1. Главная
  2. Обработка персональных данных

Обработка персональных данных

Положение «По обработке и защите персональных данных пациентов»

ПРИКАЗ № 20220601-1/ДЦ «Об утверждении Положения по обработке и защите персональных данных пациента»

ПОЛИТИКА

ООО «НЕФРОХЭЛС»

в отношении обработки персональных данных
г. Москва

1. Общие положения

1.1. Настоящая Политика общества с ограниченной ответственностью «НЕФРОХЭЛС» в отношении обработки персональных данных (далее - Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и врачебную тайну.

1.2. Политика действует в отношении всех персональных данных, которые обрабатывает общество с ограниченной ответственностью «НЕФРОХЭЛС» (далее - Оператор, ООО «НЕФРОХЭЛС»).

1.3. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.

1.4. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на официальном сайте Оператора nephrohealth.ru.

1.5. Основные понятия, используемые в Политике:

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).

Пациент - физическое лицо, состоящее с Обществом в отношениях, связанных с оказанием медицинских услуг, а также лицо, которое планирует состоять в отношениях с Обществом, связанных с оказанием медицинских услуг.

Врачебная тайна - сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляющие врачебную тайну в соответствии со статьей 13 Федерального закона от 21.11.2011 № 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации".

Субъект персональных данных - прямо или косвенно определенное или определяемое на основании персональных данных физическое лицо. Работник — физическое лицо, состоящее или состоявшее ранее в трудовых отношениях с Обществом.

Третье лицо — физическое лицо — пациент (потенциальный пацент), партнер, контрагент (потенциальный контрагент), посетитель сайта https://nephrohealth.ru, участник или сотрудник юридического лица, являющегося клиентом или контрагентом (потенциальным клиентом, партнером, контрагентом) Общества.

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление и изменение), извлечение, использование, передачу (в т.ч. распространение), обезличивание, блокирование, удаление, уничтожение персональных данных.

Распространение персональных данных — действия, направленные на раскрытие (передачу) персональных данных неопределенному кругу лиц, в том числе размещение в информационно-телекоммуникационных сетях (на сайте компании).

Предоставление персональных данных — действия, направленные на раскрытие (передачу) персональных данных определенному лицу или определенному кругу лиц.

Использование персональных данных — действия (операции) с персональными данными, совершаемые уполномоченными Обществом лицами в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих права субъекта персональных данных.

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных — действия, в результате которых становится невозможно восстановить содержание персональных данных в информационной системе персональных данных, и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных — действия, в результате которых становится невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных —совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Неавтоматизированная обработка персональных данных — обработка персональных данных считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, осуществляются без использования информационных систем персональных данных.

Конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Лица, уполномоченные Обществом — работники Общества и или иные лица, в обязанности и или полномочия которых входит получение, обработка, хранение, передача и любое другое использование персональных данных на основании предоставленных Обществом полномочий.

1.6. Основные права и обязанности Оператора.

1.6.1. Оператор имеет право:

  • Предоставлять персональные данные субъектов персональных данных третьим лицам по соответствующим запросам, если это предусмотрено действующим законодательством Российской Федерации (налоговые, правоохранительные, судебные органы и др.).
  • Отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством.
  • Использовать персональные данные субъекта персональных данных в соответствии с указанными целями с согласия субъекта персональных данных, а также без его согласия, в случаях, предусмотренных законодательством Российской Федерации.
  • Поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
  • Иные права, предусмотренные действующим законодательством РФ.

1.6.2. Оператор обязан:

  • Принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом №152-ФЗ «О персональных данных».
  • Принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
  • Уведомлять орган РФ, уполномоченный в сфере защиты персональных данных о начале и окончании обработки персональных данных, изменении состава обрабатываемых персональных данных и/или перечня субъектов персональных данных, способа обработки и/или защиты персональных данных, организационных технических мер по обеспечению защиты персональных данных.
  • Назначить приказом генерального директора ответственное лицо (лиц) в области защиты персональных данных, актуализировать Политику обработки персональных данных и настоящее Положение.
  • Иные обязанности, предусмотренные действующим законодательством РФ.

1.7. Основные права и обязанности субъекта персональных данных.

1.7.1. Субъект персональных данных имеет право:

  • Предоставление полной информации о персональных данных и обработке этих данных в соответствии с положениями законодательства Российской Федерации.
  • Свободный доступ к своим персональным данным, включая право на получение копий записи, содержащей персональные данные, за исключением случаев, предусмотренных законодательством Российской Федерации.
  • Требование от Общества уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
  • Требование извещения Обществом всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
  • Определение своих представителей для защиты своих персональных данных.
  • На получение при обращении или при направлении соответствующего письменного запроса информации, касающейся обработки его персональных данных.
  • Принятие предусмотренных законом мер по защите своих прав.
  • Оспаривание действий (бездействий) Общества в компетентных органах по защите прав субъектов персональных данных и обжалование в суде любых неправомерных действий (бездействий) Общества при обработке и защите персональных данных.
  • Иные права, предусмотренные действующим законодательством РФ.

