Политика ООО «КЛИНИКА МЕДЛАЙН-ПРЕМЬЕР» в отношении обработки персональных данных
1. Общие положения
Основные понятия, используемые в Политике общества с ограниченной ответственностью «КЛИНИКА МЕДЛАЙН-ПРЕМЬЕР» (далее – ООО «КЛИНИКА МЕДЛАЙН-ПРЕМЬЕР», Клиника) в отношении обработки персональных данных (далее - Политика):
- персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В рамках настоящего документа под оператором подразумевается ООО «КЛИНИКА МЕДЛАЙН-ПРЕМЬЕР»;
- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
- безопасность персональных данных - состояние защищенности персональных данных, при котором обеспечены их конфиденциальность, доступность и целостность;
- конфиденциальность персональных данных - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;
- целостность персональных данных - состояние персональных данных, при котором отсутствует любое их изменение либо изменение осуществляется только преднамеренно оператором, имеющим на это право.
- доступность персональных данных - состояние персональных данных, при котором субъекты, имеющие права доступа к персональным данным, могут реализовать беспрепятственно это право.
Согласно действующему законодательству Российской Федерации ООО «КЛИНИКА МЕДЛАЙН-ПРЕМЬЕР» для достижения целей своей деятельности имеет право осуществлять обработку персональных данных как оператор персональных данных.
При обработке персональных данных ООО «КЛИНИКА МЕДЛАЙН-ПРЕМЬЕР» обязуется:
- соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
- принимать необходимые правовые, организационные и технические меры, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- соблюдать безопасность, в том числе конфиденциальность персональных данных.
Согласно действующему законодательству Российской Федерации субъект персональных данных имеет право:
- на получение информации, касающейся обработки его персональных данных;
- требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2. Сведения об операторе персональных данных
Наименование: Общество с ограниченной ответственностью «КЛИНИКА МЕДЛАЙН-ПРЕМЬЕР»
ИНН: 2801245461
Адрес: 675000, Амурская область, г.Благовещенск, ул. Ленина, 130
Телефон: 8 (4162) 59-77-77
Эл. почта: ldcmedline@bk.ru
Адрес сайта: https://medline.su
3. Цели сбора персональных данных
Обработка персональных данных ООО «КЛИНИКА МЕДЛАЙН-ПРЕМЬЕР» ограничивается достижением конкретных, заранее определенных и законных целей.
Целями сбора и обработки персональных данных исходя из осуществляемой деятельности являются:
- осуществление медицинской деятельности и связанных с нею действий;
- осуществление трудовых отношений и иных непосредственно связанных с ними отношений;
- осуществление хозяйственной, закупочной и прочих видов деятельности, направленных на обеспечение функционирования организации;
- популяризация оказываемых услуг на сайте ООО «КЛИНИКА МЕДЛАЙН-ПРЕМЬЕР» https://medline.su (осуществляется сбор статистики о посетителях веб-сайта, посредством интернет-сервисов Yandex.Metrika и Google Analytics).
4. Правовые основания обработки персональных данных
- Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Клиника осуществляет обработку персональных данных.
- Основными правовыми актами и документами на основании которых Клиника осуществляет обработку персональных данных являются:
- Гражданский кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Трудовой кодекс Российской Федерации» от 30.12.2001 № 197-ФЗ;
- Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
- Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
- Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
- Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;
- Постановление Правительства РФ от 11.05.2023 № 736 «Об утверждении Правил предоставления медицинскими организациями платных медицинских услуг»;
- Постановление Правительства РФ от 09.02.2022 № 140 «О единой государственной информационной системе в сфере здравоохранения»;
- Постановление Правительства РФ от 12.04.2018 № 447 «Об утверждении Правил взаимодействия иных информационных систем, предназначенных для сбора, хранения, обработки и предоставления информации, касающейся деятельности медицинских организаций и предоставляемых ими услуг, с информационными системами в сфере здравоохранения и медицинскими организациями»;
- Устав ООО «КЛИНИКА МЕДЛАЙН-ПРЕМЬЕР», утвержденный 08.11.2018;
- договоры, заключаемые между Клиникой и юридическими лицами, индивидуальными предпринимателями;
- договоры, заключаемые между Клиникой и субъектами персональных данных;
- согласия субъектов персональных данных на обработку персональных данных (в том числе в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям Клиники).
