ПОЛИТИКА обработки и защиты персональных данныхОбщества с ограниченной ответственностью «Профиль Медицинский Центр»

ПОЛИТИКА 

обработки и защиты персональных данных

Общества с ограниченной ответственностью «Профиль Медицинский Центр»

1. Общие положения

1.1. Настоящая Политика определяет порядок обработки и защиты персональных данных (далее – ПД) в Обществе с ограниченной ответственностью «Профиль Медицинский Центр» (далее – Общество, Оператор) в соответствии с Конституцией РФ, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о ПД), Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» и иными нормативными правовыми актами.

1.2. Политика опубликована в свободном доступе на официальном сайте Общества в информационно-телекоммуникационной сети «Интернет» по адресу: https://profilmed.ru/privacy-policy/ (далее – Сайт).

1.3. Сведения о ПД субъектов относятся к конфиденциальной информации. Режим конфиденциальности снимается при их обезличивании или в иных случаях, предусмотренных законом.

1.4. Обработка биометрических персональных данных с использованием систем видео-наблюдения осуществляется в соответствии с локальным нормативным актом Общества и имеет целью идентификацию личности только в части предотвращения преступной и террористической деятельности или расследования совершённых противоправных действий.

1.5. Обработка персональных данных при создании фото- и видеоматериалов осуществляется на основании отдельного согласия субъекта. Порядок получения согласий и использования материалов регламентирован внутренними локальными нормативными актами Оператора.

2. Основные понятия

В настоящей Политике используются следующие основные понятия:

– обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных работников ООО «Профиль Медицинский Центр»;

– конфиденциальность персональных данных – операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;

– распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

– использование персональных данных – действия (операции) с персональными данными, совершаемые сотрудником ООО «Профиль Медицинский Центр» в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении работников, пациентов и их законных представителей либо иным образом затрагивающих их права и свободы или права и свободы других лиц;

– блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных сотрудников, в том числе их передачи;

– уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных сотрудников, пациентов и их законных представителей, и (или) в результате которых уничтожаются материальные носители персональных данных сотрудников;

– обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному сотруднику, пациенту и их законным представителям;

– общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия работника, пациента и их законных представителей или на которые в соответствии с федеральными законами не распространяется требование о соблюдении конфиденциальности;

– персональные данные работника – любая информация, относящаяся к прямо или косвенно определенному или определяемому на основании такой информации сотруднику, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая работодателю в связи с трудовыми отношениями;

– информация – сведения (сообщения, данные) независимо от формы их представления;

– Сайт – интернет-ресурс https://profilmed.ru/;

– Cookie (куки-файлы) – небольшие файлы, сохраняемые на устройстве Пользователя для обеспечения работы Сайта, анализа посещаемости.

– Метрические программы (сервисы) – инструменты веб-аналитики (в т.ч. Яндекс.Метрика), используемые для сбора обезличенных данных о действиях посетителей Сайта.

3. Цели, правовые основания и условия обработки персональных данных

Для соблюдения требований ч. 1 ст. 18.1 Закона о ПД Общество определяет для каждой цели обработки следующие условия.

3.1. Цель: Подготовка, заключение и исполнение гражданско-правового договора.

Категории ПД: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, пол, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, СНИЛС, данные документа, удостоверяющего личность (паспорт), данные документа, содержащиеся в свидетельстве о рождении, сведения, собираемые посредством метрических программ; специальные категории персональных данных: сведения о состоянии здоровья; биометрические персональные данные: данные изображения лица, полученные с помощью фото-видео устройств, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных;

Категории субъектов: клиенты (пациенты) — физические лица, являющиеся стороной договора на оказание платных медицинских услуг, выгодоприобретатели по договорам, законные представители.

Правовое основание обработки: 

– обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

– обработка персональных данных необходима для достижения целей, предусмотренных международным договором РФ или законом для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей;

– обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных.

Перечень действий: cбор, запись, систематизация, хранение, уточнение, использование, передача (в рамках ОМС/ДМС, по запросу госорганов), обезличивание, блокирование, удаление, уничтожение. Обработка осуществляется как автоматизированным, так и неавтоматизированным способом.

Способы обработки: смешанная (автоматизированная и неавтоматизированная), с передачей по внутренней сети; с передачей по сети Интернет.

Срок хранения: в течение срока действия договора, а после его исполнения — в течение сроков, установленных законодательством РФ для хранения медицинской документации (для отдельных видов документов — до 75 лет). После истечения сроков хранения данные подлежат уничтожению или обезличиванию.

