• Телефон

    +7 495 947-02-70
  • ул. Народного ополчения,

    д. 23 к. 3
  • Пн - Вс

    08.00 - 21.00

У Т В Е Р Ж Д А Ю 

Директор 

______________________________ 

(Ифраимов А.А.) 

______________________________ 

(03 мая 2018) 

Политика обработки персональных данных  

в ООО «Мос-Медикал-Сервис» 

1.     Основные положения 

Настоящий документ определяет политику ООО «Мос-Медикал-Сервис» (далее – «Оператор» или «Компания») в отношении обработки персональных данных. В соответствии с законодательством Российской Федерации ООО «Мос-Медикал-Сервис» является оператором персональных данных. 

1.1. Настоящая Политика разработана в соответствии с действующим законодательством Российской Федерации: 

  •        Конституция Российской Федерации от 12.12.1993г.; 
  •        Трудовой кодекс Российской Федерации от 30.12.2001г. №197-ФЗ; 
  •        Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных»; 
  •        Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»; 
  •        Федеральный закон от 21.11.2011г. №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» 
  •        Федеральный закон от 29.11.2010г. №326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»   
  •        Постановление Правительства Российской Федерации от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; 
  •        Постановление Правительства Российской Федерации от 15.09.2008 № 687. «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». 

1.2. Действие настоящей Политики распространяется на все процессы обработки персональных данных – те любое действие или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.                                            

1.3. Настоящая Политика определяет основные вопросы, связанные с обработкой персональных данных в Компании, в том числе устанавливает принципы, порядок и условия обработки и защиты персональных данных лиц, состоящих в договорных, гражданско-правовых, трудовых и иных отношениях с Компанией и направлена на обеспечение защиты прав и свобод человека и субъекта персональных данных при обработке его персональных данных в Компании, включая защиту прав на неприкосновенность частной жизни, личной, семейной и врачебной тайн.  

1.4. Положениями настоящей Политики руководствуются все работники Компании. 

1.5. Действие настоящей Политики не распространяется на отношения, возникающие при:                        

  • организации хранения, комплектования, учета и использования содержащих персональные данные документов, имеющих статус архивных документов в соответствии с законодательством об архивном деле в Российской Федерации
  • обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

2. Основные термины и состав персональных данных 

2.1. В Политике используются термины в соответствии с их значениями, указанными в Федеральном законе от 27.07.2006 № 152-ФЗ. 

2.2. Оператор обрабатывает персональные данные следующих категорий субъектов персональных данных: 

  •        персональные данные пациента, заказчика, клиента (потенциального клиента), представителей заказчиков и пациентов (членов семей и иных родственников), партнера, контрагента (потенциального контрагента), а также персональные данные руководителя, участника (акционера) или сотрудника юридического лица, являющегося клиентом или контрагентом (потенциальным клиентом, партнером, контрагентом) Оператора – в части информации, необходимой Оператору для выполнения своих обязательств в рамках договорных отношений с пациентом, клиентом (контрагентом); 
  •        персональные данные соискателей на замещение вакантных должностей, работников Оператора – в части информации, необходимой Оператору в связи с трудовыми отношениями;  

3.  Принципы обработки персональных данных 

Обработка персональных данных осуществляется на основе следующих принципов: 

1)    Обработка персональных данных осуществляется на законной и справедливой основе; 

2)    обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей; 

3)    обработка персональных данных, несовместимая с целями сбора персональных данных, не допускается; 

4)    не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой; 

5)    содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки; 

6)    при обработке персональных данных обеспечивается их точность и достаточность, в случаях необходимости и актуальность по отношению к заявленным целям их обработки; 

7)    хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки таких данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; 

8)    обрабатываемые персональные данные подлежат уничтожению или обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. 

 

4.  Цели и условия обработки персональных данных 

4.1. Оператор осуществляет обработку персональных данных в целях осуществления деятельности ООО «Мос-Медикал-Сервис», в соответствии с требованиями законодательства Российской Федерации.  

