Безопасность и анонимность

Положение об обработке и защите персональных данных клиента

Общие положения

Цель данного Положения – обеспечение требований защиты прав граждан при обработке их персональных данных.
Персональные данные могут обрабатываться только для целей, непосредственно связанных с деятельностью ООО «МЛДЦ»Лекарь» (далее – Организация), в частности для оказания медицинской помощи гражданам. Организация собирает данные только в объеме, необходимом для достижения названных целей.
Сбор, хранение, использование и распространение, в том числе передача третьим лицам персональных данных без письменного согласия клиента не допускаются.
Режим конфиденциальности персональных данных снимается в случаях обезличивания или включения их в общедоступные источники персональных данных, если иное не определено законом.
Сотрудники Организации, в обязанность которых входит обработка персональных данных Клиента, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.
Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.

Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.

Настоящее положение утверждается директором ООО «МЛДЦ»Лекарь»  является обязательным для исполнения всеми сотрудниками, имеющими доступ к персональным данным Клиента.

Понятие и состав персональных данных

Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

К персональным данным Клиентов, которые обрабатывает Организация, относятся:

  • паспортные данные (фамилия, имя, отчество, место, год и дата рождения, место регистрации, серия, номер паспорта, кем и когда выдан);
  • информация о трудовом стаже (место работы, должность, период работы, период работы, причины увольнения);
  • данные полиса ДМС;
  • состояние здоровья;
  • результаты анализов;
  • результаты медицинского осмотра.
  • иная информация, которую граждане добровольно сообщают о себе.

Принципы обработки персональных данных Клиента

Обработка персональных данных должна осуществляться на основе принципов:

  • законности целей и способов обработки персональных данных и добросовестности;
  • соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Организации;
  • соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
  • достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
  • недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных;
  • уничтожения персональных данных после достижения целей обработки или в случае утраты необходимости в их достижении;
  • личной ответственности сотрудников Организации за сохранность и конфиденциальность персональных данных, а также носителей этой информации;
  • наличие четкой разрешительной системы доступа сотрудников Организации к документам и базам данных, содержащим персональные данные.

Обязанности Организации

В целях обеспечения прав и свобод человека и гражданина Организация при обработке персональных данных Клиента обязана соблюдать следующие общие требования:

  • обработка персональных данных Клиента может осуществляться исключительно в целях оказания законных услуг Клиентам;
  • персональные данные Клиента следует получать у него самого. Если персональные данные клиента возможно получить только у третьей стороны, то клиент должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
  • сотрудники Организации должны сообщить клиентам о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа клиента дать письменное согласие на их получение;
  • организация не имеет права получать и обрабатывать персональные данные Клиента о его расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законом. В частности, Организация вправе обрабатывать указанные персональные данные Клиента только с его письменного согласия.
  • при наличии надлежащим образом оформленного запроса предоставлять Клиенту доступ к его персональным данным.
  • хранение и защита персональных данных Клиента от неправомерного их использования или утраты должна быть обеспечена Организацией за счет ее средств в порядке, установленном законодательством;
  • в случае выявления недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу Клиента либо уполномоченного органа по защите прав субъектов персональных данных Организация обязана осуществить блокирование персональных данных на период проверки.
  • в случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных Клиентом либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование.
  • в случае достижения цели обработки персональных данных Организация обязана незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней, и уведомить об этом Клиента, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган;
  • в случае отзыва Клиентом согласия на обработку своих персональных данных Организация обязана прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней, если иное не предусмотрено соглашением между Организацией и Клиентом. Об уничтожении персональных данных Организация обязана уведомить Клиента.

Права Клиента

  • Право на доступ к информации о самом себе.
  • Право на определение форм и способов обработки персональных данных.
  • Право на отзыв согласия на обработку персональных данных.
  • Право ограничивать способы и формы обработки персональных данных, запрет на распространение персональных данных без его согласия.
  • Право требовать изменение, уточнение, уничтожение информации о самом себе.
  • Право обжаловать неправомерные действия или бездействия по обработке персональных данных и требовать соответствующей компенсации в суде.
  • Право определять представителей для защиты своих персональных данных.
  • Право требовать от Организации уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные Клиента, обо всех произведенных в них изменениях или исключениях из них.

