1. Основные понятия, термины, определения и сокращения
Для целей настоящей политики используются следующие основные понятия:
1.1. Персональные данные - любая информация, относящаяся к определенному или определяемому, на основании такой информации, физическому или юридическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация.
1.2. Субъект - физическое или юридическое лицо, по которому проводится сбор информации, включающей персональные данные.
1.3. Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
1.4. Информационная система персональных данных (далее - ИСПДн) - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
1.5. Обработка персональных данных без использования средств автоматизации (неавтоматизированная) - обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
1.6. Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным, получившим доступ к персональным данным, лицом требование не допускать их распространение без согласия субъекта персональных данных.
1.7. Оператор – государственный, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных.
1.8. Уполномоченное оператором лицо – лицо, которому на основании договора оператор поручает обработку персональных данных.
1.9. Общество – ООО «Халва-Профи»
1.10. Клиенты - физические или юридические лица, с которыми у Общества установлены в настоящее время или были установлены гражданско-правовые отношения, либо которые своими действиями выражают намерение установить такие отношения.
1.11. Посетители – физические лица, в отношении которых осуществляются мероприятия по контролю доступа на защищаемые объекты доступа Общества.
1.12. Сотрудники – штатные Работники Общества, с которыми заключен трудовой договор с ООО «Халва-Профи».
Перечень обрабатываемых персональных данных, подлежащих защите в ООО «Халва-Профи», формируется в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», Уставом и внутренними нормативными документами Общества.
1.13. Используемые сокращения
- ИСПДн - информационная система персональных данных
- ПДн - персональные данные клиентов.
1.14. Специальные категории ПДн
Запрещается обрабатывать ПДн о политических, религиозных и философских убеждениях, а также об интимной жизни клиента Общества. Указанные специальные категории ПДн в деятельности Общества не используются и не обрабатываются.
Общество не вправе производить обработку данных о судимости клиента, за исключением в случаях и в порядке, которые определяются в соответствии с Федеральными законами.
Данные о здоровье обрабатываются только в том случае, если эти данные прямо относятся к возможности Клиента исполнять свои обязательства перед Обществом либо используются в целях исполнения требований действующего законодательства, например, в соответствии с законодательством о транспортной безопасности, обязательных видов страхования, со страховым законодательством.
Сведения о расовой и национальной принадлежности Клиентов общества не обрабатываются. Фотографии, находящиеся в документах, удостоверяющих личность клиента Общества, и иные аналогичные данные не относятся к сведениям о расовой и национальной принадлежности. В случае, если обработка специальных категорий ПДн Клиента Общества необходима по действующему законодательству или для осуществления деятельности Общества, обработка осуществляется с письменного согласия клиента, за исключением случаев, предусмотренных законодательством Российской Федерации в области ПДн.
1.15. Биометрические ПДн
Общество не обрабатывает сведения, которые характеризуют физиологические особенности клиентов и на основе которых можно установить их личность. В соответствии с требованиями ГОСТ Р ИСО/МЭК 19794-5-2006 «автоматическая идентификация". Идентификация биометрическая. Данные изображения лица» система охранного видеонаблюдения, используемая в Обществе, не обрабатывает биометрические ПДн, на основании которых, возможно идентифицировать личность клиента Общества.
Сканирование фотографий в документах, идентифицирующих личность клиентов (например, паспорт, водительские права, удостоверения личности, удостоверение врача, удостоверение пенсионера и ветерана труда, инвалида) в обществе не осуществляется. Передаваемые в рамках договоров копии документов клиентов не соответствуют требованиям, предъявляемым к форматам записи изображения, установленным ГОСТ Р ИСО/МЭК 19794-5-2006.
В случае обработки биометрических ПДн клиента Общества, необходимой по действующему законодательству или для осуществления деятельности Общества, то такая обработка осуществляется с письменного согласия клиента, за исключением случаев, предусмотренных законодательством Российской Федерации в области ПДн.
1.16. Общедоступные ПДн
В целях информационного обеспечения могут создаваться общественные общедоступные источники ПДн (в том числе справочники, адресные книги). В общедоступные источники ПДн с письменного согласия клиента могут включаться его фамилия, имя, отчество, год и место рождения, адрес, включая адрес электронной почты, клиентский номер,IP-адрес, сведения о профессии и иные ПДн, сообщаемые субъектом ПДн или находящиеся в Перечне ПДн.
