Политика в отношении обработки персональных данных

1. Общие положения
   1.1. Настоящий документ определяет политику Общества с ограниченной ответственностью «Лазер КС Клиника» (ООО «Лазер КС Клиника») в отношении обработки персональных данных и реализации требований к защите персональных данных в соответствии с требованиями с ч.2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
   1.2. Нормативной базой, регламентирующей положения настоящей Политики, являются ст. 24 Конституции Российской Федерации, Федеральный закон от 27.07.2006 № 152-ФЗ
   «О персональных данных», гл. 14 Трудового кодекса Российской Федерации, постановление Правительства Российской Федерации от 15.09.2008 № 687, положения иных нормативно-правовых актов Российской Федерации в области обработки персональных данных.
   1.3. В настоящей Политике используются следующие основные понятия:
   1.3.1. персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
   1.3.2. оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
   1.3.3. обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
   1.3.4. автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
   1.3.5. распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
   1.3.6. предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
   1.3.7. блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
   1.3.8. уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
   1.3.9. обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
   1.3.10. информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2. Цель и принципы обработки персональных данных
   Целью сбора, обработки, хранения, а так же других действий с персональными данными пациентов является исполнение обязательств компании перед клиентом по договору с ним.
   При обработке персональных данных пациентов Клиника придерживается следующих принципов:
   • соблюдение законности получения, обработки, хранения, а так же других действий с персональными данными;
   • строгое выполнение требований по обеспечению безопасности персональных данных и сведений, составляющих врачебную тайну при их обработке и хранении;
   • обработка персональных данных исключительно с целью исполнения своих обязательств по договору оказания услуг;
   • соблюдение прав субъекта персональных данных на доступ к его персональным данным.
3. Правовые основания обработки персональных данных
   3.1. Обработка персональных данных в Учреждении осуществляется в соответствии со ст. 6 ФЗ от 27.07.2006 № 152 «О персональных данных», Гражданским кодексом (гл. 27-28: Договор об оказании услуг), ст.79 ФЗ от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».
4. Состав персональных данных
   В состав обрабатываемых в ООО «Лазер КС Клиника» персональных данных пациентов могут входить:
   • фамилия, имя, отчество;
   • пол;
   • дата рождения;
   • паспортные данные (для заполнения договора на оказание платных медицинских услуг);
   • адрес проживания;
   • номер телефона;
   • должность и место работы (для выдачи больничных листов);
   • номер ИНН (для оформления справок в налоговую);
   • другая информация, необходимая для правильного проведения и интерпретации медицинских исследований (необходима в некоторых случаях для установки правильных пограничных значений результатов);
   • результаты выполненных медицинских исследований.
5. Сбор (получение) персональных данных
   Персональные данные пациентов ООО «Лазер КС Клиника» получает только лично от пациента или от его законного представителя. Персональные данные пациента могут быть получены с его слов и не проверяются.
6. Обработка персональных данных
   Обработка персональных данных клиентов в ООО «Лазер КС Клиника» происходит как неавтоматизированным, так и автоматизированным способом.
   К обработке персональных данных в компании допускаются только сотрудники прошедшие определенную процедуру допуска, к которой относятся:
   • ознакомление сотрудника с локальными нормативными актами компании (положения, инструкции и т.д.), строго регламентирующими порядок и процедуру работы с персональными данными клиентов;

• получение сотрудником и использование в работе индивидуальных атрибутов доступа к информационным системам компании, содержащим в себе персональные данные клиентов. При этом каждому сотруднику выдаются минимально необходимые для исполнения трудовых обязанностей права на доступ в информационные системы.
Сотрудники, имеющие доступ к персональным данным клиентов, получают только те персональные данные, которые необходимы им для выполнения конкретных трудовых функций.

7. Хранение персональных данных
   Персональные данные пациентов хранятся в бумажном (договор, медицинская карта стоматологического больного) и электронном виде. В электронном виде персональные данные пациентов хранятся в информационных системах персональных данных компании, а так же в архивных копиях баз данных этих систем.
   При хранении персональных данных пациентов соблюдаются организационные и технические меры, обеспечивающие их сохранность и исключающие несанкционированный доступ к ним. К ним относятся:
   • назначение подразделения или сотрудника ответственного за тот или иной способ хранения персональных данных;
   • ограничение физического доступа к местам хранения и носителям;
   • учет всех информационных систем и электронных носителей, а так же архивных копий.
8. Передача персональных данных третьим лицам
   Передача персональных данных третьим лицам возможна в исключительных случаях только с согласия клиента и только с целью исполнения обязанностей перед пациентом в рамках договора оказания услуг, кроме случаев, когда такая обязанность у компании наступает в результате требований федерального законодательства или при поступлении запроса от уполномоченных государственных органов. В данном случае компания ограничивает передачу персональных данных запрошенным объемом. При этом субъекту персональных данных направляется уведомление о факте передачи его персональных данных третьей стороне, если такое возможно.
   Персональные данные пациента (в том числе результаты исследований) могут быть предоставлены родственникам или членам его семьи только с разрешения самого клиента, за исключением случаев, когда передача персональных данных без его согласия допускается действующим законодательством РФ. В качестве такого разрешения может выступать: нотариально заверенная доверенность.
9. Меры по обеспечению безопасности персональных данных при их обработке Обеспечение безопасности персональных данных в компании достигается следующими мерами:
   • ознакомлением работников ООО «Лазер КС Клиника» с требованиями законодательства Российской Федерации о персональных данных и защите информации;
   • назначением должностных лиц ответственных за организацию и проведение работ по защите персональных данных;
   • определением списка лиц, допущенных к работе с персональными данными;
   • разработкой и утверждением локальных нормативных актов компании, регламентирующих порядок обработки персональных данных. Разработкой для администраторов информационных систем рабочих инструкций;
   • реализацией технических мер, снижающих вероятность угроз безопасности персональных данных;
   • проведением периодических проверок состояния защищенности информационных систем компании;

• непрерывным совершенствованием методов и способов обеспечения безопасности персональных данных.

10. Права пациента
    Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
    • подтверждение факта обработки персональных данных;
    • правовые основания и цели обработки персональных данных;
    • цели и применяемые способы обработки персональных данных;
    • сведения о лицах (за исключением сотрудников компании), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора или на основании федерального закона;
    • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;
    • сроки обработки персональных данных, в том числе сроки их хранения;
    • порядок осуществления субъектом персональных данных своих прав;
    • субъект персональных данных вправе требовать уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
    • субъект персональных данных по письменному запросу в ООО «Лазер КС Клиника» может отзывать свое согласие на обработку персональных данных;
    • ООО «Лазер КС Клиника» вправе вносить изменения в настоящую Политику обработки
    персональных данных согласно действующему законодательству.