5. Объем и категории обрабатываемых персональных данных,
категории субъектов персональных данных
Содержание и объем собираемых и обрабатываемых Клиникой персональных данных соответствуют заявленным целям обработки. Клиника не осуществляет сбор и обработку персональных данных являющихся избыточными по отношению к заявленным целям их обработки.
В рамках осуществления медицинской деятельности Клиника обрабатывает специальные категории персональных данных – сведения о состоянии здоровья. Сбор и обработка других видов специальных категорий персональных данных не осуществляется.
В рамках своей деятельности Клиника не обрабатывает биометрические категории персональных данных.
В Клинике существляется обработка общедоступных персональных данных. Персональные данные становятся общедоступными исключительно на основании согласия на это субъекта персональных данных.
В Клинике не осуществляется обезличивание персональных данных.
К категориям субъектов персональных данных, чьи персональные данные обрабатываются Клиникой относятся:
- работники Клиники, бывшие работники, кандидаты на замещение вакантных должностей, родственники работников, а также их уполномоченные представители;
- клиенты (пациенты) Клиники, а также их уполномоченные представители;
- представители организаций контрагентов Клиники (юридических лиц, индивидуальных предпринимателей, самозанятые граждане).
Объем обрабатываемых персональных данных – менее 100 тыс. субъектов персональных данных.
6. Порядок и условия обработки персональных данных
Клиника, в рамках своей деятельности, осуществляет обработку персональных данных с использованием средств автоматизации или без использования таких средств. Обработка персональных данных включает: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
В соответствии с действующим законодательством Российской Федерации, нормативными актами Министерства здравоохранения Российской Федерации и других ведомств, договорами, в рамках достижения целей обработки персональных данных Клиника осуществляет передачу персональных данных третьим лицам:
1) с целью осуществления медицинской деятельности:
- одному из родителей или иному законному представителю несовершеннолетнего в случае оказания ему медицинской помощи (с целью информирования);
- медицинским организациям, в целях проведения медицинского обследования и лечения пациента, который в результате своего состояния не способен выразить свою волю;
- медицинским организациям, медицинскую информацию в том числе размещенную в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований законодательства РФ о персональных данных;
- участникам системы обязательного медицинского страхования (в ТФОМС Амурской области и страховые медицинские организации) с целью осуществления взаимных расчетов за оказанную медицинскую помощь в рамках обязательного медицинского страхования;
- в Единую государственную информационную систему в сфере здравоохранения;
- уполномоченным исполнительным органам государственной власти при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;
2) с целью информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий;
3) с целью проведения расследований, судебных разбирательств, исполнения уголовного наказания и/или осуществлением контроля, надзора:
- органам дознания, следствия, суда и иным уполномоченным органам по запросу и по основаниям, предусмотренным действующим законодательством Российской Федерации;
- уполномоченным федеральным органам исполнительной власти, в целях осуществления контроля за исполнением лицами, признанными больными наркоманией либо потребляющими наркотические средства или психотропные вещества без назначения врача, либо новые потенциально опасные психоактивные вещества, возложенной на них при назначении административного наказания судом обязанности пройти лечение от наркомании, диагностику, профилактические мероприятия и (или) медицинскую реабилитацию;
4) с целью осуществления трудовых отношений и иных непосредственно связанных с ними отношений:
- Управление Федеральной налоговой службы по Амурской области;
- Отделение фонда пенсионного и социального страхования Российской Федерации по Амурской области;
- военные комиссариаты.