Сведения о клиенте Общества должны быть в любое время исключены из общедоступных источников ПДн по запросу клиента либо по решению суда или иных уполномоченных государственных органов. В случае обработки общедоступных ПДн клиента обязанность доказывания того, что обрабатываемые ПДн являются общедоступными, возлагается на общество.
2. Общие положения
2.1. Настоящий документ определяет политику ООО «Халва-Профи» в отношении обработки персональных данных клиентов – представителей физических и юридических лиц, которые могут быть получены от субъекта либо представителя субъекта персональных данных, являющегося стороной по гражданско-правовому договору с обществом, либо от юридического лица, вступившего с ООО «Халва-Профи» в гражданско – правовые отношения, от субъекта персональных данных, являющегося посетителем ООО «Халва-Профи».
2.2 Настоящая Политика устанавливает требования к обеспечению безопасности персональных данных при их обработке в ИСПДн, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием и без использования средств автоматизации в ООО «Халва-Профи».
2.3. Настоящая Политика в отношении персональных данных разработана в соответствии с частью 2 статьи 18.1 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
Политика конфиденциальности ООО «Халва-Профи» определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
2.4. Действие политики распространяется на все персональные данные субъектов, обрабатываемые ООО «Халва-Профи» с применением средств автоматизации и без применения таких средств.
2.5. Для регламентирования процедур и процессов обработки ПДн ООО «Халва-Профи» вправе издавать внутренние нормативные документы, содержащие требования по защите и порядку обработки ПДн.
2.6. Настоящая политика вводится в действие приказом директора ООО «Халва-Профи».
3. Условия обработки персональных данных
3.1. Условия обработки персональных данных ООО «Халва-Профи» подготовлены на основании:
- Постановления Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановления Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
3.2. Обработка персональных данных в ООО «Халва-Профи» осуществляется на основе принципов:
- законности целей и способов обработки ПДн;
- соответствия целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн, а также полномочиям Общества;
- соответствия объема и характера обрабатываемых ПДн, способов обработки ПДн, целям обработки ПДн;
- достоверности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн;
- недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем ПДн.
3.3. хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели их обработки.
3.4. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.5. Субъект ПДн является собственником своих ПДн и самостоятельно решает вопрос передачи Обществу своих ПДн.
3.6. Держателем ПДн является Общество, которому субъект ПДн передает во владение свои ПДн. Общество выполняет функцию владения этими данными и обладает полномочиями распоряжения ими в пределах, установленных законодательством.
3.7. Обработка ПДн клиентов осуществляется с их согласия, также в иных случаях, предусмотренных частью 2 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Согласие на обработку ПДн может быть дано клиентом или его законным представителем в любой, позволяющей подтвердить факт его получения, форме, если иное не установлено федеральным законом. В случае получения согласия на обработку ПДн от представителя - клиента полномочия данного представителя проверяются Обществом. Форма согласия может быть в письменной, конклюдентной или иной форме, предусмотренной действующим законодательством. При недееспособности клиента письменное согласие на обработку его ПДн дает его законный представитель.
3.8. Конклюдентная форма согласия.
В соответствии со статьей 158 Гражданского кодекса Российской Федерации конклюдентное или подразумеваемое согласие – это действия лица, выражающие его волю установить правоотношение (например, совершить сделку), но не в форме устного или письменного волеизъявления, а поведением, по которому можно сделать заключение о таком намерении. Клиенты Общества дают конклюдентное согласие на обработку их ПДн, в том числе в следующих случаях: заполнение «Книги отзывов и предложений», заполнение анкет, в том числе на Web-сайте Общества.
Цель обработки
Предоставление информации об услугах, которые могут представлять интерес Обществу: исследование индекса удовлетворенности потребителей качеством предоставляемых услуг, рейтинговая оценка сотрудников.
При этом обрабатываются ПДн: фамилия, имя, отчество, телефон, адрес электронной почты клиента.
3.9. Общество вправе выступать агентом по обработке персональных данных по поручению Оператора – юридического лица на основании заключенного с Оператором договора. В данных конкретных случаях Оператором являются страховые компании (ДМС). Общество, при осуществлении обработки ПДн по поручению оператора, обязано выполнять требования Оператора и соблюдать принципы и правила обработки ПДн, предусмотренные Федеральным законом «О персональных данных» и не обязательно получать согласие субъекта ПДн на обработку его ПДн.