Целями обработки персональных данных являются: 

— организация кадрового учета, ведение кадрового делопроизводства, содействие работникам в трудоустройстве, обучении и продвижении по службе, исполнение налогового законодательства РФ в связи с исчислением и уплатой НДФЛ, а также пенсионного законодательства РФ при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнение первичной статистической документации; 

— заключение, исполнение и прекращение гражданско-правовых договоров;  

— закрепление принципов защиты персональных данных субъектов персональных данных Оператора, обеспечение их прав и свобод, установление правил обработки персональных данных и их защиты; 

— подготовка, заключение, исполнение и прекращение договоров с контрагентами; 

— сбор персональных данных в иных законных целях. 

4.2. Обработка персональных данных осуществляется с соблюдением принципов и правил, установленных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных». Обработка допускается в следующих случаях:  

1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; 

2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей; 

3) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем; 

4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно; 

5) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных; 

6) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, продвижения товаров, работ и услуг на рынке, а также не в целях политической агитации;  

7) осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе; 

8) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом. 

4.3. Оператор может осуществлять обработку данных о состоянии здоровья субъекта персональных данных в следующих случаях: 

1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных; 

2) персональные данные сделаны общедоступными субъектом персональных данных;  

3) обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации; 

4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно; 

5) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну; 

6) обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия; 

7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации; 

8) обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством; 

4.4. В случае осуществления трансграничной передачи персональных данных – такая передача осуществляется в соответствии с требованиями Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».  

4.5. Оператор осуществляет обработку биометрических персональных данных (сведения, которые характеризуют биологические и физиологические особенности человека, на основании которых можно установить его личность) с письменного согласия субъекта персональных данных.   

4.6. Принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, не осуществляется.  

4.7. При отсутствии необходимости письменного согласия субъекта на обработку его персональных данных согласие субъекта может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме.                       

4.8. При поручении обработки персональных данных другому лицу Компания заключает договор (далее – поручение оператора) с этим лицом и получает согласие субъекта персональных данных, если иное не предусмотрено федеральным законом. При этом Компания в поручении оператора обязует лицо, осуществляющее обработку персональных данных по поручению Компании, соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных», а также определяется перечень действий (операций) с персональными данными, которые будут совершаться, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать их безопасность и указываются требования к защите обрабатываемых персональных данных в соответствии со статьей 19 вышеуказанного Федерального закона.         

4.8.1. В случаях, когда Компания поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Компания. Лицо, осуществляющее обработку персональных данных по поручению Компании, несет ответственность перед Компанией.                                                                                 

4.9.   Оператор обязуется и обязует иные лица, получившие доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. 

5.  Меры по обеспечению безопасности персональных данных при их обработке  

5.1. Обеспечение безопасности персональных данных в Компании достигается, в частности, следующими способами:  

— назначением ответственного лица за организацию обработки персональных данных, права и обязанности которого определяются локальными актами Компании;                                                       

— осуществлением внутреннего контроля и/или аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, требованиями к защите персональных данных, локальными актами Компании; 

— ознакомлением сотрудников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных и/или обучением указанных сотрудников;                                                                                                                                                             

— определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;                                                                   

— применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;  

— оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;       

— учетом машинных (материальных) носителей персональных данных;  

— выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер;  

— восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;   

— установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;  

— контролем над соблюдением требований в сфере обеспечения безопасности персональных данных и к уровням защищенности информационных систем персональных данных; 

— взятием с работника подписки о соблюдении конфиденциальности в отношении персональных данных субъектов персональных данных при работе с ними. 

6.  Обязанности Оператора 

6.1. В соответствии с требованиями действующего законодательства Оператор обязан: 

1) соблюдать конфиденциальность персональных данных и обеспечивать их безопасность, в т.ч. путем внедрения организационно-технических мер, связанных с защитой обрабатываемых персональных данных;  

2) предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить отказ. Срок предоставления информации — в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя; 

3) по требованию субъекта персональных данных уточнять, блокировать или удалять обрабатываемые персональные данные, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Срок: не более семи рабочих дней со дня предоставления субъектом персональных данных  или его представителем сведений, подтверждающих эти факты; 

4) уведомлять субъекта персональных данных об обработке персональных данных в том случае, если они были получены не от субъекта персональных данных. Исключение составляют следующие случаи:  

  •        субъект персональных данных уведомлен об осуществлении обработки Оператором его персональных данных; 
  •        персональные данные получены Оператором в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных или на основании федерального закона; 
  •        персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника; 
  •        Оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных; 
  •        предоставление субъекту персональных данных сведений, содержащихся в Уведомлении об обработке персональных данных, нарушает права и законные интересы третьих лиц; 

5) в случае достижения цели обработки персональных данных незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» или другими федеральными законами. 