Порядок уничтожения: уничтожение материальных носителей (бумажных документов) производится с помощью шредера. Удаление электронных данных осуществляется путем безвозвратного стирания информации с использованием программных методов, исключающих возможность восстановления.

3.2. Цель: Ведение кадрового, бухгалтерского, налогового учета.

Категории ПД: фамилия, имя, отчество; дата и место рождения; адрес места жительства и регистрации; данные паспорта (серия, номер, кем и когда выдан); индивидуальный номер налогоплательщика (ИНН); номер страхового свидетельства (СНИЛС); контактный телефон; сведения о доходах; информация об образовании; профессия; семейное положение и сведения о составе семьи; социальное положение; данные свидетельства о рождении ребенка, данные свидетельства о заключении брака, данные свидетельства о расторжении брака, табельный номер, характер работы, вид работы, номер и дата трудового договора, гражданство, знание иностранного языка, сведения о послевузовском профессиональном образовании, интернатуре, ординатуре, стаж, сведения из трудовой книжки и вкладыша, сведения о воинском учете, сведения о приеме и переводах на другую работу (дата, структурное подразделение, должность, тарифная ставка, основание), сведения о повышении квалификации, об аттестации, о профессиональной переподготовке, о наградах, сведения об отпуске, сведения о социальных льготах, на которые работник имеет право в соответствии с законодательством, дополнительные сведения, предусмотренные формой Т-2, основание прекращения трудового договора (увольнения), сведения из медицинской книжки, сведения об инвалидности, сведения о социальных льготах; фотография; контактная информация, другие данные, вносимые в личную карточку работника (форма Т-2) и иные документы, предусмотренные локальными актами и действующим законодательством;

Категории субъектов: Работники,уволенные работники.

Правовое основание: 

– обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

– обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

– осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Перечень действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление доступа), блокирование, удаление, уничтожение.

Способы обработки: смешанная (автоматизированная и неавтоматизированная), с передачей по внутренней сети; с передачей по сети Интернет.

Срок хранения: в течение срока действия трудового договора, а после его исполнения — в течение сроков, установленных законодательством РФ. После истечения сроков хранения данные подлежат уничтожению или обезличиванию.

Порядок уничтожения: уничтожение материальных носителей (бумажных документов) производится с помощью шредера. Удаление электронных данных осуществляется путем безвозвратного стирания информации с использованием программных методов, исключающих возможность восстановления.

3.3. Цель: Подбор персонала (соискателей) на вакантные должности Оператора.

Категории субъектов ПД: фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, пол, адрес электронной почты, номер телефона, гражданство, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации), сведения об образовании.

Категории субъектов: соискатели.

Правовое основание: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

Перечень действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, блокирование, удаление, уничтожение.

Способы обработки: смешанная (автоматизированная и неавтоматизированная), с передачей по внутренней сети; с передачей по сети Интернет.

Срок хранения: персональные данные соискателей хранятся 6 месяцев с момента последнего контакта, после чего подлежат уничтожению, за исключением случаев последующего трудоустройства, когда данные обрабатываются в рамках трудовых отношений.

Порядок уничтожения: уничтожение материальных носителей (бумажных документов) производится с помощью шредера. Удаление электронных данных осуществляется путем безвозвратного стирания информации с использованием программных методов, исключающих возможность восстановления.

3.4. Цель: Обеспечение стабильной работы Сайта и сбор аналитической информации (проведение статистических и аналитических исследований на основе обезличенных данных для улучшения качества работы Сайта, изучения предпочтений пользователей и повышения удобства его использования).

На Сайте Общества используются системы веб-аналитики и метрическая программа Яндекс.Метрика, функционал которых позволяет определять уникального посетителя Сайта, формировать сведения о его предпочтениях и поведении на Сайте, что в соответствии с законодательством и условиями использования таких сервисов является обработкой персональных данных.

Категории ПД: данные, собираемые автоматически с помощью файлов cookie и метрической программы (Яндекс.Метрика): IP-адрес, данные об устройстве и браузере (тип, версия ОС, разрешение экрана), источник перехода на Сайт, пользовательское поведение (просмотры страниц, длительность сессии, клики), параметры сессии, геолокация (определяемая по IP-адресу), идентификатор пользователя.

Категории субъектов: посетители Сайта.

Правовое основание: согласие субъекта ПД. Согласие запрашивается при первом посещении Сайта с помощью всплывающего окна (виджета). Пользователь выражает свое явное, информированное и сознательное согласие путем нажатия соответствующей кнопки «Принять», подтверждая разрешение на использование аналитических cookie-файлов и Метрической программы (Яндекс.Метрика).