4. Цели и сроки обработки персональных данных
4.1. Общество обрабатывает ПДн с целью осуществления возложенных на Общество законодательством Российской Федерации функций в соответствии с (в том числе, но, не ограничиваясь) Гражданским кодексом Российской Федерации, Налоговым кодексом Российской Федерации, федеральными законами, в частности, «О правах потребителей», «О персональных данных», «О бухгалтерском учете», «О противодействии легализации (отмыванию) доходов, полученных нелегальным преступным путем, и финансированию терроризма», принятыми в их исполнение нормативными актами Правительства России, проведения маркетинговых мероприятий для установления и дальнейшего укрепления отношений путем прямых контактов с клиентом, проведение статистической обработки ПДн для оценки удовлетворенности клиентом качеством и уровнем оказания услуг и в иных целях, в рамках действующего законодательства.
4.2. Общество собирает ПДн в объеме, необходимом для достижения названных целей, допускаются иные цели, если они не противоречат действующему законодательству, но только с письменного согласия клиента.
4.3. Сроки обработки персональных данных определяются в соответствии со сроком действия гражданско – правовых отношений между субъектом ПДн и Обществом, сроком исковой давности, сроками, указанными в согласии субъекта ПДн, установленными приказами. Приказом Минкультуры РФ от 25.08.2010 №558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», а также иными требованиями законодательства РФ и нормативными документами Общества.
4.4. В Обществе создаются и хранятся документы, содержащие сведения о субъектах ПДн. Требования к использованию в Обществе данных типовых форм документов установлены Постановлением Правительства РФ от 15.09.2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
5. Права и обязанности
5.1. Обязанности Общества:
- предоставлять субъекту ПДн по его запросу информацию, касающуюся обработки его ПДН либо, на законных основаниях, предоставить отказ;
- по требованию субъекта ПДн уточнять обрабатываемые персональные данные, блокировать или удалять, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- вести Журнал учета обращений субъектов ПДн, в котором должны фиксироваться запросы субъекта ПДн на получение информации о ПДн, а также факты предоставления ПДн по этим запросам;
- уведомлять субъекта ПДн об обработке ПДн в том случае, если ПДн были получены не от субъекта ПДн;
- в случае достижения цели обработки ПДн, незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено законодательством Российской Федерации, и уведомить об этом субъекта ПДн или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган;
- в случае отзыва субъектом ПДн согласия на обработку своих ПДн, прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено соглашением между Обществом и субъектом ПДн, либо требованиями законодательства Российской Федерации;
- уведомить субъекта ПДн об уничтожении его ПДн;
- в случае поступления требования субъекта о прекращении обработки ПДн в целях продвижения товаров, работ, услуг на рынке немедленно прекратить обработку персональных данных;
- представлять ПДн субъектов государственным и иным уполномоченным органам, если это предусмотрено действующим законодательством РФ (налоговые, правоохранительные органы и др.);
- обрабатывать ПДн субъекта без его согласия, в случаях, предусмотренных законодательством РФ.
5.2. Права и обязанности субъекта персональных данных
Субъект персональных данных имеет право:
- требовать уничтожения своих персональных данных, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- требовать перечень своих ПДн, обрабатываемых Обществом и источник их получения;
- получать информацию о сроках обработки ПДн, в том числе о сроках их хранения;
- требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;
-на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
6. Меры по обеспечению безопасности персональных данных при их обработке
6.1. При обработке ПДн Общество принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, копирования, блокирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении персональных данных;
6.2. Обеспечение безопасности ПДн достигается:
- определением угроз безопасности ПДн при их обработке в информационных системах ПДн;
- применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы ПДн;
- учетом машинных носителей ПДн;
- обнаружением фактов несанкционированного доступа к ПДн и принятием мер по исключению в дальнейшем такого доступа;
- восстановлением ПДн, модифицированных или уничтоженных, вследствие несанкционированного доступа к ним;
- установлением правил доступа к персональным данным, обрабатываемым в информационной системе ПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в информационной системе ПДн;
- контролем принимаемых мер по обеспечению безопасности ПДн и уровня защищенности информационных систем ПДн.
7. Заключительные положения
7.1. Настоящая политика является общедоступной и подлежит размещению на территории Общества и на интернет – сайте ООО «Халва-Профи» https://stomatologia-vprofi.ru , с указанием даты введения.
7.2. Настоящая политика подлежит изменению, дополнению, в случае внесения изменений в действующие законодательные акты, при издании новых законодательных актов и нормативных документов по обработке и защите персональных данных.
