Политика в отношении обработки персональных данных
1. Общие положения
Настоящая Политика вводится в действие с момента ее утверждения и действует до принятия в новой редакции, в связи с внесением изменений в действующее законодательство Российской Федерации.
Настоящая Политика обработки персональных данных в ООО «ЦЭСИ» определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых в ООО «ЦЭСИ» персональных данных, функции ООО «ЦЭСИ» при обработке персональных данных, права субъектов персональных данных, а также реализуемые в ООО «ЦЭСИ» требования к защите персональных данных.
2. Правовое основание для обработки персональных данных
Настоящая Политика определяется в соответствии со следующими нормативными правовыми актами:
- Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
- Трудового кодекса Российской Федерации.
- Конституции Российской Федерации.
- Федеральный закон от 24 июля 1998 г. № 125ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»;
- Федеральный закон от 21 ноября 2011 г. N 323ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
- Постановления Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
- Постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
- Приказа ФНС от 17 ноября 2010 г. № ММВ-7-3/611 «Об утверждении формы сведений о доходах физических лиц и рекомендации по ее заполнению, формата сведений о доходах физических лиц в электронном виде, справочников».
- иными нормативно-правовыми актами, действующими на территории Российской Федерации.
3. Сфера распространения настоящей Политики
В отношении персональных данных, обрабатываемых ООО «ЦЭСиИ».
4. Основные термины, понятия и определения
Информация - сведения (сообщения, данные) независимо от формы их представления.
Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
5. Цели и принципы обработки персональных данных
Цели:
- установление медицинского диагноза,
- определение назначений и рекомендаций для пациентов,
- организация записи на прием граждан,
- организация хранения и ведения медицинской документации;
- оказание медицинских стоматологических услуг населению,
- реализация гражданами РФ, закрепленных за ними Конституцией РФ прав на обращение в медицинские организации в установленном порядке,
- обеспечение законов и иных форм нормативно-правовых актов в отношении работников, для соблюдения действующего трудового законодательства,
- содействие работникам в трудоустройстве, обучении и продвижении работников по должностной службе,
- оформление на работу, оформление командировок, начисление заработной платы и оплата листов временной нетрудоспособности
- контроль количества и качества выполняемой сотрудниками ООО ЦЭСИ работы,
- соблюдение основных государственных гарантий по оплате труда,
- финансовый контроль,
- защита жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
Принципы:
- Основанием для начала обработки персональных данных является согласие субъекта (пациента/работника) на обработку персональных данных.
- Без согласия субъекта персональных данных ООО «ЦЭСИ» не передает третьим лицам и не распространяет его персональные данные, если иное не предусмотрено законодательством Российской Федерации.
- Обработка персональных данных осуществляется в ООО «ЦЭСИ» на законной и справедливой основе;
- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
- обработке подлежат только персональные данные, которые отвечают целям их обработки;
- содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки.
- при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. ООО «ЦЭСИ» принимает необходимые меры, либо обеспечивает их принятие по удалению или уточнению неполных или неточных персональных данных;
- обрабатываемые персональные данные уничтожаются либо обезличиваются по достижению целей обработки или в случае утраты необходимости достижения этих целей, если иное не предусмотрено законодательством Российской Федерации.
В ООО «ЦЭСИ» не допускается:
- обработка персональных данных, несовместимая с целями сбора персональных данных;
- объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
6. Функции при осуществлении обработки персональных данных
- принятие необходимых мер для обеспечения выполнения требований законодательства Российской Федерации в области обработки персональных данных.
- принятие организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, а также, изменения, уничтожения, копирования, блокирования, распространения персональных данных, а также иных неправомерных действий в отношении персональных данных.
- приказом директора назначено лицо, ответственное за организацию обработки персональных данных в ООО «ЦЭСИ».
- ознакомление работников ООО «ЦЭСИ», осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации и локальных нормативных актов в области обработки персональных данных, в том числе с требованиями к защите персональных данных.
- размещение настоящей Политики на сайте ООО «ЦЭСИ» и обеспечение неограниченного доступа к ней.
- сообщение в установленном порядке субъектам персональных данных или их представителям информации о наличии персональных данных, относящихся к соответствующим субъектам, предоставление возможности ознакомления с этими персональными данными при обращении или поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Российской Федерации.
- прекращение обработки персональных данных в случаях, предусмотренных законодательством Российской Федерации.
7. Категории субъектов, персональные данные которых обрабатываются в ООО «ЦЭСИ»
Лица, обратившиеся в ООО ЦЭСИ для оказания медицинских услуг
Категории обрабатываемых персональных данных этой категории субъектов
- фамилия, имя, отчество
- дата рождения (число, месяц, год)
- пол,
- адрес,(фактический/регистрации)
- номер телефона,
- адрес электронной почты,
- место работы,
- паспортные данные,
- номер ИНН,
- номер СНИЛС (для оформления электронного листа нетрудоспособности)
- рентгенодиагностические снимки,
- фотографии, необходимые для планирования и осуществления лечения (протезирования) (фотопротокол).
