Политика конфиденциальности
Политика обработки персональных данных в ООО «Честная медицина» 1. Общие положения Настоящая Политика в отношении обработки персональных данных (далее – Политика) составлена в соответствии с п. 2 ст. 18.1 Федерального закона № 152-ФЗ от 27 июля 2006 года «О персональных данных» и является основополагающим внутренним нормативным документом медицинской организации ООО «Честная медицина» (далее – Клиника), определяющим ключевые направления его деятельности в области обработки и защиты персональных данных, оператором которых является Клиника. Политика разработана в целях реализации требований законодательства РФ в области обработки и защиты персональных данных и направлена на обеспечение защиты прав и свобод человека при обработке его персональных данных в Клинике, в том числе защиты прав на неприкосновенность частной жизни, личной, семейной и врачебной тайн. Положения Политики распространяются на отношения, возникающие при обработке и защите персональных данных, полученных Клиникой как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите персональных данных, полученных до ее утверждения. Обработка персональных данных в Клинике осуществляется в связи с выполнением Клиникой функций, предусмотренных ее учредительными документами, и определяемых:
● Федеральным законом № 152-ФЗ от 27 июля 2006 года «О персональных данных» (далее – закон о персональных данных)
● Федеральным законом от 21 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»
● Трудовым кодексом Российской Федерации
● Налоговым кодексом Российской Федерации
● Правилами предоставления медицинскими организациями платных медицинских услуг, утвержденными Постановлением Правительства Российской Федерации от 4 октября 2012 г. № 1006
● Постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
● Постановлением Правительства РФ от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
● иными нормативными правовыми актами Российской Федерации
● иными локальными нормативными актами Кроме того, обработка Персональных данных в Клинике осуществляется в ходе трудовых и иных непосредственно связанных с ними отношений, в которых Клиника выступает в качестве работодателя глава 14 Трудового кодекса Российской Федерации), в связи с реализацией Клиникой своих прав и обязанностей как юридического лица. Клиника не осуществляет трансграничную передачу персональных данных. Ответственным за обеспечение безопасности персональных данных является генеральный директор Клиники. На время его отсутствия данную функцию может исполнять работник Клиники, которому в соответствии с локальными нормативными актами предоставлено право подписи документов от имени Клиники. Ответственным за организацию обработку персональных данных является генеральный директор Клиники. На время его отсутствия данную функцию может исполнять работник Клиники, которому в соответствии с локальными нормативными актами предоставлено право подписи документов от имени Клиники. Электронная версия Политики размещается на сайте Клинике в сети Интернет по адресу http://www.yourmed-clinic.ru 2. Термины и сокращения В целях настоящей Политики используются следующие термины и сокращения: Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому на основании такой информации физическому лицу Субъект персональных данных — физическое лицо Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных Уполномоченный орган — Уполномоченный орган по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям закона «О персональных данных» Федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных) Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники Информационная система персональных данных (ИСПД) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств Пациент — физическое лицо, которому оказывается медицинская помощь или которое обратилось за оказанием медицинской помощи независимо от наличия у него заболевания и от его состояния Медицинская деятельность — профессиональная деятельность по оказанию медицинской помощи, проведению медицинских экспертиз, медицинских осмотров и медицинских освидетельствований, санитарно-противоэпидемических (профилактических) мероприятий и профессиональная деятельность, связанная с трансплантацией (пересадкой) органов и (или) тканей, обращением донорской крови и (или) ее компонентов в медицинских целях Лечащий врач — врач, на которого возложены функции по организации и непосредственному оказанию пациенту медицинской помощи в период наблюдения за ним и его лечения 3. Принципы обеспечения безопасности персональных данных Основной задачей обеспечения безопасности персональных данных при их обработке в Клинике является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения персональных данных, разрушения (уничтожения) или искажения их в процессе обработки. Для обеспечения безопасности персональных данных Клиника руководствуется следующими принципами:
законность защита персональных данных основывается на положениях законодательства Российской Федерации, методических документах уполномоченного органа и министерства здравоохранения Российской Федерации
системность обработка персональных данных в Клинике осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности персональных данных
комплексность защита персональных данных строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах Клиники и других имеющихся в Клинике систем и средств защиты
непрерывность защита персональных данных обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки персональных данных, в том числе при проведении ремонтных и регламентных работ
своевременность меры, обеспечивающие надлежащий уровень безопасности персональных данных, принимаются до начала их обработки
преемственность и непрерывность совершенствования модернизация и наращивание мер и средств защиты персональных данных осуществляется на основании результатов анализа практики обработки персональных данных в Клинике с учетом выявления новых способов и средств реализации угроз безопасности персональных данных, отечественного и зарубежного опыта в сфере защиты информации
персональная ответственность ответственность за обеспечение безопасности персональных данных возлагается на работников Клиники в пределах их обязанностей, связанных с обработкой и защитой персональных данных;
минимизация прав доступа доступ к персональных данных предоставляется работникам клиники в объеме, необходимом для выполнения их должностных обязанностей
гибкость обеспечение выполнения функций защиты персональных данных при изменении характеристик функционирования информационных систем персональных данных Клиники, а также объема и состава обрабатываемых персональных данных;
специализация и профессионализм реализация мер по обеспечению безопасности персональных данных осуществляются работниками Клиники, имеющими необходимые для этого квалификацию и опыт
эффективность процедур отбора кадров кадровая политика Клиники предусматривает тщательный подбор персонала и мотивацию работников Клиники, позволяющую исключить или минимизировать возможность нарушения ими безопасности персональных данных;
наблюдаемость и прозрачность меры по обеспечению безопасности персональных данных должны быть спланированы так, чтобы результаты их применения были явно наблюдаемы (прозрачны) и могли быть оценены лицами, осуществляющими контроль обработки персональных данных
непрерывность контроля и оценки Клиникой устанавливаются процедуры постоянного контроля использования систем обработки и защиты персональных данных, а результаты контроля регулярно анализируются. В Клинике не производится обработка Персональных данных, несовместимая с целями их сбора. Если иное не предусмотрено федеральным законом, по окончании обработки Персональных данных в Клинике, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, обрабатывавшиеся Клиникой персональные данные уничтожаются или обезличиваются. При обработке персональных данных обеспечиваются их точность, достаточности актуальность по отношению к целям обработки. Клиника принимает необходимые меры по удалению или уточнению неполных или неточных персональных данных. 4. Персональные данные, обрабатываемые в Клинике Общая информация о персональных данных, обрабатываемых в Клинике, фиксируется в Перечне персональных данных, содержащем следующие сведения:
● цели обработки персональных данных
● перечень сведений, составляющих персональные данные
● категории субъектов персональных данных
● сроки обработки персональных данных. Перечень персональных данных:
● пересматривается не реже одного раза в год
● ведется ответственным за организацию обработки персональных данных в бумажном и электронном виде
● утверждается генеральным директором Клиники
● публикуется в установленном порядке на выделенном общедоступном ресурсе Клиники В Клинике обрабатываются:
● персональные данные, полученные при осуществлении трудовых отношений
● персональные данные, полученные для осуществления отбора кандидатов на работу в Клинику
● персональные данные, полученные при осуществлении гражданско-правовых отношений
● персональные данные, полученные при оказании медицинской помощи населению
● Полный список Персональных данных представлен в Перечне Персональных данных, утвержденном генеральным директором Клиники. В Клинике обрабатываются персональные данные следующих субъектов персональных данных:
● физические лица, состоящие с учреждением в трудовых отношениях
● физические лица, являющие близкими родственниками сотрудников учреждения
● физические лица, уволившиеся из учреждения
● физические лица, являющиеся кандидатами на работу
● физические лица, состоящие с учреждением в гражданско- правовых отношениях;
● пациенты
● законные представители пациентов. 5. Цели обработки персональных данных Клиника обрабатывает Персональных данных в следующих целях:
● обеспечение организации оказания медицинской помощи населению, а также наиболее полного исполнения обязательств и компетенций в соответствии с:
● Федеральным законом от 21 ноября 2011г № 323-ФЗ «Об основах охраны здоровья граждан Российской Федерации»
● Правилами предоставления медицинскими организациями платных медицинских услуг, утвержденными Постановлением Правительства Российской Федерации от 4 октября 2012 г. № 1006
● осуществление трудовых отношений
● осуществление гражданско-правовых отношений 6. Сроки обработки персональных данных Сроки обработки персональных данных в Клинике, в общем случае, определяются в соответствии со следующими сроками:
● срок действия договоров с субъектами персональных данных
● сроки, установленные Приказом Министерства культуры Российской Федерации от 25 августа 2010 г. № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения»
● сроки, установленные Приказом Росархива от 06 октября 2000 г. «Об утверждении перечня типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения»
● сроки, установленные Постановлением ФКЦБ РФ от 16 июля 2003 г.№ 03-33/ пс «Об утверждении Положения о порядке и сроках хранения документов акционерных обществ»
● сроки, установленные иными требованиями и положениями внутренних нормативных документов Клиники 7. Обработка персональных данных Обработка персональных данных осуществляется:
● при наличии согласия субъекта персональных данных / законного представителя субъекта персональных данных на обработку персональных данных субъекта
● в случаях, когда обработка персональных данных необходима для осуществления и выполнения обязанностей, возложенных на Клинику законодательством Российской Федерации
● в случаях, когда осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных / законным представителем персональных данных либо по его просьбе (далее – общедоступные персональных данных). Обработка персональных данных включает в себя такие действия как:
● сбор
● систематизация
● накопление
● хранение
● уточнение
● использование
● распространение, в том числе передача третьим лицам
● обезличивание
● блокирование
● уничтожение Обработка персональных данных в Клинике осуществляется следующими способами:
● без использования средств автоматизации
● с использованием средств вычислительной техники
● смешанным способом Клиника обеспечивает конфиденциальность персональных данных, при осуществлении обработки за исключением:
● обработки обезличенных персональных данных
● обработки общедоступных персональных данных. Персональные данные, полученные Клиникой до проведения идентификации субъекта персональных данных в установленном законодательством порядке, считаются обезличенными. Сбор персональных данных осуществляется Клиникой:
● при осуществлении трудовых отношений — непосредственно от субъекта персональных данных
● при отборе кандидатов на работу в Клинике — непосредственно от субъекта персональных данных или третьих лиц
● при оказании медицинской помощи пациентам старше 15 — непосредственно от субъекта персональных данных
● при оказании медицинской помощи пациентам моложе 15 лет — от законного представителя субъекта персональных данных Клиника информирует субъекта персональных данных / законного представителя субъекта персональных данных о:
● целях обработки персональных данных
● предполагаемых источниках и способах получения персональных данных
● характере подлежащих получению персональных данных,
● перечне действий с персональными данными
● сроке, в течение которого действует согласие на обработку персональных данных, и о порядке его отзыва ● о последствиях отказа субъекта персональных данных / законного представителя персональных данных дать письменное согласие на их обработку Текст согласия на обработку персональных данных пациентов включается в договоры об оказании платной медицинской помощи. Документы, содержащие Персональных данных, создаются путем:
● копирования оригиналов документов (паспорт, свидетельство о рождении, документы об образовании и профессиональной подготовке, свидетельство ИНН, пенсионное свидетельство и др.)