7.3 Контроль исполнения требований настоящей политики осуществляется главным врачом, ответственным за организацию обработки персональных данных Общества.
7.4. Ответственность должностных лиц Общества, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации, и внутренними документами Общества.
Приложение 1
к положению по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных ООО «Халва-Профи».
СОГЛАСИЕ на обработку персональных данных
Я, нижеподписавший(ая)ся __________________________________________________,
Проживающий(ая) по адресу (по месту регистрации)_______________________________________________
паспорт_____________№___________________ дата выдачи___________________________ название выдавшего органа _________________________________________________, в соответствии с требованиями статьи 9 федерального закона от 27.07.06 г. «О персональных данных» № 152-ФЗ, подтверждаю своё согласие на обработку ООО «Халва-Профи» моих персональных данных включающих фамилию, имя, отчество, пол, дату рождения, адрес места жительства, контактный(е) телефон(ы), реквизиты полиса ОМС (ДМС), страховой номер индивидуального лицевого счёта в Пенсионном фонде России (СНИЛС), данные о состоянии моего здоровья, заболеваниях, случаях обращения за медицинской помощью — в медико-профилактических целях, в целях установления медицинского диагноза и оказания медицинских услуг при условии, что их обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну. В процессе оказания Оператором мне медицинской помощи я предоставляю право медицинским работникам передавать мои персональные данные, содержащие сведения, составляющие врачебную тайну, другим должностным лицам Оператора, в интересах моего обследования и лечения.
Я уведомлен(а), что в ООО «Халва-Профи» ведется Аудио-видео наблюдение в целях безопасности пациентов и сотрудников клиники «V Profi» от несанкционированного проникновения, нападения, различных видов посягательств на честь, достоинство и жизнь граждан. Аудио-видео наблюдение ведется в холле регистратуры, в зале, в лечебных кабинетах. В санитарных комнатах Аудио-видео наблюдение не ведется. В лечебных кабинетах аудио – видео наблюдение ведется со стороны спины пациента, тем самым, не затрагивая интимную зону лечения (полость рта). Допуск к ауди-видео информации наблюдению имеет только Директор ООО «Халва-Профи» Халтуриной В.Г. с учетом секретности обрабатываемой информации.
Подписывая данный документ, я выражаю этим свое согласие на аудио – видео наблюдение, съемку, фиксацию, обработку информации директором клиники_________________________________________________________________
__________________________ _____________________(Ф.И.О., роспись)
Предоставляю Оператору право осуществлять все действия (операции) с моими персональными данными, включая сбор, систематизацию, накопление, хранение, обновление, изменение, использование, обезличивание, блокирование, уничтожение. Оператор вправе обрабатывать мои персональные данные посредством внесения их в электронную базу данных, включения в списки (реестры) и отчетные формы, предусмотренные документами, регламентирующими предоставление отчетных данных (документов) по ОМС (договором ДМС).
Оператор имеет право во исполнение своих обязательств по работе в системе ОМС (по договору ДМС) на обмен (прием и передачу) моими персональными данными со страховой медицинской организацией_____________________________ и Территориальным фондом ОМС с использованием машинных носителей или по каналам связи с соблюдением мер, обеспечивающих их защиту от несанкционированного доступа, при условии, что их прием и обработка будут осуществляться лицом, обязанным сохранять профессиональную тайну.
Срок хранения моих персональных данных соответствует сроку хранения первичных медицинских документов (медицинской карты) и составляет двадцать пять лет.
Передача моих персональных данных иным лицам или иное их разглашение может осуществляться только с моего письменного согласия.
Настоящее согласие мной и действует с «______»_________________ 20____г. бессрочно.
Я оставляю за собой право отозвать свое согласие посредством составления соответствующего письменного документа, который может быть направлен мной в адрес Оператора по почте заказным письмом с уведомлением о вручении либо вручен лично под расписку представителю Оператора.
В случае получения моего письменного заявления об отзыве настоящего согласия на обработку персональных данных Оператор обязан прекратить их обработку в течение периода времени, необходимого для завершения взаиморасчетов по оплате оказанной мне до этого медицинской помощи.
Контактный(е)телефон(ы) ______________________________________________________
Почтовый адрес______________________________________________________________
_________________________________________________________________________
Подпись субъекта персональных данных _______________________________________________________________
___________________________________________________________________(Ф.И.О.)
Для целей настоящей политики используются следующие основные понятия:
1.1. Персональные данные - любая информация, относящаяся к определенному или определяемому, на основании такой информации, физическому или юридическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация.
