- Политика конфиденциальности
Политика конфиденциальности
ПОЛОЖЕНИЕ
об обработке персональных данных пациентов
1. Общие положения
1.1. Настоящее Положение об обработке и защите персональных данных пациентов (далее – «Положение») издано и применяется ООО «КОМПЛЕКСНЫЕ МЕДИЦИНСКИЕ ПРОГРАММЫ» в соответствии с пп. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
1.2. Настоящее Положение определяет порядок получения, обработки, хранения, передачи и уничтожения документов, содержащих сведения, отнесенные к персональным данным физических лиц (субъектов персональных данных) и/или законных представителей субъекта персональных данных, обратившихся к Обществу с целью получения медицинского обслуживания или по вопросам получения медицинских услуг, а также реализованные Обществом меры защиты персональных данных.
1.3. Настоящие Положение размещается во всех местах сбора персональных данных Обществом и рекомендованы к ознакомлению всем субъектам персональных данных, предоставляющим свои данные Обществу.
Настоящее Положение разработано в целях:
– определения порядка обработки персональных данных пациентов с целью осуществления основной деятельности Общества, предусмотренной Уставом Общества;
– обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную, врачебную и семейную тайну;
– приведения деятельности по обработке персональных данных пациентов в соответствие с требованиями законодательства по защите персональных данных пациентов.
1.4. Основные понятия
Для целей использования настоящего Положения устанавливаются следующие понятия:
«Администрация сайта» (далее — Администрация сайта) — уполномоченные на управление сайтом сотрудники, которые организуют и (или) осуществляют обработку персональных данных, а также определяют цели обработки персональных данных; состав персональных данных, подлежащих обработке; действия (операции), совершаемые с персональными данными.
«Субъект персональных данных» – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
«Оператор», «Общество» – ООО «КОМПЛЕКСНЫЕ МЕДИЦИНСКИЕ ПРОГРАММЫ», осуществляющее обработку персональных данных, а также определяющий цель обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
«Обработка персональных данных» — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
«Автоматизированная обработка персональных данных» – обработка персональных данных с помощью средств вычислительной техники.
«Распространение персональных данных» – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
«Предоставление персональных данных» – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
«Персональные данные» (далее – ПДн) – разрешенные Субъектом персональных данных для распространения персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных Субъектом персональных данных для распространения в порядке, предусмотренном законом.
«Биометрические персональные данные» – физиологические и биологические особенности человека, на основании которых можно установить его личность и используются оператором для установления личности субъекта персональных данных.
«Блокирование персональных данных» – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
«Уничтожение персональных данных» – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
«Обезличивание персональных данных» – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
«Пользователь сайта (далее — Пользователь)» — лицо, имеющее доступ к Сайту, посредством сети Интернет и использующее Сайт.
«Информационная система» – совокупность содержащейся в базах данных информации и обеспечивающих их обработку информационных технологий и технических средств.
«Угрозы безопасности персональных данных» – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных.
«Уровень защищенности персональных данных» – комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
«Cookies» — небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере Пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта.
«IP-адрес» — уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP.
«Закон о персональных данных» – Федеральный закон № 152-ФЗ «О персональных данных» от 27.07.2006 г.
«Сайт» – сайт в сети Интернет, владельцем которого является Общество и доступ к которому осуществляется по адресу www.allmed.ru
«Пациент» – физическое лицо, которому оказывается медицинская помощь или которое обратилось за оказанием медицинской помощи независимо от наличия у него заболевания или от его состояния.
«Представитель субъекта персональных данных (далее – Представитель)» – законный представитель несовершеннолетнего лица – родитель, усыновитель, опекун, попечитель, приемный родитель, орган опеки и попечительства, а также иной представитель, действующий в соответствии с законодательством РФ.
«Медицинская деятельность» – профессиональная деятельность по оказанию медицинской помощи, проведению медицинских экспертиз, медицинских осмотров и медицинских освидетельствований, санитарно-противоэпидемических (профилактических) мероприятий и профессиональная деятельность, связанная с трансплантацией (пересадкой) органов и (или) тканей, обращением донорской крови и (или) ее компонентов в медицинских целях.