- состояние здоровья (наличие заболеваний),
- номер и срок действия страхового медицинского полиса (ДМС)
- данные о членах семьи
- данные об оплате за предоставленные стоматологические услуги.
Работники (в рамках трудовых отношений)
Категории обрабатываемых персональных данных этой категории субъектов:
- фамилия, имя, отчество (в том числе предыдущие),
- дата рождения, месяц рождения, год рождения,
- место рождения,
- пол,
- адрес (регистрации/фактический),
- семейное положение,
- социальное положение
- образование (данные документов об образовании),
- профессия,
- знание иностранных языков,
- сведения о доходах,
- сведения о состоянии здоровья (в т.ч. медицинские заключения при прохождении ежегодных медицинских осмотров),
- паспортные данные,
- отношение к воинской обязанности,
- данные военного билета,
- данные трудового договора,
- данные документов о профессиональной аттестации, переподготовке, стажировке,
- повышения квалификации,
- данные о составе и членах семьи,
- сведения о социальных льготах,
- сведения о пенсионном обеспечении и страховании,
- стаж работы и другие сведения трудовой книжки и вкладыша к ней,
- данные об: отпусках, командировках, данные больничного листа,
- должность, квалификация,
- сведения о заработной плате,
- номер расчетного счета в банке,
- фотографии (для личного дела)
- номер контактного телефона,
- адрес электронной почты,
- данные ИНН, СНИЛС,
- данные документов об инвалидности работника и его членов семьи.
8. Перечень действий с персональными данными
Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ) в рамках трехстороннего договора, по запросу суда, на основании нормативно правовых документов, обезличивание, блокирование, удаление, уничтожение.
В ООО ЦЭСИ производится смешанная обработка персональных данных (автоматизированная и неавтоматизирванная), с передачей по внутренней сети ООО ЦЭСИ, с передачей в сети Интернет.
Трансграничная передача персональных данных в ООО ЦЭСИ отсутствует.
9. Сведения об обеспечении безопасности персональных данных
- при неавтоматизированной обработке персональных данных исключен несанкционированный к ним доступ, определен перечень лиц, осуществляющих обработку персональных данных, определены места хранения персональных данных (хранение документов-носителей персональных данных в сейфах).
- при автоматизированной обработке персональных данных, защита персональных данных обеспечивается путем установки паролей доступа на ПЭВМ, на которых осуществляется обработка персональных данных, а также при входе в программы 1С-Бухгалтерия, стоматологическую программу «Дент», предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок (антивирусный пакет).
- определен перечень лиц, осуществляющих обработку персональных данных, назначенных приказом директора ООО «ЦЭСИ».
- помещение, в котором размещены информационные системы и носители персональных данных, оборудовано необходимыми средствами защиты от неконтролируемого проникновения и пребывания в нем посторонних лиц.
- работники ООО ЦЭСИ, непосредственно осуществляющие обработку персональных данных ознакомлены с положениями законодательства Российской Федерации о персональных данных, требованиями к защите персональных данных.
- производится внутренний контроль за соблюдением работниками ООО «ЦЭСИ» законодательства Российской Федерации в области обработки персональных данных, в том числе требований к защите персональных данных.
- ответственность должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и локальными документами.
10. Передача сведений третьим лицам
В случае необходимости взаимодействия с третьими лицами, в рамках достижения целей обработки персональных данных, условием передачи персональных данных в адрес третьих лиц является наличие договора/поручения на обработку персональных данных в соответствии с ч. 3 ст. 6 № 152-ФЗ «О персональных данных».
Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
11. Сроки обработки персональных данных
Сроки обработки персональных данных определяются в соответствии:
- со сроком действия договора с субъектом персональных данных,
- Приказом Минкультуры РФ от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», а также иными требованиями законодательства РФ.
Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
В организации создаются и хранятся документы, содержащие сведения о субъектах персональных данных. Требования к использованию в организации данных типовых форм документов установлены Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
12. Права субъектов персональных данных на доступ к его персональным данным
Субъект персональных данных имеет право на:
- полную информацию об их персональных данных, обрабатываемых в ООО «ЦЭСИ».
- доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренным законодательством Российской Федерации.
- уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
- отзыв согласия на обработку персональных данных.
- принятие предусмотренных законодательством Российской Федерации мер по защите своих прав.
- обжалование действия или бездействия ООО «ЦЭСИ», осуществляемого с нарушением требований законодательства Российской Федерации в области персональных данных.
- подтверждение факта обработки персональных данных оператором;
Субъект персональных данных имеет право знать:
- правовые основания и цели обработки персональных данных;
- цели и применяемые оператором способы обработки персональных данных;
- наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.
Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Сведения должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
Сведения предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
В случае, если сведения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, а также в целях ознакомления с обрабатываемыми персональными данными до истечения 30 дней, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.
Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.