1.2. Субъект - физическое или юридическое лицо, по которому проводится сбор информации, включающей персональные данные.
1.3. Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
1.4. Информационная система персональных данных (далее - ИСПДн) - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
1.5. Обработка персональных данных без использования средств автоматизации (неавтоматизированная) - обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
1.6. Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным, получившим доступ к персональным данным, лицом требование не допускать их распространение без согласия субъекта персональных данных.
1.7. Оператор – государственный, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных.
1.8. Уполномоченное оператором лицо – лицо, которому на основании договора оператор поручает обработку персональных данных.
1.9. Общество – ООО «Халва-Профи»
1.10. Клиенты - физические или юридические лица, с которыми у Общества установлены в настоящее время или были установлены гражданско-правовые отношения, либо которые своими действиями выражают намерение установить такие отношения.
1.11. Посетители – физические лица, в отношении которых осуществляются мероприятия по контролю доступа на защищаемые объекты доступа Общества.
1.12. Сотрудники – штатные Работники Общества, с которыми заключен трудовой договор с ООО «Халва-Профи».
Перечень обрабатываемых персональных данных, подлежащих защите в ООО «Халва-Профи», формируется в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», Уставом и внутренними нормативными документами Общества.
1.13. Используемые сокращения
- ИСПДн - информационная система персональных данных
- ПДн - персональные данные клиентов.
1.14. Специальные категории ПДн
Запрещается обрабатывать ПДн о политических, религиозных и философских убеждениях, а также об интимной жизни клиента Общества. Указанные специальные категории ПДн в деятельности Общества не используются и не обрабатываются.
Общество не вправе производить обработку данных о судимости клиента, за исключением в случаях и в порядке, которые определяются в соответствии с Федеральными законами.
Данные о здоровье обрабатываются только в том случае, если эти данные прямо относятся к возможности Клиента исполнять свои обязательства перед Обществом либо используются в целях исполнения требований действующего законодательства, например, в соответствии с законодательством о транспортной безопасности, обязательных видов страхования, со страховым законодательством.
Сведения о расовой и национальной принадлежности Клиентов общества не обрабатываются. Фотографии, находящиеся в документах, удостоверяющих личность клиента Общества, и иные аналогичные данные не относятся к сведениям о расовой и национальной принадлежности. В случае, если обработка специальных категорий ПДн Клиента Общества необходима по действующему законодательству или для осуществления деятельности Общества, обработка осуществляется с письменного согласия клиента, за исключением случаев, предусмотренных законодательством Российской Федерации в области ПДн.
1.15. Биометрические ПДн
Общество не обрабатывает сведения, которые характеризуют физиологические особенности клиентов и на основе которых можно установить их личность. В соответствии с требованиями ГОСТ Р ИСО/МЭК 19794-5-2006 «автоматическая идентификация". Идентификация биометрическая. Данные изображения лица» система охранного видеонаблюдения, используемая в Обществе, не обрабатывает биометрические ПДн, на основании которых, возможно идентифицировать личность клиента Общества.
Сканирование фотографий в документах, идентифицирующих личность клиентов (например, паспорт, водительские права, удостоверения личности, удостоверение врача, удостоверение пенсионера и ветерана труда, инвалида) в обществе не осуществляется. Передаваемые в рамках договоров копии документов клиентов не соответствуют требованиям, предъявляемым к форматам записи изображения, установленным ГОСТ Р ИСО/МЭК 19794-5-2006.
В случае обработки биометрических ПДн клиента Общества, необходимой по действующему законодательству или для осуществления деятельности Общества, то такая обработка осуществляется с письменного согласия клиента, за исключением случаев, предусмотренных законодательством Российской Федерации в области ПДн.
1.16. Общедоступные ПДн
В целях информационного обеспечения могут создаваться общественные общедоступные источники ПДн (в том числе справочники, адресные книги). В общедоступные источники ПДн с письменного согласия клиента могут включаться его фамилия, имя, отчество, год и место рождения, адрес, включая адрес электронной почты, клиентский номер,IP-адрес, сведения о профессии и иные ПДн, сообщаемые субъектом ПДн или находящиеся в Перечне ПДн.