5) с целью осуществления хозяйственной, закупочной и прочих видов деятельности, направленных на обеспечение функционирования организации, могут распространяться персональные данные содержащиеся в договорах, доверенностях, списках контактных данных специалистов по закупкам и материально ответственных лиц.
В соответствии с ч. 1 п. 7 ст. 79 Федерального закона от 21.11.2022 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» и приказа Минздрава Российской Федерации от 30.12.2014 № 956н «Об информации, необходимой для проведения независимой оценки качества оказания услуг медицинскими организациями, и требованиях к содержанию и форме предоставления информации о деятельности медицинских организаций, размещаемой на официальных сайтах Министерства здравоохранения Российской Федерации, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и медицинских организаций в информационно-телекоммуникационной сети «Интернет» Клиника, на основании письменного согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, размещает на своем официальном сайте сведения (персональные данные) о врачах Клиники, для проведения независимой оценки качества оказания услуг.
Передача Клиникой персональных данных за пределы Российской Федерации (трансграничная передача) не осуществляется.
Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации Клиникой не осуществляется.
Принятие решений на основании исключительно автоматизированной обработки персональных данных, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы Клиникой не осуществляется.
При сборе персональных данных Клиника, в соответствии с ч. 5 ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных, находящихся на территории Российской Федерации.
Клиника соблюдает требования конфиденциальности персональных данных, установленных ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральными законами.
С целью обеспечения безопасности персональных данных (обеспечения конфиденциальности, целостности и доступности персональных данных) Клиника соблюдает правовые меры и принимает организационные и технические меры, предусмотренные ст. 18.1 и ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Обеспечение Клиникой безопасности персональных данных достигается:
- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных;
- учетом машинных носителей персональных данных;
- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;
- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
- оценкой вреда, который может быть причинен субъектам персональных данных в случае нарушения безопасности персональных данных, соотношение указанного вреда и принимаемых мер;
- ознакомлением работников Клиники, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Клиники в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучением указанных работников;
- прекращением обработки персональных данных вследствие достижения целей обработки персональных данных, истечения срока действия согласия или отзыва согласия субъекта персональных данных на обработку его персональных данных, а также выявление факта неправомерной обработки персональных данных;
- хранением персональных данных в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
Сотрудники Клиники, виновные в нарушении порядка обращения с персональными данными, несут персональную дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.
7. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
В соответствии со ст. 20 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», при обращении субъекта персональных данных или его законного представителя, Клиника, на безвозмездной основе, предоставляет им информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставляет субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. Клиника имеет право, отказать в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя, при этом предоставив мотивированный ответ, содержащий ссылку на положение ч.8 ст.14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа.
Реализация прав субъектов персональных данных на получение информации, касающейся обработки его персональных данных осуществляется в соответствии с «Правилами рассмотрения запросов субъектов персональных данных», утвержденных в Клиники.
В случае выявления неправомерной обработки персональных данных при обращении либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных Клиника осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Клиника осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных Клиника на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязана уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Клиники) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
В случае выявления неправомерной обработки персональных данных, осуществляемой Клиникой или лицом, действующим по поручению Клиники, Клиника, не превышающий трех рабочих дней с даты этого выявления, обязана прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Клиники. В случае, если обеспечить правомерность обработки персональных данных невозможно, Клиника в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязано уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Клиника обязана уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации, а обработка прекращается, соответственно.
При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
- Клиника не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных от 27.07.2006 № 152-ФЗ «О персональных данных» или иными федеральными законами;
- иное не предусмотрено иным соглашением между Клиникой и субъектом персональных данных.
8. Заключительные положения.
Настоящая Политика утверждается главным врачом ООО «КЛИНИКА МЕДЛАЙН-ПРЕМЬЕР».
Политика обязательна для соблюдения всеми сотрудниками Клиники и подлежит доведению до всех сотрудников и заинтересованных лиц, и опубликованию на официальном сайте Клиники.
Контроль за соблюдением Политики осуществляет ответственный за организацию обработки персональных данных в Клинике.