ПОЛИТИКА

обработки персональных данных

 
 
1. Общие положения
1.1. Настоящая Политика обработки персональных данных (далее — Политика) определяет цели, принципы, условия и порядок обработки персональных данных, меры по обеспечению безопасности персональных данных, а также права субъектов персональных данных и порядок их реализации в ООО «ДАНТИСТ» (далее — Оператор).
1.2. Политика разработана и применяется в соответствии с:
— Федеральным законом от 27.07.2006 № 152‑ФЗ «О персональных данных»;
— Федеральным законом от 21.11.2011 № 323‑ФЗ «Об основах охраны здоровья граждан в Российской Федерации» (в части врачебной тайны и обработки сведений о состоянии здоровья);
— Федеральным законом от 27.07.2006 № 149‑ФЗ «Об информации, информационных технологиях и о защите информации»;
— Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
— иными нормативными правовыми актами РФ, а также локальными нормативными актами Оператора.
1.3. Оператор персональных данных:
Общество с ограниченной ответственностью «ДАНТИСТ» (ООО «ДАНТИСТ»)
ИНН 3443099690 / КПП 344301001, ОГРН 1103443003773
Адрес: 400075, Волгоградская область, г. Волгоград, ул. Колпинская, д. 1А, к. 3, пом. 1003
E-mail: dantist_volg@mail.ru
1.4. Политика распространяется на персональные данные, полученные Оператором:
— при оказании медицинских услуг;
— при ведении кадрового, бухгалтерского и административного учета;
— при взаимодействии с контрагентами;
— при использовании сайта Оператора https://дантист34.рф и иных цифровых каналов записи/обратной связи (телефон, мессенджеры, электронная почта), если такие каналы используются.
1.5. Термины и определения используются в значениях, установленных 152‑ФЗ, в том числе: «персональные данные», «обработка персональных данных», «оператор», «субъект персональных данных», «распространение», «предоставление», «обезличивание», «информационная система персональных данных (ИСПДн)», «трансграничная передача».
2. Принципы обработки персональных данных
2.1. Обработка персональных данных осуществляется на законной и справедливой основе.
2.2. Обработка ограничивается достижением конкретных, заранее определенных и законных целей.
2.3. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.4. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки.
2.5. При обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а при необходимости — актуальность.
2.6. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки, если срок хранения не установлен федеральным законом.
2.7. Персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3. Категории субъектов персональных данных
3.1. Оператор обрабатывает персональные данные следующих категорий субъектов:
— пациенты (в том числе несовершеннолетние) и их законные представители;
— посетители сайта (пользователи);
— работники Оператора, бывшие работники, кандидаты на замещение вакантных должностей;
— представители и работники контрагентов (юридических лиц и ИП), а также иные лица, взаимодействующие с Оператором.
4. Категории персональных данных
4.1. Оператор обрабатывает следующие категории персональных данных:
4.1.1. Общие персональные данные:
ФИО, дата рождения, пол, гражданство; паспортные данные/данные документов, удостоверяющих личность; адрес регистрации/проживания; контактные данные (телефон, e‑mail); сведения о полисе ОМС/ДМС (при наличии); сведения об оплате (кассовые документы, реквизиты плательщика) — в объеме, необходимом для целей обработки.
4.1.2. Специальные категории персональных данных (ст. 10 152‑ФЗ):
сведения о состоянии здоровья, диагноз, результаты обследований, анамнез, назначения, иные сведения, составляющие врачебную тайну (ст. 13 323‑ФЗ), — обрабатываются исключительно при наличии законных оснований и с соблюдением требований о врачебной тайне.
4.1.3. Биометрические персональные данные:
Оператор не осуществляет обработку биометрических персональных данных (в понимании ст. 11 152‑ФЗ) как отдельную цель. Фото/видео могут обрабатываться как персональные данные при наличии соответствующего согласия и/или законного основания и в порядке, установленном локальными актами Оператора.
4.1.4. Технические (сетевые) данные при использовании сайта:
IP‑адрес, cookie‑файлы, сведения о браузере и устройстве, дата и время доступа, сведения об активности на сайте — в части, необходимой для обеспечения функционирования сайта, информационной безопасности и аналитики (при наличии). Порядок использования cookie определяется отдельной Политикой обработки cookie.