Сведения о клиенте Общества должны быть в любое время исключены из общедоступных источников ПДн по запросу клиента либо по решению суда или иных уполномоченных государственных органов. В случае обработки общедоступных ПДн клиента обязанность доказывания того, что обрабатываемые ПДн являются общедоступными, возлагается на общество.
2. Общие положения
2.1. Настоящий документ определяет политику ООО «Халва-Профи» в отношении обработки персональных данных клиентов – представителей физических и юридических лиц, которые могут быть получены от субъекта либо представителя субъекта персональных данных, являющегося стороной по гражданско-правовому договору с обществом, либо от юридического лица, вступившего с ООО «Халва-Профи» в гражданско – правовые отношения, от субъекта персональных данных, являющегося посетителем ООО «Халва-Профи».
2.2 Настоящая Политика устанавливает требования к обеспечению безопасности персональных данных при их обработке в ИСПДн, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием и без использования средств автоматизации в ООО «Халва-Профи».
2.3. Настоящая Политика в отношении персональных данных разработана в соответствии с частью 2 статьи 18.1 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
Политика конфиденциальности ООО «Халва-Профи» определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
2.4. Действие политики распространяется на все персональные данные субъектов, обрабатываемые ООО «Халва-Профи» с применением средств автоматизации и без применения таких средств.
2.5. Для регламентирования процедур и процессов обработки ПДн ООО «Халва-Профи» вправе издавать внутренние нормативные документы, содержащие требования по защите и порядку обработки ПДн.
2.6. Настоящая политика вводится в действие приказом директора ООО «Халва-Профи».
3. Условия обработки персональных данных
3.1. Условия обработки персональных данных ООО «Халва-Профи» подготовлены на основании:
- Постановления Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановления Правительства Российской Федерации от 17 ноября 2007 года № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
3.2. Обработка персональных данных в ООО «Халва-Профи» осуществляется на основе принципов:
- законности целей и способов обработки ПДн;
- соответствия целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн, а также полномочиям Общества;
- соответствия объема и характера обрабатываемых ПДн, способов обработки ПДн, целям обработки ПДн;
- достоверности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн;
- недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем ПДн.
3.3. хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели их обработки.
3.4. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.5. Субъект ПДн является собственником своих ПДн и самостоятельно решает вопрос передачи Обществу своих ПДн.
3.6. Держателем ПДн является Общество, которому субъект ПДн передает во владение свои ПДн. Общество выполняет функцию владения этими данными и обладает полномочиями распоряжения ими в пределах, установленных законодательством.
3.7. Обработка ПДн клиентов осуществляется с их согласия, также в иных случаях, предусмотренных частью 2 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Согласие на обработку ПДн может быть дано клиентом или его законным представителем в любой, позволяющей подтвердить факт его получения, форме, если иное не установлено федеральным законом. В случае получения согласия на обработку ПДн от представителя - клиента полномочия данного представителя проверяются Обществом. Форма согласия может быть в письменной, конклюдентной или иной форме, предусмотренной действующим законодательством. При недееспособности клиента письменное согласие на обработку его ПДн дает его законный представитель.
3.8. Конклюдентная форма согласия.
В соответствии со статьей 158 Гражданского кодекса Российской Федерации конклюдентное или подразумеваемое согласие – это действия лица, выражающие его волю установить правоотношение (например, совершить сделку), но не в форме устного или письменного волеизъявления, а поведением, по которому можно сделать заключение о таком намерении. Клиенты Общества дают конклюдентное согласие на обработку их ПДн, в том числе в следующих случаях: заполнение «Книги отзывов и предложений», заполнение анкет, в том числе на Web-сайте Общества.
Цель обработки
Предоставление информации об услугах, которые могут представлять интерес Обществу: исследование индекса удовлетворенности потребителей качеством предоставляемых услуг, рейтинговая оценка сотрудников.
При этом обрабатываются ПДн: фамилия, имя, отчество, телефон, адрес электронной почты клиента.
3.9. Общество вправе выступать агентом по обработке персональных данных по поручению Оператора – юридического лица на основании заключенного с Оператором договора. В данных конкретных случаях Оператором являются страховые компании (ДМС). Общество, при осуществлении обработки ПДн по поручению оператора, обязано выполнять требования Оператора и соблюдать принципы и правила обработки ПДн, предусмотренные Федеральным законом «О персональных данных» и не обязательно получать согласие субъекта ПДн на обработку его ПДн.
