«УТВЕРЖДЕНО»
Приказом № 7 от 22 января 2015 г.
Генерального директора
ООО «Медицинский центр АВИЦЕННА»
Тарасова Н.В.
Политика обработки персональных данных
в ООО «Медицинский центр АВИЦЕННА»
- Общие положения
Настоящая Политика (далее — Политика) Общества с ограниченной ответственностью «Медицинский центр АВИЦЕННА» в отношении обработки персональных данных составлена в соответствии с ч.2 ст. 18.1 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных» и действует в отношении персональных данных, которые могут быть получены от субъектов персональных данных.
Целью Политики является определение способов обработки персональных данных, а также процедур, предотвращающих или реагирующих на нарушения безопасности персональных данных. Задачами обработки персональных данных является оказание медицинских услуг и исполнение обязательств организации перед пациентом по договору с ним, связь с пациентом в случае необходимости, а также выполнение условий трудового договора с работниками организации в соответствии с действующим законодательством.
Настоящая Политика обработки персональных данных действует в отношении всей информации, которую администрация сайта ООО «Медицинский центр АВИЦЕННА» может получить о пользователе во время использования им сервисов сайта. Использование сервисов сайта означает безоговорочное согласие пользователя с настоящей Политикой и указанными в ней условиями обработки его персональной информации; в случае несогласия с этими условиями пользователь должен воздержаться от использования сервисов сайта.
- Основные понятия, принципы обработки персональных данных
Основные понятия:
персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, а также сведения о фактах, событиях и обстоятельствах жизни субъекта персональных данных, позволяющая идентифицировать его личность.
обработка персональных данных — действия (операции), включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), блокирование, уничтожение персональных данных.
использование персональных данных — действия (операции) с персональными данными, совершаемые в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных либо иным образом затрагивающих права и свободы субъекта персональных данных.
блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.
уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
Обработка персональных данных в ООО «Медицинский центр АВИЦЕННА» основана на принципах:
— добросовестности и законности целей и способов обработки персональных данных;
— соответствия целей обработки персональных данных полномочиям ООО «Медицинский центр АВИЦЕННА»;
— соответствия объема, содержания и способов обработки персональных данных целям их обработки;
— достоверности персональных данных, их актуальности и достаточности для целей обработки;
— недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при их сборе;
— недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
— ограничения обработки персональных данных при достижении конкретных целей;
— запрета обработки персональных данных, несовместимых с целями сбора персональных данных;
— осуществления хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если срок хранения персональных данных не установлен действующим законодательством.
В рамках настоящей Политики под обрабатываемыми персональными данными понимаются:
— персональные данные граждан, обращающихся в ООО ««Медицинский центр АВИЦЕННА» для получения медицинских услуг;
— персональные данные сотрудников ООО ««Медицинский центр АВИЦЕННА» или кандидатов на замещение вакантных должностей;
— персональные данные пользователей сайта ООО «Медицинский центр АВИЦЕННА».
- Конфиденциальность персональных данных
Работники организации и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
- Состав персональных данных
В состав обрабатываемых в компании персональных данных пациентов и работников могут входить:
- фамилия, имя, отчество;
- пол;
- дата рождения или возраст;
- паспортные данные;
- адрес проживания;
- номер телефона, факса, адрес электронной почты (по желанию);
- информация о состоянии здоровья;
- другая информация, необходимая для правильного проведения и интерпретации медицинских исследований;
- результаты выполненных медицинских исследований;
- другая информация, необходимая для выполнения обязательств организации в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях, законодательством об обязательных видах страхования, со страховым законодательством.
- Способы обработки персональных данных:
ООО «Медицинский центр АВИЦЕННА» осуществляет обработку данных о состоянии здоровья пациентов в целях оказания медицинских услуг, установления медицинского диагноза при этом обработка персональных данных осуществляется лицами, профессионально занимающимися медицинской деятельностью и обязанными в соответствии с законодательством Российской Федерации сохранять врачебную тайну.
