Политика обработка и защита персональных данных

ПОЛИТИКА
В ОТНОШЕНИИ ОБРАБОТКИ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. ОБЩИЕ ПОЛОЖЕНИЯ
Политика в области обработки и защиты персональных данных (далее - Политика)
разработана медицинской организацией (далее - Оператор) в целях обеспечения реализации
требований законодательства Российской Федерации в области обработки персональных данных
субъектов персональных данных.
Оператор при обработке персональных данных обеспечивает соблюдение принципов
законности, справедливости, точности, достаточности и конфиденциальности. Оператор также
обеспечивает безопасность процессов обработки персональных данных.
Оператор обеспечивает неограниченный доступ к Политике путем размещения на
официальном сайте Оператора в информационно-телекоммуникационной сети Интернет
(https://ldc.ru).
Оператор зарегистрирован в Реестре операторов персональных данных в установленном
законом порядке.
2. ЦЕЛИ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Обработка персональных данных ограничивается достижением конкретных, заранее
определенных и законных целей. Не допускается обработка персональных данных, несовместимая
с целями сбора персональных данных.
Цели обработки персональных данных могут происходить, в том числе, из анализа правовых
актов, регламентирующих деятельность Оператора, целей фактически осуществляемой Оператором
деятельности, а также деятельности, которая предусмотрена учредительными документами
Оператора, и конкретных бизнес-процессов Оператора в конкретных информационных системах
персональных данных (по структурным подразделениям Оператора и их процедурам в отношении
определенных категорий субъектов персональных данных).
Целями сбора и обработки персональных данных являются, в том числе:
исполнение требований федеральных законов и принятых на их основе нормативных
правовых актов, регулирующих отношения, связанные с деятельностью Оператора;
осуществление медицинской деятельности, в том числе установление медицинского
диагноза, оказания медицинских услуг;
исполнение договоров, стороной которого либо выгодоприобретателем или поручителем по
которому является субъект персональных данных, а также заключение договора по инициативе
субъекта персональных данных или договора, по которому субъект персональных данных будет
являться выгодоприобретателем или поручителем;
реализация трудового законодательства Российской Федерации в отношении работников
Оператора;
реализация законодательства о государственной социальной помощи, пенсионного
законодательства Российской Федерации;
обеспечение пропускного и внутриобъектового режима.
3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Правовым основанием обработки персональных данных является совокупность правовых
актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку
персональных данных, в том числе:
федеральные законы и принятые на их основе нормативные правовые акты, регулирующие
отношения в области обработки персональных данных;
уставные документы Оператора;
договоры, заключаемые между Оператором и субъектом персональных данных;
согласие субъекта персональных данных на обработку персональных данных (в случаях,
прямо не предусмотренных законодательством Российской Федерации, но соответствующих
полномочиям оператора).
4. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ,
КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
Содержание и объем обрабатываемых персональных данных должны соответствовать целям
обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к
заявленным целям их обработки.
К категориям субъектов персональных данных относятся, в том числе:
работники Оператора, бывшие работники, кандидаты на замещение вакантных должностей,
а также родственники работников;
клиенты и контрагенты Оператора (физические лица);
представители/работники клиентов и контрагентов Оператора (юридических лиц).
5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Оператор осуществляет обработку смешанным способом в ручном и автоматизированном
режиме, с использованием медицинских информационных систем.
Оператор не раскрывает третьим лицам и не распространяет персональные данные без
согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Оператор вправе передавать персональные данные органам дознания и следствия, иным
уполномоченным органам по основаниям, предусмотренным действующим законодательством
Российской Федерации.
В случае необходимости взаимодействия с третьими лицами в рамках достижения целей
обработки персональных данных передача персональных данных в адрес третьих лиц
осуществляется на основании гражданско-правового договора (поручения на обработку
персональных данных).