4. Цели и сроки обработки персональных данных
4.1. Общество обрабатывает ПДн с целью осуществления возложенных на Общество законодательством Российской Федерации функций в соответствии с (в том числе, но, не ограничиваясь) Гражданским кодексом Российской Федерации, Налоговым кодексом Российской Федерации, федеральными законами, в частности, «О правах потребителей», «О персональных данных», «О бухгалтерском учете», «О противодействии легализации (отмыванию) доходов, полученных нелегальным преступным путем, и финансированию терроризма», принятыми в их исполнение нормативными актами Правительства России, проведения маркетинговых мероприятий для установления и дальнейшего укрепления отношений путем прямых контактов с клиентом, проведение статистической обработки ПДн для оценки удовлетворенности клиентом качеством и уровнем оказания услуг и в иных целях, в рамках действующего законодательства.
4.2. Общество собирает ПДн в объеме, необходимом для достижения названных целей, допускаются иные цели, если они не противоречат действующему законодательству, но только с письменного согласия клиента.
4.3. Сроки обработки персональных данных определяются в соответствии со сроком действия гражданско – правовых отношений между субъектом ПДн и Обществом, сроком исковой давности, сроками, указанными в согласии субъекта ПДн, установленными приказами. Приказом Минкультуры РФ от 25.08.2010 №558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», а также иными требованиями законодательства РФ и нормативными документами Общества.
4.4. В Обществе создаются и хранятся документы, содержащие сведения о субъектах ПДн. Требования к использованию в Обществе данных типовых форм документов установлены Постановлением Правительства РФ от 15.09.2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
5. Права и обязанности
5.1. Обязанности Общества:
- предоставлять субъекту ПДн по его запросу информацию, касающуюся обработки его ПДН либо, на законных основаниях, предоставить отказ;
- по требованию субъекта ПДн уточнять обрабатываемые персональные данные, блокировать или удалять, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- вести Журнал учета обращений субъектов ПДн, в котором должны фиксироваться запросы субъекта ПДн на получение информации о ПДн, а также факты предоставления ПДн по этим запросам;
- уведомлять субъекта ПДн об обработке ПДн в том случае, если ПДн были получены не от субъекта ПДн;
- в случае достижения цели обработки ПДн, незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено законодательством Российской Федерации, и уведомить об этом субъекта ПДн или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган;
- в случае отзыва субъектом ПДн согласия на обработку своих ПДн, прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено соглашением между Обществом и субъектом ПДн, либо требованиями законодательства Российской Федерации;
- уведомить субъекта ПДн об уничтожении его ПДн;
- в случае поступления требования субъекта о прекращении обработки ПДн в целях продвижения товаров, работ, услуг на рынке немедленно прекратить обработку персональных данных;
- представлять ПДн субъектов государственным и иным уполномоченным органам, если это предусмотрено действующим законодательством РФ (налоговые, правоохранительные органы и др.);
- обрабатывать ПДн субъекта без его согласия, в случаях, предусмотренных законодательством РФ.
5.2. Права и обязанности субъекта персональных данных
Субъект персональных данных имеет право:
- требовать уничтожения своих персональных данных, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- требовать перечень своих ПДн, обрабатываемых Обществом и источник их получения;
- получать информацию о сроках обработки ПДн, в том числе о сроках их хранения;
- требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;
-на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
6. Меры по обеспечению безопасности персональных данных при их обработке
6.1. При обработке ПДн Общество принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, копирования, блокирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении персональных данных;
6.2. Обеспечение безопасности ПДн достигается:
- определением угроз безопасности ПДн при их обработке в информационных системах ПДн;
- применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы ПДн;
- учетом машинных носителей ПДн;
- обнаружением фактов несанкционированного доступа к ПДн и принятием мер по исключению в дальнейшем такого доступа;
- восстановлением ПДн, модифицированных или уничтоженных, вследствие несанкционированного доступа к ним;
- установлением правил доступа к персональным данным, обрабатываемым в информационной системе ПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в информационной системе ПДн;
- контролем принимаемых мер по обеспечению безопасности ПДн и уровня защищенности информационных систем ПДн.
7. Заключительные положения
7.1. Настоящая политика является общедоступной и подлежит размещению на территории Общества и на интернет – сайте ООО «Халва-Профи» https://stomatologia-vprofi.ru , с указанием даты введения.
7.2. Настоящая политика подлежит изменению, дополнению, в случае внесения изменений в действующие законодательные акты, при издании новых законодательных актов и нормативных документов по обработке и защите персональных данных.