Сбор, обработка и хранение персональных данных

Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Порядок получения персональных данных.

Все персональные данные Клиента следует получать у него самого после предоставления им письменного согласия. Письменное согласие включает в себя:

  • фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование (фамилию, имя, отчество) и адрес Организации, получающей согласие Клиента;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие Клиента;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Организацией способов обработки персональных данных;
  • срок, в течение которого действует согласие, а также порядок его отзыва.

Согласие не требуется, если

-        обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

-        обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);

-        обработка персональных данных необходима для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", для обеспечения предоставления такой услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг;

-        обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

-        обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

-        обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

-        обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

-        обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;

-        осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);

-        осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе следующую информацию:

  • подтверждение факта обработки персональных данных Организации, а также цель такой обработки;
  • способы обработки персональных данных, применяемые Организацией;
  • сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
  • перечень обрабатываемых персональных данных и источник их получения;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

Если персональные данные о Клиенте возможно получить только у третьей стороны, то Клиенту должна быть предоставлена следующая информация:

  • наименование (фамилия, имя, отчество) и адрес Организации;
  • цель обработки персональных данных и ее правовое основание;
  • предполагаемые пользователи персональных данных;
  • установленные Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» права субъекта персональных данных.

Организация не имеет права получать и обрабатывать персональные данные Клиента о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, за исключением случаев, предусмотренных законом. В частности, Организация вправе обрабатывать указанные персональные данные Клиента только с его письменного согласия.

Организация не вправе производить обработку данных о судимости Клиента.

 

Обработка, передача и хранение персональных данных Клиента

К обработке, передаче и хранению персональных данных Клиента могут иметь доступ только сотрудники, допущенные к работе с персональными данными Клиента.

При передаче персональных данных Клиента Организация должна соблюдать следующие требования:

  • не сообщать персональные данные Клиента третьей стороне без его письменного согласия;
  • предупредить лиц, получающих персональные данные Клиента о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные Клиента, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется в случае обезличивания персональных данных и в отношении общедоступных данных.
  • разрешать доступ к персональным данным Клиентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные Клиента, которые необходимы для выполнения конкретных функций
  • не запрашивать информацию о судимости Клиента.

Хранение персональных данных

Персональные данные Клиента хранятся в его медицинской карте. Медицинская карта Клиента ведется сотрудниками, допущенными к работе с персональными данными Клиента.

Организация работы с Клиентом должна быть подчинена, в том числе, решению задач обеспечения безопасности персональных данных, их защиты:

  • при работе с Клиентом сотрудник не должен выполнять функции, не связанные с приемом, вести служебные и личные переговоры по телефону. На его столе не должно быть никаких документов, кроме тех, которые касаются данного посетителя;
  • не допускается отвечать на вопросы, связанные с передачей персональных данных по телефону;
  • медицинские карты Клиентов, журналы и книги учета, содержащие персональные данные Клиентов, хранятся в рабочее и нерабочее время в металлических запирающихся шкафах. Сотрудникам Организации не разрешается при выходе из помещения оставлять какие-либо документы, содержащие персональные данные, на рабочем столе или оставлять шкафы незапертыми;
  • На рабочем столе сотрудника должен всегда находиться только тот массив документов и учетных карточек, с которым в настоящий момент он работает. Другие документы, дела, карточки, журналы должны находиться в запертом шкафу. Исполняемые документы не разрешается хранить в россыпи. Их следует помещать в папки, на которых указывается вид производимых с ними действий (подшивка в личные дела, для отправки и пр.).
  • в конце рабочего дня все документы, дела, листы бумаги и блокноты с рабочими записями, инструктивные и справочные материалы должны быть убраны в металлические шкафы, сейфы. На рабочем столе не должно оставаться ни одного документа. Черновики и редакции документов, испорченные бланки, листы со служебными записями в конце рабочего дня уничтожаются в специальной бумагорезательной машине.