● внесения сведений в учетные формы
● получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.) Порядок доступа субъекта персональных данных / законного представителя субъекта персональных данных к персональным данным субъекта персональных данных, обрабатываемым Клиникой, определяется в соответствии с законодательством Российской Федерации и определяется локальными нормативными документами Клиники. Накопление и хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Хранение персональных данных, в том числе материальных носителей персональных данных, осуществляется в порядке, обеспечивающем невозможность несанкционированного доступа к ним. Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах, либо в запираемых помещениях с ограниченным правом доступа. Доступ работников Клиники к обрабатываемым в Клинике персональным данных осуществляется в соответствии с их должностными обязанностями и требованиями внутренних нормативных документов Клиники. Допущенные к обработке персональных данных работники Клиники под роспись знакомятся с внутренними нормативными документами Клиники, устанавливающими порядок обработки персональных данных, включая документы, устанавливающие права и обязанности конкретных работников Клиники. Уточнение персональных данных осуществляется Клиникой:
● по собственной инициативе при предоставлении субъектом персональных / его законным представителем актуальных персональных данных в рамках заключения и исполнения договоров;
● по требованию субъекта персональных данных / его законного представителя / Уполномоченного органа в случае выявления факта обработки Клиникой неполных / устаревших / недостоверных персональные данных субъекта персональных данных. Распространение персональных данных осуществляется Клиникой: ● при исполнении договора, заключенного с субъектом персональных данных / его законным представителем, направленного на достижение цели обработки персональных данных
● в случаях, предусмотренных законодательством Российской Федерации В вышеуказанных случаях согласие субъекта персональных данных на обработку его персональных данных не требуется. Передача персональных данных осуществляется в порядке, обеспечивающем конфиденциальность передаваемой информации. В случае поручения Клиникой обработки персональных данных другому лицу на основании договора / соглашения, обязательным условием договора / соглашения является обязанность обеспечения указанным лицом конфиденциальности и безопасности персональных данных при их передаче. Клиника передает персональных данных третьим лицам в следующих случаях: субъект персональных данных / законный представитель субъекта персональных данных выразил свое согласие на такие действия передача персональных данных предусмотрена российским законодательством в рамках установленной законодательством процедуры Клиника передает персональные данные следующим третьим лицам:
● Пенсионный фонд РФ для учета пенсионных отчислений (на законных основаниях)
● Федеральная налоговая служба Российской Федерации для учета налоговых отчислений (на законных основаниях)
● Фонд социального страхования Российской Федерации (на законных основаниях)
● банковские учреждения для зачисления заработной платы на счета для расчетов по банковским картам (на основании договора)
● судебные и правоохранительные органы в случаях, установленных законодательством Российской Федерации Блокирование персональных данных осуществляется Клиникой в случае выявления факта обработки в Клинике недостоверных / устаревших персональных данных или неправомерных действий с ними до момента их уточнения / уничтожения / обезличивания:
● по собственной инициативе;
● по требованию субъекта персональных данных / его законного представителя / Уполномоченного органа. Блокирование персональных данных субъекта персональных данных осуществляется на безвозмездной основе. Уничтожение персональных данных осуществляется Клиникой:
● по собственной инициативе по достижении целей обработки персональных данных и в случае утраты необходимости в их достижении, а также целях обеспечения законности при обработке персональных данных и устранения факторов, влекущих или могущих повлечь неправомерные действия с персональными данными
● по требованию субъекта персональных данных / его законного представителя / Уполномоченного органа в случае выявления фактов совершения Клиникой неправомерных действий с персональными данными, когда устранить соответствующие нарушения не представляется возможным. Уничтожение документов (носителей), содержащих персональные данных, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя. Уничтожение персональных данных, в том числе материальных носителей персональных данных, осуществляется на основании решения специальной комиссии, состав которой определяется Ответственным за обработку персональных данных. Факт уничтожения персональных данных подтверждается документально актом об уничтожении носителей, подписанным членами такой комиссии. Уничтожение персональных данных субъекта персональных данных осуществляется на безвозмездной основе. Обезличивание персональных данных персональных данных осуществляется Клиникой:
● по собственной инициативе в целях дальнейшей статистической обработки