7.3 Контроль исполнения требований настоящей политики осуществляется главным врачом, ответственным за организацию обработки персональных данных Общества.
7.4. Ответственность должностных лиц Общества, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации, и внутренними документами Общества.
Приложение 1
к положению по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных ООО «Халва-Профи».
СОГЛАСИЕ на обработку персональных данных
Я, нижеподписавший(ая)ся __________________________________________________,
Проживающий(ая) по адресу (по месту регистрации)_______________________________________________
паспорт_____________№___________________ дата выдачи___________________________ название выдавшего органа _________________________________________________, в соответствии с требованиями статьи 9 федерального закона от 27.07.06 г. «О персональных данных» № 152-ФЗ, подтверждаю своё согласие на обработку ООО «Халва-Профи» моих персональных данных включающих фамилию, имя, отчество, пол, дату рождения, адрес места жительства, контактный(е) телефон(ы), реквизиты полиса ОМС (ДМС), страховой номер индивидуального лицевого счёта в Пенсионном фонде России (СНИЛС), данные о состоянии моего здоровья, заболеваниях, случаях обращения за медицинской помощью — в медико-профилактических целях, в целях установления медицинского диагноза и оказания медицинских услуг при условии, что их обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну. В процессе оказания Оператором мне медицинской помощи я предоставляю право медицинским работникам передавать мои персональные данные, содержащие сведения, составляющие врачебную тайну, другим должностным лицам Оператора, в интересах моего обследования и лечения.
Я уведомлен(а), что в ООО «Халва-Профи» ведется Аудио-видео наблюдение в целях безопасности пациентов и сотрудников клиники «V Profi» от несанкционированного проникновения, нападения, различных видов посягательств на честь, достоинство и жизнь граждан. Аудио-видео наблюдение ведется в холле регистратуры, в зале, в лечебных кабинетах. В санитарных комнатах Аудио-видео наблюдение не ведется. В лечебных кабинетах аудио – видео наблюдение ведется со стороны спины пациента, тем самым, не затрагивая интимную зону лечения (полость рта). Допуск к ауди-видео информации наблюдению имеет только Директор ООО «Халва-Профи» Халтуриной В.Г. с учетом секретности обрабатываемой информации.
Подписывая данный документ, я выражаю этим свое согласие на аудио – видео наблюдение, съемку, фиксацию, обработку информации директором клиники_________________________________________________________________
__________________________ _____________________(Ф.И.О., роспись)
Предоставляю Оператору право осуществлять все действия (операции) с моими персональными данными, включая сбор, систематизацию, накопление, хранение, обновление, изменение, использование, обезличивание, блокирование, уничтожение. Оператор вправе обрабатывать мои персональные данные посредством внесения их в электронную базу данных, включения в списки (реестры) и отчетные формы, предусмотренные документами, регламентирующими предоставление отчетных данных (документов) по ОМС (договором ДМС).
Оператор имеет право во исполнение своих обязательств по работе в системе ОМС (по договору ДМС) на обмен (прием и передачу) моими персональными данными со страховой медицинской организацией_____________________________ и Территориальным фондом ОМС с использованием машинных носителей или по каналам связи с соблюдением мер, обеспечивающих их защиту от несанкционированного доступа, при условии, что их прием и обработка будут осуществляться лицом, обязанным сохранять профессиональную тайну.
Срок хранения моих персональных данных соответствует сроку хранения первичных медицинских документов (медицинской карты) и составляет двадцать пять лет.
Передача моих персональных данных иным лицам или иное их разглашение может осуществляться только с моего письменного согласия.
Настоящее согласие мной и действует с «______»_________________ 20____г. бессрочно.
Я оставляю за собой право отозвать свое согласие посредством составления соответствующего письменного документа, который может быть направлен мной в адрес Оператора по почте заказным письмом с уведомлением о вручении либо вручен лично под расписку представителю Оператора.
В случае получения моего письменного заявления об отзыве настоящего согласия на обработку персональных данных Оператор обязан прекратить их обработку в течение периода времени, необходимого для завершения взаиморасчетов по оплате оказанной мне до этого медицинской помощи.
Контактный(е)телефон(ы) ______________________________________________________
Почтовый адрес______________________________________________________________
_________________________________________________________________________
Подпись субъекта персональных данных _______________________________________________________________
___________________________________________________________________(Ф.И.О.)