«Врачебная тайна» – сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну.
Не допускается разглашение сведений, составляющих врачебную тайну, в том числе после смерти человека, лицами, которым они стали известны при исполнении трудовых, должностных, служебных и иных обязанностей, за исключением случаев, когда с письменного согласия гражданина или его законного представителя сведения, составляющие врачебную тайну, могут быть переданы другим гражданам, в том числе должностным лицам, в целях медицинского обследования и лечения пациента, проведения научных исследований, их опубликования в научных изданиях, использования в учебном процессе и в иных целях.
Предоставление сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя допускается только в случаях, предусмотренных законодательством РФ.
1.5. Термины, не определенные в настоящем Положении, имеют значение, которое придается им законодательством Российской Федерации (в первую очередь, Законом о персональных данных).
2. Правовое основание обработки ПДн
− Конституция Российской Федерации;
− Гражданский кодекс Российской Федерации;
− Налоговый кодекс Российской Федерации;
− Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
− Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных»);
− Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в РФ»;
− Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в РФ»;
− Федеральный закон от 02.05.2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;
− Федеральным законом от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации»;
− Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»,
− Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
− Приказ Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения»;
− Устав Общества.
Если обработка ПДн не предусмотрена законодательными актами Российской Федерации, Общество осуществляет обработку ПДн только в следующих случаях:
(1) Обществом или иным лицом получено согласие Субъекта персональных данных на обработку его ПДн Обществом;
(2) обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем по которому является Субъект персональных данных;
(3) обработка ПДн необходима для заключения договора по инициативе Субъекта персональных данных или договора, по которому Субъект персональных данных будет являться выгодоприобретателем или поручителем;
(4) обработка ПДн необходима для осуществления прав и законных интересов Общества или третьих лиц;
(5) доступ неограниченного круга лиц к обрабатываемым ПДн предоставлен Субъектом персональных данных либо по его просьбе.
3. Принципы обработки ПДн
Обработка ПДн Обществом организована Обществом на принципах:
-
обработка ПДн осуществляется на законной и справедливой основе;
-
обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей; не допускается обработка ПДн, несовместимая с целями сбора ПДн;
-
не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
-
обработке подлежат только ПДн, которые отвечают целям их обработки;
-
содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки; не допускается избыточность обрабатываемых ПДн по отношению к заявленным целям их обработки;
-
при обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн; принимаются необходимые меры по удалению или уточнению неполных или неточных данных;
-
хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
В отношении ПДн введен режим конфиденциальности. Обработка ПДн лицами, не допущенными к их обработке в установленном порядке, не допускается.
4. Категории субъектов ПДн
1) Пациенты (клиенты)
2) Представители пациентов (клиентов)
5. Цели обработки ПДн
5.1. ПДн пациентов (клиентов) обрабатываются Обществом для осуществления деятельности по подбору медицинской организации, врачей, которые необходимы для осуществления медицинской помощи, в том числе:
- поиск и предоставление заочных консультаций медицинскими организациями;
- организация Обществом подбора необходимой медицинской помощи;
- обращение и обмен медицинскими документами;
5.2. ПДн Представителей пациентов (клиентов) обрабатываются Обществом для достижения следующих целей:
- организация и предоставление интересов для подбора необходимой информации в целях оказания медицинской помощи;
- обращение и обмен медицинскими документами
6. Перечень ПДн
6.1. В целях, указанных в п. 5.1. настоящего Положения, обрабатываются следующие ПДн пациентов (клиентов) - Ф.И.О., контактный телефон; пол и дата рождения, адрес места жительства, паспортные данные, семейное положение, состав семьи, адрес электронной почты (e-mail), регион местонахождения; статическая и прочая аналитическая информация, которая передается автоматически в процессе использования сайта с помощью установленного на устройстве посетителя сайта программного обеспечения, в том числе IP-адрес, данные файлов cookie и веб-маяки (web beacons), информация о браузере посетителя сайта (или иной программе, с помощью которой осуществляется доступ к сайту), технические характеристики оборудования и программного обеспечения, используемых посетителем сайта, дата и время доступа к сайту, адреса запрашиваемых страниц, параметры сессии, а также данные, идентифицирующие мобильное устройство посетителя сайта, его специфические настройки и характеристики, информацию о широте/долготе), в том числе данные о состоянии здоровья и диагнозе, заболеваниях, случаях обращения за медицинской помощью и иные сведения, полученные при медицинском обследовании и лечении.