5. Цели обработки персональных данных
5.1. Оказание медицинских услуг, включая:
— оформление, исполнение и сопровождение договоров на оказание платных медицинских услуг;
— ведение медицинской документации (медицинская карта, результаты исследований, заключения);
— запись на прием, информирование о времени приема и подготовке к нему;
— связь с пациентом по вопросам оказания медицинских услуг, включая информирование о готовности результатов и рекомендациях врача;
— проведение экспертизы качества медицинской помощи.
5.2. Исполнение требований законодательства РФ в сфере здравоохранения, бухгалтерского учета, налогового учета, трудового законодательства, а также требований контролирующих органов в пределах их компетенции.
5.3. Кадровый учет и управление персоналом (заключение и исполнение трудовых договоров, учет рабочего времени, расчет выплат, охрана труда, обучение, медосмотры работников — при необходимости).
5.4. Ведение бухгалтерского учета, налогового учета и финансово‑хозяйственной деятельности, включая взаимодействие с банками и операторами фискальных данных.
5.5. Обеспечение пропускного/объектового режима, безопасности помещений и имущества (при наличии систем видеонаблюдения — в объеме и порядке, установленном локальными актами).
5.6. Функционирование сайта и электронных сервисов записи/обратной связи, обработка обращений и запросов пользователей.
6. Правовые основания обработки персональных данных
6.1. Оператор осуществляет обработку персональных данных на следующих правовых основаниях (ст. 6, 9, 10 152‑ФЗ):
— согласие субъекта персональных данных на обработку его персональных данных;
— необходимость обработки для исполнения договора, стороной которого является субъект персональных данных, либо для заключения договора по инициативе субъекта;
— необходимость обработки для выполнения обязанностей Оператора, установленных законодательством РФ;
— обработка специальных категорий персональных данных (сведения о здоровье) — в случаях, прямо предусмотренных 152‑ФЗ и 323‑ФЗ, в том числе при оказании медицинской помощи, ведении медицинской документации и соблюдении врачебной тайны.
6.2. Оператор обеспечивает раздельную фиксацию оснований обработки по основным процессам (медицинская деятельность, кадровый учет, бухгалтерия, сайт) в реестрах/журналах, предусмотренных локальными актами.
7. Условия и способы обработки персональных данных
7.1. Оператор осуществляет обработку персональных данных как с использованием средств автоматизации (в ИСПДн), так и без использования средств автоматизации.
7.2. Операции с персональными данными включают: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
7.3. Персональные данные пациентов обрабатываются в объемах, необходимых для оказания медицинских услуг и выполнения требований законодательства, с соблюдением режима врачебной тайны.
7.4. Обработка персональных данных на сайте осуществляется в пределах данных, которые пользователь предоставляет добровольно через формы и каналы связи, а также технических данных, необходимых для работы сайта и обеспечения безопасности.
8. Конфиденциальность персональных данных и врачебная тайна
8.1. Оператор и его работники, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта, если иное не предусмотрено федеральным законом.
8.2. Сведения о факте обращения гражданина за медицинской помощью, состоянии его здоровья, диагнозе и иные сведения, полученные при обследовании и лечении, составляют врачебную тайну (ст. 13 323‑ФЗ). Доступ к таким сведениям предоставляется только лицам, которым он необходим для исполнения должностных обязанностей, при наличии соответствующих полномочий и допусков.
9. Передача персональных данных третьим лицам
9.1. Передача (предоставление) персональных данных третьим лицам допускается в случаях:
— при наличии согласия субъекта персональных данных;
— для исполнения договора с субъектом персональных данных;
— при наличии требования закона (в том числе по запросам уполномоченных государственных органов в пределах их компетенции);
— при поручении обработки персональных данных обработчикам (контрагентам) на основании договора/поручения в соответствии со ст. 6 и 18 152‑ФЗ.
9.2. При поручении обработки персональных данных Оператор заключает договор (поручение), предусматривающий:
— перечень действий (операций) с персональными данными;
— цели обработки;
— обязанность обработчика соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных;
— требования к защите персональных данных и порядок контроля со стороны Оператора;
— условия привлечения субподрядчиков (при необходимости).