Перечень действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (поставщику сервиса), обезличивание, блокирование, удаление, уничтожение.

Способы обработки: автоматизированная обработка данных с передачей по сети Интернет.

Сроки хранения: обработка данных осуществляется в течение срока, установленного политикой сервиса веб-аналитики, с момента получения согласия и до его отзыва.

Порядок уничтожения: вчасти данных, собираемых с помощью сервиса веб-аналитики (Яндекс.Метрика) – эти данные собираются и обрабатываются указанными третьими лицами на их стороне. Оператор не имеет технической возможности напрямую удалить эти данные у третьих лиц. Для отзыва согласия и удаления таких данных субъекту персональных данных необходимо воспользоваться инструментами, предоставляемыми самим этим сервисом: Яндекс.Метрика – возможность отключения сбора данных через настройки браузера (очистка cookie) или с помощью формы обратной связи Яндекса. Способы отзыва согласия на обработку данных метрическими сервисами также могут быть описаны в их Политике конфиденциальности.

Примечание: в части данных, собираемых с помощью сервиса веб-аналитики (Яндекс.Метрика) – эти данные собираются и обрабатываются указанным сервисом на его стороне. Оператор не имеет технической возможности напрямую удалить эти данные у третьих лиц. Для отзыва согласия и удаления таких данных субъекту персональных данных необходимо воспользоваться инструментами, предоставляемыми самим этим сервисом. Возможность отключения сбора данных предоставлена через настройки браузера (очистка cookie) или с помощью формы обратной связи Яндекса. Способы отзыва согласия на обработку данных метрическими сервисами также могут быть описаны в Политике конфиденциальности Оператора.

3.5. Оператор осуществляет обработку персональных данных в иных законных целях в соответствии с законодательством РФ.

4. Условия прекращения обработки персональных данных

4.1. Обработка персональных данных в Обществе прекращается по достижении целей обработки или в случае утраты необходимости в их достижении, если иное не предусмотрено федеральным законом.

4.2. Конкретными условиями прекращения обработки являются:

4.2.1. Для персональных данных пациентов (клиентов):

– истечение установленных законодательством РФ сроков хранения медицинской документации (не менее 5 лет, а для отдельных видов документов – до 75 лет и более).

– отзыв субъектом ПД согласия на обработку, если обработка производилась исключительно на этом основании и сохранение данных более не требуется для исполнения договора или требований закона.

– исполнение договора на оказание медицинских услуг и истечение срока исковой давности по всем возможным взаимным требованиям.

4.2.2. Для персональных данных работников:

– истечение установленных трудовым, налоговым, пенсионным законодательством сроков хранения кадровой и бухгалтерской документации (включая срок до 75 лет для документов долговременного хранения, таких как личные карточки).

– прекращение трудовых отношений и истечение всех связанных сроков хранения, предусмотренных законодательством.

4.2.3. Для персональных данных соискателей:

– истечение 6 (шести) месяцев с момента последнего контакта, если с соискателем не был заключен трудовой договор.

4.2.4. Для данных посетителей Сайта (cookie и метрики):

– отзыв пользователем согласия через настройки браузера или функции виджета.

– окончание срока жизни cookie-файлов.

4.2.5. Общие условия для всех категорий:

– ликвидация (реорганизация) Общества в порядке, установленном законодательством РФ.

– вступление в законную силу судебного акта о прекращении обработки.

4.3. Прекращение обработки означает совершение действий по уничтожению или обезличиванию персональных данных в порядке, предусмотренном внутренними документами Общества (с использованием шредера для бумажных носителей и безвозвратного удаления для электронных).

5. Принципы обработки персональных данных

5.1. Обработка ПД осуществляется на основе принципов:

– законности и справедливости;

– ограничения обработки достижением конкретных, заранее определенных целей;

– соответствия содержания и объема ПД заявленным целям;

– достоверности и достаточности ПД.

– хранения ПД не дольше, чем этого требуют цели обработки.

6. Права субъекта персональных данных

6.1. Субъект ПД имеет право:

– на доступ к своим ПД, их уточнение, блокирование или уничтожение;

– на отзыв согласия на обработку ПД. Отзыв согласия осуществляется путем подачи письменного заявления по адресу Общества. В случае отзыва согласия Общество вправе продолжить обработку ПД при наличии иных законных оснований (исполнение договора, обязанность по закону);

– на защиту своих прав и законных интересов, в том числе в судебном порядке и путем обращения в Роскомнадзор.