6.2. В целях, указанных в п. 5.2. настоящего Положения, обрабатываются следующие ПДн представителей пациентов (клиентов) – Ф.И.О., контактный телефон; пол и дата рождения, адрес места жительства, паспортные данные, семейное положение, состав семьи, адрес электронной почты (e-mail), регион местонахождения; статическая и прочая аналитическая информация, которая передается автоматически в процессе использования сайта с помощью установленного на устройстве посетителя сайта программного обеспечения, в том числе IP-адрес, данные файлов cookie и веб-маяки (web beacons), информация о браузере посетителя сайта (или иной программе, с помощью которой осуществляется доступ к сайту), технические характеристики оборудования и программного обеспечения, используемых посетителем сайта, дата и время доступа к сайту, адреса запрашиваемых страниц, параметры сессии, а также данные, идентифицирующие мобильное устройство посетителя сайта, его специфические настройки и характеристики, информацию о широте/долготе).
7. Получение ПДн и соблюдение условий обработки ПДн
7.1. Получение ПДн Обществом преимущественно осуществляется путем представления их лично субъектом ПДн, на основании его согласия, за исключением случаев, прямо предусмотренных действующим законодательством РФ, когда получение согласия субъекта на обработку ПДн не требуется (при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6 Федерального закона «О персональных данных»).
7.2. Пациентами (клиентами) являются лица, обратившиеся за помощью в организации или предоставлении медицинских услуг.
Обработка ПДн производится на основании согласия, предоставленного в электронной форме при регистрации в личном кабинете или в письменной форме при личном обращении в Общество.
7.3. Обработка ПДн Представителей пациентов (клиентов) осуществляется на основании согласия, предоставленного в электронной форме при регистрации в личном кабинете или в письменной форме при личном обращении в Общество.
8. Обработка ПДн
В Обществе ведется обработка ПДн как автоматизированным, так и неавтоматизированным способом (смешанная обработка ПДн), включающая сбор, систематизацию, накопление, хранение, уточнение, использование, передачу, блокирование, удаление, уничтожение ПДн.
8.1. Неавтоматизированная обработка ПДн
8.1.1. Обществом определены места хранения материальных носителей ПДн, которые оснащены средствами, обеспечивающими сохранность ПДн и исключающие несанкционированный к ним доступ:
– помещения, где осуществляется хранение документов, содержащих ПДн (далее – помещения), оборудованы сейфами, шкафами, стеллажами, тумбами (хранение документов на столах не допускается);
– помещения оборудованы замками и системами пожарной сигнализации;
– установлен порядок доступа сотрудников и сторонних лиц в помещения.
8.1.2. При обработке ПДн без использования средств автоматизации Обществом:
– обеспечено раздельное хранение материальных носителей ПДн субъектов ПДн, обработка которых осуществляется в различных целях;
– установлены сроки хранения материальных носителей ПДн;
– определен перечень лиц, допущенных к работе с материальными носителями ПДн;
– назначены лица, ответственные за сохранность материальных носителей ПДн;
– разработан локальный документ, определяющий особенности обработки ПДн без использования средств автоматизации, требования к составлению типовых форм документов, используемых Обществом и предполагающих включение в них ПДн, требования по сбору ПДн без использования средств автоматизации, правила доступа к материальным носителям ПДн, порядок их использования, хранения и уничтожения.
8.2. Автоматизированная обработка ПДн
8.2.1. В соответствии с выделенными целями обработки ПДн в Обществе автоматизированная обработка ПДн включает в себя использование средств вычислительной техники и программного обеспечения:
- официальный сайт Общества;
- СКУД.
8.2.2. Обществом определен перечень эксплуатируемых информационных систем ПДн, в отношении которых Общество является оператором.
