст.13.11 КоАП Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки
ч.6 ст.13.11 КоАП Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния.
ч.7 ст.13.11 КоАП Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных.
7. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
Настоящая Политика является общедоступным документом и размещается на сайте Клиники по
адресу http://on-ona.ru/. Пересмотр положений настоящей Политики проводится
периодически не реже чем 1 раз в год, а также в следующих случаях:
- при изменении законодательства Российской Федерации в области обработки и защиты
персональных данных;
- при изменении целей обработки персональных данных, структуры информационных
и/или телекоммуникационных систем (или введении новых);
- при вводе в действие новых технологий обработки персональных данных (в т. ч. передачи,
хранения);
- при появлении необходимости в изменении процесса обработки персональных данных;
- по результатам контроля выполнения требований по обработке и защите персональных
данных;
- по решению руководства Лечебного центра. В случае неисполнения положений настоящей
Политики Лечебный центр несет ответственность в соответствии действующим законодательством
Российской Федерации.
8. КОНТАКТНАЯ ИНФОРМАЦИЯ
Граждане, чьи персональные данные обрабатываются Лечебным центром, могут направлять вопросы по
обработке своих персональных данных в Лечебный центр по следующим адресам:
Электронная почта: Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.
Почтовый адрес: г. Самара, ул. Авроры, д.122-181
При этом в тексте запроса в целях идентификации гражданина необходимо указать:
- фамилию, имя, отчество гражданина или его законного представителя, осуществляющего
запрос;
- номер основного документа, удостоверяющего личность гражданина (или его законного
представителя), сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие в отношениях с Клиникой (например, номер
договора, фамилию, имя, отчество пациента), либо сведения, иным способом подтверждающие
факт обработки персональных данных Лечебным центром;
- подпись гражданина (или его законного представителя). Если запрос отправляется в
электронном виде, то он должен быть оформлен в виде электронного документа и подписан
электронной подписью в соответствии с законодательством Российской Федерации.