Приложение к приказу 1/пк от 12 августа 2022
Политика в отношении обработки персональных данных ООО «Аква-Термал-СПА»
Оглавление
- Общие положения
- Правовые основания обработки персональных данных
- Субъекты персональных данных
- Принципы, цели, содержание и способы обработки персональных данных
- Меры по надлежащей организации обработки и обеспечению безопасности персональных данных
- Обязанности оператора
- Ответственные за организацию обработки и за обеспечение безопасности персональных данных
- Права субъектов персональных данных
- Доступ к Политике
- Актуализация и утверждение Политики
- Ответственность
Общие положения
1.1. В целях выполнения норм действующего законодательства Российской Федерации в сфере персональных данных ООО «Аква-Термал-СПА» (далее — Учреждение) считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных, а также обеспечение безопасности процессов их обработки.
1.2. Настоящая политика в отношении обработки персональных данных (далее – Политика):
1.2.1. разработана в целях реализации требований законодательства Российской Федерации в сфере персональных данных;
1.2.2. раскрывает способы и принципы обработки персональных данных Учреждением, права и обязанности Учреждения при обработке персональных данных, права субъектов персональных данных, а также включает перечень мер, применяемых Учреждением в целях обеспечения безопасности персональных данных при их обработке;
1.2.3. является общедоступным документом, декларирующим концептуальные основы деятельности Учреждения при обработке и защите персональных данных.
1.3. Учреждение осуществило уведомление уполномоченного органа по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.
Правовые основания обработки персональных данных
2.1. Политика определяется в соответствии со следующими нормативными правовыми актами Российской Федерации:
2.1.1. Конституцией Российской Федерации;
2.1.2. Трудовым кодексом Российской Федерации;
2.1.3. Гражданским кодексом Российской Федерации;
2.1.4. Федеральным законом от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
2.1.5. Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
2.1.6. Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
2.1.7. Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
2.1.8. Федеральным законом от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
2.1.9. Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
2.1.10. Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
2.2. Во исполнение настоящей Политики директором Учреждения утверждены следующие локальные акты:
2.2.1. Порядок работы с персональными данными в ООО «Аква-Термал-СПА»;
2.2.2. Положение о конфиденциальной информации;
2.2.3. Перечень подразделений Учреждения и/или их работников, допущенных к работе с конфиденциальной информацией;
2.2.4. Перечень работников ООО «Аква-Термал-СПА», допускаемых к работе с персональными данными застрахованных лиц, хранящимися и обрабатываемыми в АИС ОМС;
2.2.5. Регламент проведения оценки вреда субъектам, персональные данные которых обрабатываются в Учреждении;
2.2.6. Правила проведения периодических проверок условий обработки персональных данных;
2.2.7. Правила работы с обезличенными данными;
2.2.8. Порядок доступа работников Учреждения в помещения, в которых ведется обработка персональных данных;
2.2.9. Инструкция по организации защиты персональных данных, обрабатываемых без использования средств автоматизации;
2.2.10. иные локальные акты Учреждения в сфере обработки и защиты персональных данных.
Субъекты персональных данных
Учреждение обрабатывает персональные данные:
3.1. пациентов Учреждения;
3.2. работников Учреждения, с которыми заключены трудовые договоры,
3.3. физических лиц, с которыми заключены договоры гражданско-правового характера,
3.4. контрагентов Учреждения (руководителей и главных бухгалтеров контрагентов-юридических лиц).
Принципы, цели, содержание и способы обработки персональных данных
4.1. Учреждение в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
4.2. Учреждение осуществляет сбор и дальнейшую обработку персональных данных в следующих целях:
4.2.1. оказание первичной доврачебной и врачебной медико-санитарной помощи в амбулаторных условиях, первичной специализированной медико-санитарной помощи в амбулаторных условиях;
4.2.2. проведение экспертиз;
4.2.3. иные виды деятельности, не являющиеся основными видами деятельности, в соответствии с Уставом Учреждения;
4.2.4. осуществление кадрового учета;
4.2.5. замещение вакантных должностей кандидатами, соответствующими требованиям Учреждения;
4.2.6. реализация обязанностей, предусмотренных Трудовым кодексом Российской Федерации, по выплате заработной платы, по осуществлению пенсионных и налоговых отчислений;
4.2.7. соблюдение единого порядка делопроизводства;
4.2.8. размещение заказов на поставки товаров, выполнение работ, оказание услуг для обеспечения нужд Учреждения;
4.2.9. контроль входа (выхода) лиц, вноса (выноса), имущества на территорию (с территории) Учреждения.
4.3. Учреждение установило сроки и условия прекращения обработки персональных данных:
4.3.1. передача персональных данных на архивное хранение;
4.3.2. уничтожение персональных данных.
4.4. Обработка персональных данных Учреждением включает в себя следующие действия с персональными данными:
4.4.1. сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, передача, обезличивание, уничтожение.
4.5. Учреждение ведет персонифицированный учет пациентов в соответствии с требованиями действующего законодательства Российской Федерации в сфере обязательного медицинского страхования.
4.6. Учреждение осуществляет обработку специальных категорий персональных данных, касающихся состояния здоровья субъекта персональных данных.
4.7. Учреждение не осуществляет обработку биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).
4.8. Учреждение не передает третьим лицам и не распространяет персональные данные без согласия субъекта или его законного представителя, за исключением случаев, предусмотренных действующим законодательством Российской Федерации.
4.9. Учреждение не осуществляет трансграничную передачу персональных данных (передачу на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу).
4.10. Учреждение не создает общедоступные источники персональных данных (справочники, адресные книги).
4.11. Учреждением не принимаются решения, порождающие юридические последствия в отношении субъектов персональных данных или иным образом затрагивающие их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.