8.2.3. При обработке ПДн в информационных системах персональных данных Обществом для каждой информационной системы:
1) организует режим обеспечения безопасности помещений, в которых размещена информационная система, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
2) определяет перечень лиц, доступ которых к ПДн, обрабатываемым в информационной системе, необходим для выполнения ими трудовых обязанностей;
3) осуществляет учет машинных носителей ПДн;
4) устанавливает правила доступа к ПДн, обрабатываемым в информационной системе персональных данных;
5) осуществляет резервное копирование информации, содержащей ПДн;
6) разрабатывает перечень действий, направленных на обнаружение фактов несанкционированного доступа к ПДн и принятие мер по реагированию.
9. Передача ПДн
9.1. Передача ПДн Субъектов персональных данных третьим лицам осуществляется Обществом только с письменного согласия Субъекта персональных данных за исключением следующих случаев:
– передача ПДн необходима для защиты жизни и здоровья Субъекта персональных данных, либо других лиц, и получение его согласия невозможно;
– по запросу органов дознания, следствия, прокуратуры и суда в связи с проведением расследования или судебным разбирательством, в соответствии с Законом об оперативно-розыскной деятельности;
– в иных случаях, прямо предусмотренных Федеральным законодательством.
9.2. В целях организации порядка проведения предварительных медицинских консультаций, обмена медицинскими документами пациента и предоставления медицинской помощи Общество предоставляет сведения о пациентах (клиентах) медицинским организациям – партнерам на основании Соглашения и согласия пациентов (клиентов) или их представителей на передачу таких ПДн в иные медицинские учреждения, предоставленное в электронном виде при регистрации в личном кабинете.
9.3. В случае если лицо, обратившееся с запросом, не уполномочено Федеральным законодательством на получение ПДн, отсутствуют иные условия, предусмотренные п. 10.1 настоящего Положения, и письменное согласие субъекта ПДн на передачу его ПДн, Общество обязано отказать в предоставлении ПДн. В данном случае лицу, обратившемуся с запросом, выдается мотивированный отказ в предоставлении ПДн в письменной форме, копия отказа хранится в Обществе.
9.4. В процессе обработки ПДн трансграничная передача ПДн не осуществляется.
9.5. Запрещается передача ПДн Субъектов персональных данных без принятия мер по обеспечению безопасности персональных данных, указанных в настоящем Положении.
9.12. Запрещается передавать (распространять, предоставлять доступ) ПДн, разрешенные Субъектом персональных данных для распространения, если из предоставленного Субъектом персональных данных согласия на обработку ПДн не следует, что Субъект персональных данных не установил запреты и условия на обработку ПДн, или если в предоставленном Субъектом персональных данных согласии не указаны категории и перечень ПДн, для обработки которых Субъект персональных данных устанавливает условия и запреты.
10. Уничтожение ПДн
В соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»:
- уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;
- носители персональных данных - как электронные (дискеты, компакт-диски, ленты, флеш-накопители и другие), так и неэлектронные (бумажные) носители персональных данных.
10.1. Уничтожение носителей, содержащих ПДн категорий персональных данных, указанных в п. 4 настоящего Положения, должно соответствовать следующим правилам:
- быть максимально надежным и конфиденциальным, исключая возможность последующего восстановления;
- оформляться локальными актами об уничтожении ПДн, в частности, Актом об уничтожении носителей ПДн.;
- должно проводиться комиссией по уничтожению ПДн;
- уничтожение должно касаться только тех носителей, содержащих ПДн Субъектов персональных данных организации, которые подлежат уничтожению в связи с достижением цели обработки указанных ПДн либо утраты необходимости в их достижении, не допуская случайного или преднамеренного уничтожения актуальных носителей.
10.2. ПДн, обрабатываемые в Обществе, подлежат уничтожению в следующих случаях:
- при достижении целей обработки ПДн (в том числе по истечении установленных сроков хранения);
- в случае отзыва Субъектом персональных данных согласия на обработку своих ПДн, когда это согласие является обязательным условием обработки ПДн;
- при невозможности устранения нарушений, допущенных при обработке ПДн;
- в случае получения соответствующего предписания от уполномоченного органа по защите прав субъектов ПДн .