Оператор при обработке персональных данных принимает все необходимые правовые,
организационные и технические меры для их защиты от неправомерного или случайного доступа,
уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также
от иных неправомерных действий в отношении них. Обеспечение безопасности персональных
данных достигается, в частности, следующими мерами:
осуществляется внутренний контроль и (или) аудит соответствия обработки персональных
данных Федеральному закону «О персональных данных» и принятым в соответствии с ним
нормативным правовым актам, требованиям к защите персональных данных, локальным актам
Оператора;
работники Оператора, непосредственно осуществляющие обработку персональных данных,
ознакомлены с положениями законодательства Российской Федерации о персональных данных, в
том числе с требованиями к защите персональных данных, локальными актами в отношении
обработки персональных данных;
при обработке персональных данных в информационных системах применяются
организационные и технические меры по обеспечению безопасности персональных данных,
необходимые для выполнения требований по защите персональных данных;
осуществляется оценка эффективности принимаемых мер по обеспечению безопасности
персональных данных до ввода в эксплуатацию информационной системы персональных данных;
учитываются машинные носители персональных данных;
факты несанкционированного доступа к персональным данным пресекаются с принятием
соответствующих мер;
осуществляется восстановление персональных данных, модифицированных или
уничтоженных вследствие несанкционированного доступа к ним;
установлены правила доступа к персональным данным, обрабатываемым в информационной
системе персональных данных;
осуществляется регистрация и учет всех действий, совершаемых с персональными данными
в информационных системах персональных данных;
осуществляется контроль за принимаемыми мерами по обеспечению безопасности
персональных данных и уровнем защищенности информационных систем персональных данных.
Условием прекращения обработки персональных данных может являться достижение целей
обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта
персональных данных на обработку его персональных данных, а также выявление неправомерной
обработки персональных данных.
Хранение персональных данных осуществляется в форме, позволяющей определить
субъекта персональных данных не дольше, чем этого требуют цели обработки персональных
данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным
законом, договором, стороной которого, выгодоприобретателем или поручителем по которому
является субъект персональных данных.
Сроки хранения персональных данных граждан, обратившихся за оказанием медицинской
помощи, обусловлены сроками хранения медицинской документации.
При осуществлении хранения персональных данных Оператор использует базы данных,
находящиеся на территории Российской Федерации.
6. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ
В случае подтверждения факта неточности персональных данных или неправомерности их
обработки персональные данные подлежат их актуализации Оператором, а обработка должна быть
прекращена, соответственно.
При достижении целей обработки персональных данных, а также в случае отзыва субъектом
персональных данных согласия на их обработку персональные данные подлежат уничтожению,
если:
иное не предусмотрено договором, стороной которого, выгодоприобретателем или
поручителем по которому является субъект персональных данных;
Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на
основаниях, предусмотренных Федеральным законом «О персональных данных» или иными
федеральными законами;
иное не предусмотрено иным соглашением между оператором и субъектом персональных
данных.
8. ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
Оператор обязан сообщить субъекту персональных данных или его представителю
информацию об осуществляемой им обработке персональных данных такого субъекта по запросу
последнего.
Субъект персональных данных имеет право на получение информации, касающейся
обработки его персональных данных, в том числе содержащей:
подтверждение факта обработки персональных данных Оператором;
правовые основания и цели обработки персональных данных;
цели и применяемые Оператором способы обработки персональных данных;
наименование и место нахождения Оператора, сведения о лицах (за исключением
работников Оператора), которые имеют доступ к персональным данным или которым могут быть
раскрыты персональные данные на основании договора с Оператором или на основании
федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту
персональных данных, источник их получения, если иной порядок представления таких данных не
предусмотрен федеральным законом;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных
Федеральным законом «О персональных данных»;
информацию об осуществленной или о предполагаемой трансграничной передаче данных;
наименование и адрес юридического лица, осуществляющего обработку персональных
данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные федеральными законами.
Субъект персональных данных вправе требовать от Оператора уточнения персональных
данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими,
неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной
цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Право субъекта персональных данных на доступ к его персональным данным и уничтожение
персональных данных может быть ограничено в случаях, предусмотренных законом.
Для реализации своих прав и защиты законных интересов субъект персональных данных
имеет право обратиться к Оператору. Оператор рассматривает любые обращения и жалобы со
стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает
все необходимые меры для их немедленного устранения, наказания виновных лиц и
урегулирования спорных и конфликтных ситуаций в досудебном порядке.
Субъект персональных данных вправе обжаловать действия или бездействие Оператора
путем обращения в уполномоченный орган по защите прав субъектов персональных данных.
Субъект персональных данных имеет право на защиту своих прав и законных интересов в
судебном порядке