4.12. Учреждение осуществляет обработку персональных данных с использованием средств автоматизации и без использования средств автоматизации1.
Меры по надлежащей организации обработки и обеспечению безопасности персональных данных
5.1. Учреждение при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:
5.1.1. назначением лица, ответственного за организацию обработки персональных данных;
5.1.2. назначением лица, ответственного за обеспечение безопасности персональных данных;
5.1.3. применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
5.1.4. осуществлением внутреннего контроля и/или аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006
№ 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам Учреждения;
5.1.5. путем оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;
5.1.6. ознакомлением работников Учреждения, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами Учреждения в отношении обработки персональных данных, и обучением указанных работников;
5.1.7. определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
5.1.8. применением средств защиты информации, прошедших в
установленном порядке процедуру оценки соответствия;
5.1.9. учетом машинных носителей персональных данных;
5.1.10. установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
5.1.11. оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных, в том числе до ввода в эксплуатацию информационной системы персональных данных;
5.1.12. выявлением (обнаружением) фактов несанкционированного доступа к персональным данным и принятием соответствующих мер;
5.1.13. восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
5.1.14. контролем над принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.
5.2. Обязанности работников Учреждения, осуществляющих обработку и защиту персональных данных, а также их ответственность, определяются в локальных нормативных актах «Порядок работы с персональными данными в ООО «Аква-Термал-СПА», «Положение о конфиденциальной информации», «Правила внутреннего трудового распорядка работников ООО «Аква-Термал-СПА», иных документах.
Обязанности оператора
6.1.1. В соответствии с требованиями Федерального закона № 152-ФЗ «О персональных данных» Учреждение обязано:
6.1.2. предоставлять субъекту персональных данных или его законному представителю по запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить отказ в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя;
6.1.3. по требованию субъекта персональных данных или его законного представителя уточнять, блокировать или удалять обрабатываемые персональные данные, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки в срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих эти факты;
6.1.4. в случае достижения цели обработки персональных данных незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого является субъект персональных данных;
6.1.5. в случае отзыва субъектом персональных данных или его законным представителем согласия на обработку персональных данных прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Учреждением и субъектом персональных данных, и уведомить субъекта персональных данных или его законного представителя об уничтожении персональных данных, за исключением случаев, предусмотренных действующим законодательством Российской Федерации.
Ответственные за организацию обработки и за обеспечение безопасности персональных данных
7.1. Генеральный директор Учреждения назначает лицо, ответственное за организацию обработки персональных данных в Учреждении. Назначение на должность лица, ответственного за организацию обработки или обеспечение безопасности персональных данных в Учреждении и освобождение от нее осуществляется генеральным директором из числа работников Учреждения с учетом их полномочий, компетенции и личностных качеств, позволяющих надлежащим образом и в полном объеме реализовывать права и выполнять обязанности по организации обработки или обеспечению безопасности персональных данных.
7.2. Лицо, ответственное за организацию обработки персональных данных:
7.2.1. организует осуществление внутреннего контроля над соблюдением работниками Учреждения требований законодательства Российской Федерации по работе с персональными данными;
7.2.2. доводит до сведения работников Учреждения положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных;
7.2.3. организует прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществляет контроль над приемом и обработкой таких обращений и запросов.
7.3. Лицо, ответственное за обеспечение безопасности персональных данных:
7.3.1. организует осуществление внутреннего контроля над соблюдением работниками Учреждения требований законодательства Российской Федерации о защите персональных данных;
7.3.2. доводит до сведения работников Учреждения положения законодательства Российской Федерации о персональных данных, локальных актов в части требований к защите персональных данных.
7.4. Права, обязанности и юридическая ответственность лиц, перечисленных в пунктах 7.1 и 7.2, установлены Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и соответствующими локальными нормативными актами.
Права субъектов персональных данных
8.1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Учреждением.
8.2. Субъект персональных данных вправе требовать от Учреждения уточнения этих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
8.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
8.4. Для реализации и защиты своих прав и законных интересов субъект персональных данных имеет право обратиться в Учреждение. Учреждение рассматривает любые обращения и жалобы со стороны субъектов персональных данных, проводит проверки в отношении фактов нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
8.5. Субъект персональных данных вправе обжаловать действия или бездействия Учреждения путем обращения в уполномоченный орган по защите прав субъектов персональных данных.
8.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
8.7. Субъект персональных данных может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к генеральному директору ООО «Аква-Термал-СПА» с помощью электронной почты по адресу image.dent@mail.ru
Доступ к Политике
9.1. Действующая редакция Политики на бумажном носителе хранится в месте нахождения исполнительного органа Учреждения по адресу: г. Москва, ул. Новопетровская, д. 16
9.2. Электронная версия действующей редакции Политики общедоступна на сайте Учреждения в сети «Интернет»: https://имидждент.рф
Актуализация и утверждение Политики
10.1. Политика утверждается и вводится в действие генеральным директором Учреждения.
10.2. Учреждение имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата утверждения действующей редакции Политики.
10.3. Политика актуализируется и заново утверждается на регулярной основе – один раз в год с момента утверждения предыдущей редакции Политики.
10.4. Политика может актуализироваться и заново утверждаться ранее срока, указанного в п. 10.3 Политики, по мере внесения изменений:
10.4.1. в нормативные правовые акты в сфере персональных данных;
10.4.2. в локальные акты Учреждения, регламентирующие организацию обработки и обеспечение безопасности персональных данных.
11. Ответственность
11.1. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут ответственность, предусмотренную законодательством Российской Федерации, локальными актами Учреждения и государственными контрактами/договорами, регламентирующими правоотношения Учреждения с третьими лицами.