10.3. При невозможности уничтожения ПДн в течение 30 (тридцати) дней Общество осуществляет уничтожение ПДн в течение шести месяцев. Обоснование невозможности уничтожения ПДн в установленные законом сроки должно быть документально оформлено.
10.4. При достижении целей обработки ПДн Общество уничтожает ПДн или обеспечивает их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 30 (тридцати) дней с даты достижения целей обработки.
10.5. В случае отзыва Субъектом персональных данных согласия на обработку своих ПДн Общество уничтожает ПДн, а также обеспечивает их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва.
10.6. В случае невозможности устранения нарушений, допущенных при обработке ПДн Общество уничтожает ПДн или обеспечивает их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки ПДн.
10.7. В случае получения предписания о прекращении обработки (уничтожении) ПДн от Уполномоченного органа в сфере защиты обработки ПДн Общество уничтожает ПДн или обеспечивает их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий 10 (десяти) рабочих дней с даты получения предписания.
10.8. Персональные данные в Обществе могут содержаться в следующих хранилищах:
- на съемных машинных носителях;
- в базах данных информационных систем персональных данных;
- на бумажных носителях.
Носители персональных данных, содержащие ПДн, при достижении целей обработки, или при наступлении иных законных оснований, (например, истечение срока хранения), подлежат уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.
10.9. Уничтожение ПДн, хранящихся на съемных машинных носителях персональных данных, проводится путем стирания с носителя соответствующих файлов.
10.10. Уничтожение ПДн, хранящихся в базах данных информационных систем, производится путем стирания соответствующих полей в базе данных. При этом следует провести стирание не только в рабочем экземпляре базы, но и в резервных (тестовых) копиях базы.
10.11. Уничтожение бумажных носителей персональных данных производится способом, исключающим возможность восстановления этих ПДн (шредирование).
10.12. По результатам уничтожения составляется Акт об уничтожении носителей информации, содержащих персональные данные в Обществе.
Ответственный за организацию обработки ПДн при достижении целей обработки ПДн или на иных законных основаниях ежегодно инициирует создание комиссии по отбору на хранение и уничтожение материальных носителей информации, содержащих ПДн.
В рамках представленных полномочий ответственный за организацию обработки ПДн производит:
- отбор документов на хранение и уничтожение;
- подготовка акта о выделении к уничтожению документов, не подлежащих дальнейшему хранению;
- уничтожение документов.
Документы, отобранные на хранение, передаются в архив Общества.
Комиссия по отбору на хранение и уничтожение материальных носителей состоит не менее чем из трех членов комиссии. Председателем комиссии является лицо, ответственное за организацию обработки ПДн.
Вопрос об уничтожении выделенных документов, содержащих ПДн, рассматривается на заседании Комиссии по отбору на хранение и уничтожение материальных носителей.
По итогам заседания составляются Акт об уничтожении носителей, содержащих ПДн, который подписывается председателем Комиссии, ее членами и утверждаются генеральным директором.
Самовольное, без ведомства лиц, ответственных за сохранность материальных носителей информации, содержащих персональные данные, уничтожение документов работниками Общества не допускается.
11. Сроки обработки и хранения ПДн
11.1. Обработка ПДн пациентов (клиентов), осуществляется до прекращения деятельности Общества как юридического лица. Сроки обработки ПДн в иных случаях определяются целями обработки ПДн и/или отдельными согласиями Субъектов персональных данных.
11.2. Обработка ПДн (в том числе, их хранение) в любом случае подлежит прекращению по достижении целей обработки соответствующих данных, а также в случае отпадения оснований для обработки ПДн (в том числе, в случае отзыва ранее предоставленного согласия на обработку ПДн, если законодательство не предоставляет Обществу право продолжить обработку ПДн).
11.6. Срок хранения загруженных на официальный Сайт документов клиентов (медицинские сведения) составляет 1 месяц со дня загрузки на официальный сайт.
11.7. По достижении целей обработки ПДн Общество незамедлительно прекращает обработку ПДн и уничтожает соответствующие ПДн в срок, не превышающий тридцати рабочих дней с даты достижения цели обработки.