9.3. Трансграничная передача персональных данных Оператором не осуществляется. В случае планирования трансграничной передачи Оператор обеспечивает выполнение требований 152‑ФЗ к такой передаче, включая оценку уровня защиты в иностранном государстве и соблюдение установленных ограничений.
10. Локализация персональных данных граждан РФ
10.1. При сборе персональных данных граждан Российской Федерации, в том числе посредством информационно‑телекоммуникационной сети «Интернет», Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории Российской Федерации, в случаях и порядке, предусмотренных законодательством РФ.
11. Сроки хранения персональных данных
11.1. Сроки хранения персональных данных устанавливаются с учетом:
— требований законодательства РФ (в том числе в части хранения медицинской документации, бухгалтерских и кадровых документов);
— сроков действия договоров и сроков исковой давности;
— локальных актов Оператора (номенклатуры дел, регламентов обработки и уничтожения данных).
11.2. По достижении целей обработки персональные данные подлежат уничтожению или обезличиванию, если иное не предусмотрено федеральным законом.
12. Меры по обеспечению безопасности персональных данных
12.1. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий (ст. 19 152‑ФЗ).
12.2. К мерам, применяемым Оператором, относятся, в том числе:
— назначение лица, ответственного за организацию обработки персональных данных, и лиц, ответственных за обеспечение безопасности персональных данных в ИСПДн;
— утверждение локальных нормативных актов по обработке и защите персональных данных (положения, инструкции, регламенты, перечни);
— определение состава и перечня ИСПДн, категорий обрабатываемых персональных данных и категорий субъектов;
— разграничение доступа к персональным данным по ролям, учет и контроль доступа;
— применение антивирусной защиты, средств межсетевого экранирования/ограничения сетевых подключений, резервного копирования, журналирования (при наличии);
— организация физической защиты помещений, где размещены средства обработки персональных данных (контролируемая зона);
— обучение и ознакомление работников с требованиями законодательства и локальными актами по персональным данным;
— оценка вреда, который может быть причинен субъектам персональных данных, и соразмерность принимаемых мер (ст. 18.1 152‑ФЗ);
— реагирование на инциденты информационной безопасности и восстановление данных при необходимости.
12.3. Конкретный состав мер по защите персональных данных определяется Оператором с учетом актуальных угроз безопасности, категории персональных данных, архитектуры ИСПДн, а также требований Постановления Правительства РФ № 1119 и нормативных актов уполномоченных органов в области защиты информации.
13. Права субъектов персональных данных
13.1. Субъект персональных данных имеет право:
— получать информацию, касающуюся обработки его персональных данных (ст. 14 152‑ФЗ);
— требовать уточнения персональных данных, их блокирования или уничтожения, если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
— отозвать согласие на обработку персональных данных (если обработка основана на согласии);
— обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
13.2. Реализация прав субъекта персональных данных осуществляется путем направления письменного обращения:
— по адресу Оператора: 400075, Волгоградская область, г. Волгоград, ул. Колпинская, д. 1А, к. 3, пом. 1003;
— либо по электронной почте: dantist_volg@mail.ru
с указанием сведений, предусмотренных 152‑ФЗ (включая идентификацию заявителя).
14. Обработка обращений субъектов персональных данных
14.1. Оператор рассматривает обращения субъектов персональных данных в сроки, установленные 152‑ФЗ, и предоставляет ответ в форме, соответствующей характеру обращения и требованиям закона.
14.2. При невозможности предоставления информации в полном объеме Оператор направляет мотивированный ответ с указанием правовых оснований отказа/ограничения.
15. Актуализация, исправление, уничтожение персональных данных
15.1. Оператор обеспечивает актуализацию персональных данных при подтверждении их неточности или изменении.
15.2. Порядок уничтожения персональных данных определяется локальным актом Оператора. Уничтожение оформляется актом/записью в журнале (в зависимости от носителя и объема данных).
16. Заключительные положения
16.1. Политика является общедоступным документом. Публичная версия Политики размещается на сайте Оператора (при необходимости) и/или предоставляется по запросу.
16.2. Оператор вправе вносить изменения в Политику. Новая редакция Политики утверждается руководителем Оператора и вводится в действие с даты, указанной в ней.
16.3. Контроль за исполнением настоящей Политики возлагается на директора ООО «ДАНТИСТ» и назначенных приказом ответственных лиц.