7. Требования к защите персональных данных

7.1. Общество принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.

7.2. Организационные меры, принимаемые Обществом, включают:

– назначение ответственного за организацию обработки персональных данных.

– принятие локальных нормативных актов, регламентирующих обработку и защиту ПД.

– определение угроз безопасности персональных данных при их обработке в информационных системах.

– оценку эффективности принимаемых мер по обеспечению безопасности ПД.

– контроль за принимаемыми мерами и уровнем защищенности информационных систем.

– учет машинных носителей персональных данных.

– обнаружение фактов несанкционированного доступа к ПД и принятие мер.

7.3. Технические меры, принимаемые Обществом, включают:

– применение прошедших в установленном порядке оценку соответствия средств защиты информации.

– разграничение и ограничение доступа к ПД, обрабатываемым в информационных системах.

– обеспечение регистрации и учета всех действий, совершаемых с ПД в информационных системах (ведение журналов).

– использование защищенных каналов связи при передаче ПД.

– резервное копирование и восстановление данных.

7.4. Требования к сотрудникам Общества, имеющим доступ к ПД:

7.4.1. Сотрудники обязаны четко знать и строго выполнять правила доступа к информационным системам ПД и соблюдать режим безопасности.

7.4.2. Все сотрудники при приеме на работу и периодически должны быть ознакомлены с настоящей Политикой, должностными инструкциями и иными документами, регламентирующими обработку и защиту ПД.

7.4.3. Сотрудники обязаны обеспечивать сохранность своих уникальных идентификаторов (логинов, паролей, электронных ключей) и не допускать несанкционированного доступа к ним.

7.4.4. При работе с ПД на экране монитора сотрудник обязан исключить возможность их просмотра посторонними лицами. При покидании рабочего места необходимо заблокировать сеанс работы (экран) или выйти из учетной записи.

7.4.5. Сотрудникам запрещается:

– разглашать ПД, ставшие им известными в ходе работы, третьим лицам.

– устанавливать неавторизованное программное обеспечение, подключать личные мобильные устройства и съемные носители информации к рабочим компьютерам, используемым для обработки ПД.

– оставлять без присмотра технические средства, обрабатывающие ПД, особенно в помещениях, доступных посторонним лицам.

7.4.6. Сотрудники обязаны немедленно сообщать ответственному лицу или непосредственному руководителю о любых подозрительных событиях, нарушениях процедур безопасности, утрате носителей информации или попытках несанкционированного доступа к ПД.

7.5. Сотрудники Общества несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность за нарушение требований законодательства и внутренних документов о защите персональных данных.

8. Обработка персональных данных, разрешенных субъектом персональных

данных для распространения

8.1. В целях информирования Пользователей (пациентов) и иных заинтересованных лиц на официальном сайте Общества в информационно-телекоммуникационной сети «Интернет» осуществляется распространение (опубликование) следующих персональных данных работников Общества (врачей и иного медицинского персонала) с их прямого и осознанного согласия: фамилия, имя, отчество, фотография, должность, специализация, сведения об образовании, квалификации и опыте работы. 

8.2. Основанием обработки (распространения) указанных в п. 8.1 персональных данных является отдельное письменное согласие работника, оформленное в строгом соответствии с требованиями статьи 10.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и Приказа Роскомнадзора от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения».

8.3. В указанном согласии работник определяет запреты и условия обработки его персональных данных неограниченным кругом лиц.

8.4. В срок, не позднее трех рабочих дней с момента получения согласия работника, Общество обязано опубликовать на своем Сайте информацию об условиях обработки его персональных данных, а также о наличии запретов и условий на обработку этих данных неограниченным кругом лиц.

8.5. Актуальная информация о наличии согласий работников на распространение их персональных данных, а также об условиях их обработки и установленных запретах, размещена в свободном доступе на Сайте Общества и доступна неограниченному кругу лиц.

9. Контактная информация

9.1. По вопросам обработки ПД обращайтесь:

Адрес: 664081, Россия, г. Иркутск, ул. Байкальская, д. 168.

E-mail: profilmed@mail.ru.

Телефон: +7 (3952) 500-053.

10. Заключительные положения

10.1. Настоящая Политика подлежит корректировке при изменении законодательства и нормативно-правовых актов, по рекомендациям надзорных органов, по результатам проверок в рамках государственного контроля (надзора), а также в целях закрепления наработанной Обществом практики операций с ПД. Новая редакция вступает в силу с момента ее размещения на Сайте.