Организация осуществляет обработку данных о состоянии здоровья работников организации в соответствии с трудовым законодательством Российской Федерации.
а) Сбор (получение) персональных данных
Персональные данные пациентов организация получает только лично от пациента или от его законного представителя. Персональные данные пациента могут быть получены с его слов и не проверяются.
б) Обработка персональных данных
Обработка персональных данных в организации происходит не автоматизированным способом.
К обработке персональных данных в организации допускаются только сотрудники прошедшие определенную процедуру допуска, к которой относятся:
- ознакомление сотрудника с локальными нормативными актами организации (положения, инструкции и т. д.), строго регламентирующими порядок и процедуру работы с персональными данными;
- взятие с сотрудника подписки о соблюдении конфиденциальности в отношении персональных данных при работе с ними;
- получение сотрудником и использование в работе индивидуальных атрибутов доступа к информационным системам компании, содержащим в себе персональные данные. При этом каждому сотруднику выдаются минимально необходимые для исполнения трудовых обязанностей права на доступ в информационные системы.
Сотрудники, имеющие доступ к персональным данным, получают только ту информацию, которая необходима им для выполнения конкретных трудовых функций.
в) Хранение персональных данных
Персональные данные пациентов хранятся в бумажном виде (амбулаторная карта, бланки направлений, результаты обследований; личные дела работников).
При хранении персональных данных пациентов и работников соблюдаются организационные и технические меры, обеспечивающие их сохранность и исключающие несанкционированный доступ к ним.
К ним относятся:
- назначение сотрудника ответственного за тот или иной способ хранения персональных данных;
- ограничение физического доступа к местам хранения и носителям (сейфы, замыкаемые шкафы, сигнализация);
г) Передача персональных данных третьим лицам
Передача персональных данных третьим лицам возможна в исключительных случаях только с согласия пациента и только с целью исполнения обязанностей перед пациентом в рамках оказания услуг, кроме случаев, когда такая обязанность у организации наступает в результате требований федерального законодательства или при поступлении запроса от уполномоченных государственных органов. В данном случае компания ограничивает передачу персональных данных запрошенным объемом.
Персональные данные пациента (в том числе результаты исследований) могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого пациента, за исключением случаев, когда передача персональных данных без его согласия допускается действующим законодательством РФ. В качестве такого разрешения могут выступать:
- нотариально заверенная доверенность;
- собственноручно написанная клиентом доверенность в присутствии сотрудника ООО «Медицинский центр АВИЦЕННА» и им заверенная.
- Меры по обеспечению безопасности персональных данных при их обработке
Обеспечение безопасности персональных данных в организации достигается следующими мерами:
- назначением сотрудника, ответственного за организацию обработки персональных данных;
- проведением внутреннего аудита информационной системы организации, содержащей персональные данные, проведением их классификации;
- разработкой частной модели угроз безопасности персональных данных;
- определением списка лиц, допущенных к работе с персональными данными;
- разработкой и утверждением локальных нормативных актов организации, регламентирующих порядок обработки персональных данных. Разработкой для администраторов информационной системы рабочих инструкций;
- реализацией технических мер, снижающих вероятность реализаций угроз безопасности персональных данных;
- проведением периодических проверок состояния защищенности информационной системы организации.
- Права пациента
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных;
- правовые основания и цели обработки персональных данных;
- цели и применяемые способы обработки персональных данных;
- сведения о лицах (за исключением работников организации), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных своих прав;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению организации, если обработка поручена или будет поручена такому лицу.
Соответствующая информация предоставляется субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен быть составлен в соответствии с требованиями законодательства.
8.Изменение Политики
ООО ««Медицинский центр АВИЦЕННА» имеет право вносить изменения в настоящую Политику.
При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте ООО «Медицинский центр АВИЦЕННА» если иное не предусмотрено новой редакцией Политики.