12. Процедуры, выполняемые Обществом для выявления и предотвращения нарушений законодательства РФ в сфере ПДн
С целью обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актам Обществом приняты правовые, организационные и технические меры, установленные законодательством Российской Федерации в области ПДн, по обеспечению безопасности обрабатываемых ПДн:
- назначено лицо, ответственное за организацию обработки ПДн;
- разработаны и введены в действие организационно-распорядительные документы, устанавливающие в том числе правила и процедуры обработки ПДн в Обществе, перечень лиц, допущенных к обработке ПДн, а также обязанности указанных лиц, направленные на соблюдение конфиденциальности обрабатываемых ПДн, с которыми работников знакомят под роспись;
- все работники, осуществляющие обработку ПДн, прошли ознакомление с положениями законодательства о ПДн, в том числе с требованиями к защите ПДн;
- с целью осуществления внутреннего контроля за соответствием обработки ПДн требованиям законодательства, локальными актами Общества организовано проведение периодических проверок процессов обработки и защиты ПДн;
- организован режим обеспечения безопасности помещений, в которых обрабатываются ПДн и (или) хранятся носители ПДн, в соответствии с установленными требованиями, обеспечивающими ограничение доступа к ПДн, их уничтожению, изменению, блокированию, копированию;
- при обработке ПДн, осуществляемой без использования средств автоматизации, выполняются требования, установленные постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
- при обработке ПДн в информационных системах персональных данных выполняются требования, установленные постановлением Правительства Российской Федерации РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
13. Права субъектов ПДн
13.1. Обработка ПДн Субъектов персональных данных осуществляется с согласия Субъекта персональных данных или при наличии иного законного основания для обработки ПДн в соответствии с Федеральным законом «О персональных данных».
13.2. Согласие на обработку ПДн может быть отозвано Субъектом персональных данных одним из следующих способов:
– направление письменного заявления в адрес Общества по почте заказным письмом с уведомлением о вручении;
– передача письменного заявления лично под расписку уполномоченному сотруднику Общества;
13.3. Субъект персональных данных имеет право на получение информации, касающейся обработки его ПДн. В случае подтверждения факта обработки ПДн Общество предоставляет все необходимые сведения по запросу в объемах и в сроки, предусмотренные статьей 14 Федерального закона «О персональных данных».
13.4. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
13.5. Субъект ПДн вправе требовать от Общества уточнения, блокирования и уничтожения его ПДн в случае, если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также обжаловать действия или бездействия Общества в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке.
13.6. Общество принимает все обращения и запросы субъектов ПДн, составленные в установленном порядке, дает по ним мотивированный ответ, а также, в случае выявления нарушений, предпринимает все необходимые действия по их устранению в порядке и в сроки, предусмотренные статьей 21 Федерального закона «О персональных данных».
13.7. Общество не принимает решения в отношении субъектов ПДн на основании исключительно автоматизированной обработки их ПДн.
14. Ответственность
14.1. Руководитель структурного подразделения, разрешающий доступ сотрудника к ПДн, несет персональную ответственность за данное разрешение.
14.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн, несут дисциплинарную, гражданско-правовую, административную и/или уголовную ответственность в соответствии с федеральными законами Российской Федерации.
15. Заключительные положения
15.1. Условия настоящего Положения вступают в силу с момента их утверждения генеральным директором Общества и распространяется на ПДн Субъектов персональных данных, полученные как до, так и после вступления в силу настоящего Положения.
15.2. Оператор имеет право вносить изменения в Положение в одностороннем порядке без предварительного уведомления. С момента размещения на Сайте новой редакции Положения предыдущая редакция считается утратившей свою силу. При внесении изменений в заголовке Положения указывается дата последнего обновления редакции. Новая редакция Положения вступает в силу с момента ее размещения на Сайте, если иное не предусмотрено новой редакцией Положения.
15.3. Если Пользователь не согласен с условиями Положения, то он должен покинуть Сайт и не взаимодействовать с его он-лайн формами, в противном случае продолжение использование Сайта означает, что Пользователь согласен с условиями настоящего Положения.
15.4. Вопросы, не урегулированные настоящим Положением, подлежат разрешению в соответствии с действующим законодательством Российской Федерации.