1.7.2. Субъект персональных данных обязан:

  • Предоставлять Обществу и/или лицу, уполномоченному Обществом, достоверные документированные персональные данные, перечень которых установлен действующим законодательством Российской Федерации и локальными нормативными актами Общества, и необходимые Обществу для реализации целей, закрепленных настоящим Положением.
  • Уведомлять Общество в письменном виде об изменении своих персональных данных в срок, не превышающий 3 (трех) рабочих дней с даты таких изменений.
  • Иные обязанности, предусмотренные действующим законодательством РФ.

1.8. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных у Оператора.

1.9. Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов ООО «НЕФРОХЭЛС» в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.

2. Цели обработки персональных данных.

2.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

2.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

2.3. Обработка Оператором персональных данных осуществляется в следующих целях:

  • обеспечение соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;
  • осуществление своей деятельности в соответствии с уставом ООО «НЕФРОХЭЛС»;
  • ведение кадрового делопроизводства;
  • содействие в трудоустройстве;
  • обеспечение личной безопасности работников, контроль количества и качества выполняемой работы и обеспечение сохранности имущества;
  • исполнение обязанностей налогового агента;
  • ведение воинского учета в организации;
  • заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;
  • осуществление гражданско-правовых отношений;
  • ведение бухгалтерского учета;
  • получение дополнительного образования и продвижение по службе;
  • оказание медицинской помощи, ведение медицинской документации.

2.4. Обработка персональных данных субъектов персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.

3. Правовые основания обработки персональных данных

3.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:

  • Конституция Российской Федерации;
  • Гражданский кодекс Российской Федерации;
  • Трудовой кодекс Российской Федерации;
  • Налоговый кодекс Российской Федерации;
  • Федеральный закон от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью»;
  • Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
  • Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
  • Федеральный закон от 21.11.2011 № 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации";
  • Постановление Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
  • Приказ Министерства здравоохранения РФ от 12 ноября 2021 г. N 1051н "Об утверждении Порядка дачи информированного добровольного согласия на медицинское вмешательство и отказа от медицинского вмешательства, формы информированного добровольного согласия на медицинское вмешательство и формы отказа от медицинского вмешательства";
  • Приказ Росархива от 20.12.2019 № 236 "Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения";
  • Приказ ФСТЭК России от 18.02.2013 № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";
  • иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.

3.2. Правовым основанием обработки персональных данных также являются:

  • устав ООО «НЕФРОХЭЛС»;
  • договоры, заключаемые между Оператором и субъектами персональных данных;
  • согласие субъектов персональных данных на обработку их персональных данных в случаях, предусмотренных действующим законодательством Российской Федерации.

4. Объем и категории обрабатываемых персональных данных.

Субъекты персональных данных: кандидаты на вакантные должности, работники Оператора, пациенты, контрагенты и их представители.

4.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в разд. 2 настоящей Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки и соответствовать каждой категории субъектов персональных данных указанных в настоящем документе.

Обработка персональных данных всех категорий субъектов персональных данных должна осуществляться в соответствии с Федеральным законом № 152-ФЗ от 27.07.2006 «О персональных данных» в соответствии с требованиями действующего законодательства Российской Федерации или с согласия субъекта персональных данных.

4.2. Состав обрабатываемых персональных данных каждой категории субъектов персональных данных, а также срок хранения персональных данных указан в матрице обработки персональных данных в разделе 2 Положения «Об обработке и защите персональных данных ООО «НЕФРОХЭЛС».

4.3. Обработка Оператором биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется в соответствии с законодательством Российской Федерации и только с письменного согласия субъекта персональных данных.

5. Порядок и условия обработки персональных данных

5.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.

5.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.

5.3. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.

5.4. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных. Список данных сотрудников утверждается генеральным директором ООО «НЕФРОХЭЛС».

5.5. Обработка персональных данных осуществляется путем:

  • получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
  • получения персональных данных из общедоступных источников;
  • внесения персональных данных в журналы, реестры и информационные системы Оператора;
  • использования иных способов обработки персональных данных.

5.6. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

5.7. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Пенсионный фонд Российской Федерации, Фонд социального страхования и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.

5.8. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:

  • определяет угрозы безопасности персональных данных при их обработке;
  • принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
  • назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
  • создает необходимые условия для работы с персональными данными;
  • организует учет документов, содержащих персональные данные;
  • организует работу с информационными системами, в которых обрабатываются персональные данные;
  • хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним.

5.9. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.

5.10. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.

6. Актуализация, исправление, удаление и уничтожение персональных данных

6.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Оператором субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя.

В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

6.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

6.3. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.

6.4. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению

6.5. Уничтожение персональных данных по окончании срока их обработки на электронных носителях производится путем механического нарушения их целостности, не позволяющим произвести считывание и восстановление персональных данных, или удаления с электронных носителей методами и средствами гарантированного удаления остаточной информации.