Доступ к персональным данным Клиента

Внутренний доступ (доступ внутри организации).

Право доступа к персональным данным Клиента имеют:

  • руководитель Организации;
  • другие сотрудники Организации, доступ к персональным данным Клиентов которым необходим для выполнения своих должностных обязательств.

Внешний доступ.

Персональные данные Клиента могут быть предоставлены третьим лицам только с письменного согласия Клиента.

Организация обеспечивает ведение журнала учета выданных персональных данных Клиента, в котором фиксируются сведения о лице, которому передавались персональные данные Клиента, дата передачи персональных данных или дата уведомления об отказе в предоставлении персональных данных, а также отмечается, какая именно информация была передана.

Доступ Клиента к своим персональным данным предоставляется при обращении либо при получении запроса Клиента. Организация обязана сообщить Клиенту информацию о наличии персональных данных о нем, а также предоставить возможность ознакомления с ними в течение десяти рабочих дней с момента обращения.

Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.

Клиент имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:

  • подтверждение факта обработки персональных данных Организацией, а также цель такой обработки
  • способы обработки персональных данных, применяемые Организацией
  • сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ
  • перечень обрабатываемых персональных данных и источник их получения
  • сроки обработки персональных данных, в том числе сроки их хранения
  • сведения о том, какие юридические последствия для Клиента может повлечь за собой обработка его персональных данных.

Сведения о наличии персональных данных должны быть предоставлены Клиенту в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

Право Клиента на доступ к своим персональным данным ограничивается в случае, если предоставление персональных данных нарушает конституционные права и свободы других лиц.


Защита персональных данных

Защита персональных данных работника от неправомерного их использования или утраты обеспечивается Работодателем за счет его средств в порядке, установленном федеральным законом.

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Клиента, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

Все лица, связанные с получением, обработкой и защитой персональных данных Клиента обязаны заключить «Соглашение о неразглашении персональных данных Клиента».


Уточнение, блокирование и уничтожение персональных данных

Блокирование информации, содержащие персональные данные Клиента, производится в случае:

  • если персональные данные являются неполными, устаревшими, недостоверными
  • если сведения являются незаконно полученными или не являются необходимыми для заявленной цели обработки.

В случае подтверждения факта недостоверности персональных данных Организация на основании документов, представленных Клиентом, уполномоченным органом по защите прав субъектов персональных данных или полученных в ходе самостоятельной проверки, обязана уточнить персональные данные и снять их блокирование.

В случае выявления неправомерных действий с персональными данными Организация обязана устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с момента выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные.

Об устранении допущенных нарушений или об уничтожении персональных данных Организация обязана уведомить Клиента, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

Организация обязана уничтожить персональные данные Клиента в случае:

  • достижения цели обработки персональных данных оператор
  • отзыва Клиентом согласия на обработку своих персональных данных.

Уничтожение персональных данных должно быть осуществлено в течение трех дней с указанных моментов. Соглашением Организации с Клиентом могут быть установлены иные сроки уничтожения персональных данных при достижении цели обработки персональных данных.

Организация должна направить уведомление об уничтожении персональных данных Клиенту, а в случае, если обращение или запрос о недостоверности персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.


Ответственность за разглашение персональных данных  

Организация ответственна за персональную информацию, которая находится в ее распоряжении и закрепляет персональную ответственность сотрудников за соблюдением установленных в организации принципов уважения приватности.

Организация обязуется поддерживать систему приема, регистрации и контроля рассмотрения жалоб клиентов, доступную как посредством использования Интернета, так и с помощью телефонной, телеграфной или почтовой связи.

Любое лицо может обратиться к сотруднику Организации с жалобой на нарушение данного Положения. Жалобы и заявления по поводу соблюдения требований обработки данных рассматриваются в десятидневный срок со дня поступления.

Сотрудники Организации обязаны на должном уровне обеспечивать рассмотрение запросов, заявлений и жалоб клиентов, а также содействовать исполнению требований компетентных органов. Лица, виновные в нарушении требований настоящего положения привлекаются к дисциплинарной ответственности.