6) В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор обязан прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» или другими федеральными законами; 

7) в случае поступления требования субъекта ПДн о прекращении обработки ПДн, полученных в целях продвижения товаров, работ, услуг на рынке, немедленно прекратить обработку ПДн. 

7. Права субъекта персональных данных 

7.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей: 

— подтверждение факта обработки персональных данных Оператором;               

— правовые основания и цели обработки персональных данных;    

— цели и применяемые Оператором способы обработки персональных данных;                           

— наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты такие данные на основании договора с Оператором или на основании законодательства;  

— обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством;     

— сроки обработки персональных данных, в том числе сроки их хранения;                                  

— порядок осуществления субъектом персональных данных прав, предусмотренных действующим законодательством;                      

— информацию об осуществленной или о предполагаемой трансграничной передаче персональных данных;                                                                                                                  

— наименование или фамилию, имя, отчество и адрес лиц, осуществляющих обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена таким лицам;                                                                                                                             

— иные сведения, предусмотренные законодательством РФ;  

7.2. Сведения, указанные в п. 8.1. настоящей Политики, должны быть предоставлены субъектам персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.                      

7.3. Сведения, указанные п. 8.1. настоящей Политики, предоставляются субъекту персональных данных или его представителю Оператором при обращении либо при получении Запроса субъекта персональных данных или его представителя в течение 30 (тридцати) календарных дней с момента получения соответствующего запроса Оператором.                                                                          

7.4.  Запрос, указанный в п. 8.3. настоящей Политики, должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, номер амбулаторной карты и др.), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.                  

7.5. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если такие данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.                                                                                                                                                                           

7.6. На свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных действующим законодательством Российской Федерации.                                                                 7.7.В отдельных случаях, предусмотренных законодательством, право субъекта персональных данных на доступ к его персональным данным может быть ограничено. 

7.8. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований законодательства или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.                                                                                                                                              

7.9. Ограничение прав субъектов персональных данных. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если предоставление доступа к его персональным данным нарушает права и законные интересы других лиц.                                                            

7.9.1. В случае если сведения, касающиеся обработки персональных данных, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе направить повторный запрос в целях получения сведений, касающихся обработки персональных данных, и ознакомления с такими персональными данными не ранее чем через тридцать дней после направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.  

7.9.2. Субъект персональных данных вправе направить Компании повторный запрос в целях получения сведений, касающихся обработки персональных данных, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в п. 7.9.1. в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального запроса. Повторный запрос должен содержать обоснование направления повторного запроса.                         

7.9.3. Компания вправе мотивированно отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, изложенным в пунктах 7.9.1.-7.9.2. настоящей Политики.  

8. Заключительные положения 

8.1. Компания оставляет за собой право вносить изменения в настоящую Политику.                    

8.2. Пересмотр положений настоящей Политики может проводиться по следующим причинам: 

  •      при изменении нормативных актов Российской Федерации, регулирующих отношения в области обработки персональных данных; 
  •      при изменении внутренних нормативных актов; 
  •      в случаях выявления несоответствий, затрагивающих обработку персональных данных; 
  •      по результатам контроля выполнения требований по обработке и защите персональных данных. 

После пересмотра положений настоящей Политики, ее актуализированная версия публикуется на официальном сайте Компании. 

8.3. Субъект персональных данных вправе обжаловать действия или бездействие Компании путем обращения в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.  

8.4. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут дисциплинарную, гражданско-правовую, административную и уголовную ответственность в порядке, установленном действующим законодательством.