● по требованию субъекта персональных данных / его законного представителя / Уполномоченного органа при технологической невозможности уничтожения персональных данных в информационной системе Клиники. Обезличивание персональных данных, в том числе хранящихся на бумажных носителях, осуществляется на основании решения специальной комиссии, состав которой определяется Ответственным за обработку персональных данных. На персональные данные, находящиеся в архиве Клиники, действие закона о персональных данных не распространяется. Детальный порядок архивного хранения персональных данных, в том числе доступа к архивам персональных данных, регламентируется отдельными внутренними нормативными документами. 8. Защита персональных данных Клиникой создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД. Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с работниками Клиники, партнерами и сторонними лицами, защиты информации в открытой печати, публикаторской и рекламной деятельности, аналитической работы. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту персональных данных. Основными мерами защиты персональных данных, используемыми Клиникой, являются:
● назначение лица ответственного за обработку персональных данных, которое осуществляет организацию обработки персональных данных, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите персональных данных
● определение актуальных угроз безопасности персональных данных при их обработке в ИСПД, и разработка мер и мероприятий по защите персональных данных разработка политики в отношении обработки персональных данных
● установление правил доступа к персональных данных, обрабатываемым в ИСПД, а также обеспечения регистрации и учета всех действий, совершаемых с Персональных данных в ИСПД
● установление индивидуальных паролей доступа работников Клинике в информационную систему в соответствии с их производственными обязанностями
● применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, учет машинных носителей персональных данных, обеспечение их сохранности
● сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами
● сертифицированное программное средство защиты информации от несанкционированного доступа
● сертифицированные межсетевой экран и средство обнаружения вторжения
● соблюдение условий, обеспечивающих сохранность персональных данных и исключающие несанкционированный к ним доступ, оценка эффективности принимаемых и реализованных мер по обеспечению безопасности персональных данных
● установление правил доступа к обрабатываемым персональным данным, обеспечение регистрации и учета действий, совершаемых с персональными данными, а также обнаружение фактов несанкционированного доступа к персональным данным и принятия мер
● восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
● обучение работников Клиники непосредственно осуществляющих обработку персональных данных, положениям законодательства Российской Федерации о персональных данных, в том числе требованиям к защите персональных данных, документами, определяющими политику Клиники в отношении обработки персональных данных, нормативным актам по вопросам обработки персональных данных;
● осуществление внутреннего контроля и аудита. 9. Основные права субъекта персональных данных Субъект персональных данных / законный представитель субъекта персональных данных имеет право на получение информации, касающейся обработки персональных данных субъекта персональных данных, в том числе содержащей:
● подтверждение факта обработки Клиникой персональных данных
● правовые основания и цели обработки персональных данных в Клинике
● цели обработки персональных данных
● информацию и применяемых Клиникой способах обработки персональных данных
● наименование и место нахождения Клиники, сведения о лицах (за исключением работников Клиники), которые имеют доступ к персональным данным или которым могут быть раскрыты на основании договора с Клиникой или на основании законодательства Российской Федерации
● сроки обработки персональных данных, в том числе сроки их хранения
● порядок осуществления субъектом персональных данных прав, предусмотренных законом «О персональных данных»;
● наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Клиники, если обработка поручена или будет поручена такому лицу
● иные сведения, предусмотренные законом о персональных данных или другими федеральными законами. Субъект персональных данных / законный представитель персональных данных вправе требовать от Клинки уточнения персональных данных субъекта персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом о персональных данных меры по защите своих прав. 10. Основные обязанности Клиники при обработке персональных данных Клиника обязана:
● при сборе персональных данных предоставить информацию субъекту персональных данных / законному представителю субъекта персональных данных об обработке собираемых персональных данных;
● при отказе в предоставлении персональных данных разъяснить субъекту персональных данных / законному представителю субъекта персональных данных последствия такого отказа
● опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему политику Клиники в отношении обработки персональных данных
● принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных а также от иных неправомерных действий в отношении персональных данных
● обрабатывать обращения субъектов персональных данных / законных представителей субъектов персональных данных в установленном законодательством порядке
● обрабатывать обращения уполномоченного органа в установленном законодательством порядке