Настоящая Политика предназначена для определения концептуальных основ деятельности АО «Медицина» по обеспечению защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
г. Химки, кв-л Клязьма, стр. 300
г. Химки, кв-л Клязьма, стр. 300
Согласие на обработку персональных данных
1. Назначение Политики
2. НАСТОЯЩАЯ ПОЛИТИКА ВВОДИТСЯ ВЗАМЕН ПОЛИТИКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ОТ 25.08.2020 № 01.02-14/28.
3. ОБЛАСТЬ ПРИМЕНЕНИЯ
3.1. Настоящая Политика распространяется на деятельность всех подразделений АО «Медицина», участвующих в обработке персональных данных.
3.2. Настоящая Политика в соответствии с требованиями п. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» подлежит опубликованию на официальном сайте https://inuclear.ru/. Действующая редакция Политики на бумажном носителе хранится по адресу: 125047, город Москва, 2-й Тверской-Ямской переулок, дом 10.
4. СРОК ДЕЙСТВИЯ
4.1. Настоящая Политика вводится в действие сроком на 1 год.
4.2. Настоящая Политика может пересматриваться и заново утверждаться по мере внесения изменений:
- в нормативные правовые акты в сфере персональных данных;
- в локальные акты АО «Медицина», регламентирующие организацию обработки и обеспечение безопасности персональных данных.
5. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
Персональные данные − любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных − любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, представление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных − обработка персональных данных с помощью средств вычислительной техники.
Представление персональных данных − действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Уничтожение персональных данных − действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных, и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных − действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных − совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Трансграничная передача персональных данных − передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
6. НОРМАТИВНЫЕ ССЫЛКИ
6.1. Настоящая Политика разработана в соответствии с положениями следующих нормативных правовых актов:
-
Конституция Российской Федерации (принята всенародным голосованием 12.12.1993);
-
Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ;
-
Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 № 195-ФЗ;
-
Федеральный закон от 21.11.2011 № 323-ФЗ «Об охране здоровья граждан в Российской Федерации»;
-
Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
-
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
-
Требования к защите персональных данных при их обработке в информационных системах персональных данных (утв. Постановлением Правительства Российской Федерации от 01.11.2012 № 1119);
-
Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. Постановлением Правительства Российской Федерации от 15.09.2008 № 687);
-
Административный регламент Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по исполнению государственной функции «Ведение реестра операторов, осуществляющих обработку персональных данных» (утв. Приказом Министерства связи и массовых коммуникаций Российской Федерации от 21.12.2011 № 346);
-
Административный регламент исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (утв. Приказом Министерства связи и массовых коммуникаций Российской Федерации от 14.11.2011 № 312);
-
Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утв. Приказом Федеральной службы по техническому и экспортному контролю Российской Федерации от 18.02.2013 № 21);
-
Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности (утв. Приказом Федеральной службы безопасности Российской Федерации от 10.07.2014 № 378).
6.2. Во исполнение настоящей Политики в АО «Медицина» утверждены Положение о порядке организации и проведения работ по защите персональных данных, Положение о защите персональных данных работника АО «Медицина», Положение о защите персональных данных соискателей, пациентов и иных субъектов персональных данных и иные локальные акты в сфере обработки и защиты персональных данных.
7. ОПИСАНИЕ ПОЛИТИКИ
7.1. Принципы, цели, содержание и способы обработки персональных данных
7.1.1. АО «Медицина» в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
7.1.2. Обработка персональных данных в АО «Медицина» включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. В АО «Медицина» осуществляется обработка персональных данных с использованием средств автоматизации и без использования средств автоматизации.
7.1.3. АО «Медицина» осуществляет сбор и дальнейшую обработку персональных данных следующих категорий субъектов персональных данных:
-
действительные пациенты АО «Медицина»;
-
потенциальные пациенты АО «Медицина»;
-
члены семей и иные родственники действительных и потенциальных пациентов АО «Медицина»;
-
представители (в силу закона и по доверенности) действительных и потенциальных пациентов АО «Медицина»;
-
сотрудники и представители сторонних медицинских организаций;
-
сотрудники и представители действующих контрагентов АО «Медицина» (юридических лиц), включая страховые и ассистансные компании;
-
физические лица, приобретающие у АО «Медицина» лекарственные препараты, изделия медицинского назначения, линзы и оправы для очков на основании соответствующего рецепта;
-
лица, являющиеся соискателями на замещение вакантных должностей АО «Медицина»;
-
действующие и потенциальные контрагенты АО «Медицина» (физические лица);
-
сотрудники и представители действующих и потенциальных контрагентов АО «Медицина» (юридических лиц);
-
посетители частных и публичных мероприятий, организованных АО «Медицина»;
-
сотрудники (представители, контактные лица) АО «Медицина»;
-
сотрудники АО «Медицина», являющиеся гражданами иностранных государств;
-
члены семей сотрудников АО «Медицина»;
-
получатели алиментов от сотрудников АО «Медицина»;
-
сотрудники юридических лиц и физические лица, представляющие интересы АО «Медицина»;
-
лица, участвующие в гражданском, арбитражном, уголовном, административном процессах и исполнительном производстве (участником которых является АО «Медицина);
-
посетители помещений, зданий и территории АО «Медицина»;
-
посетители сайта АО «Медицина».
7.1.4. АО «Медицина» осуществляет сбор и дальнейшую обработку персональных данных в следующих целях:
-
организация и осуществление комплекса мероприятий, направленных на поддержание и (или) восстановление здоровья и включающих в себя предоставление медицинских услуг, в том числе профилактику, диагностику и лечение заболеваний, медицинскую реабилитацию;
-
реализация АО «Медицина» лекарственных препаратов, изделий медицинского назначения, линз и оправ для очков;
-
осуществление дистанционного взаимодействия АО «Медицина» с пациентами и иными заинтересованными лицами в рамках сервисно-информационного обслуживания путем использования телефонной связи, служб мгновенных сообщений, IP-телефонии, электронной почты;
-
осуществление дистанционного взаимодействия АО «Медицина» с пациентами и иными заинтересованными лицами посредством сайта АО «Медицина» в сети «Интернет»;
-
предоставление электронных сервисов через Мобильное приложение, бот в Telegram;
-
организация и проведение мероприятий, направленных на повышение узнаваемости и лояльности в отношении АО «Медицина», а также продвижение услуг АО «Медицина»;
-
проведение тендеров, ведение договорной работы, не связанной с основной деятельностью АО «Медицина», в рамках возникновения, изменения и прекращения правоотношений между АО «Медицина» и третьими лицами, а также оформление доверенностей на представление интересов АО «Медицина»;
-
участие АО «Медицина» в гражданском, арбитражном, уголовном, административном процессах и исполнение судебных актов;
-
замещение вакантных должностей в АО «Медицина» соискателями, наиболее полно соответствующими требованиям АО «Медицина»;
-
оказание помощи сотрудникам АО «Медицина», являющимся гражданами иностранных государств, в получении разрешений на работу и оформлении рабочих въездных виз в РФ;
-
выполнение АО «Медицина» требований трудового законодательства, законодательства по учету труда и его оплаты;
-
сохранение жизни и здоровья сотрудников АО «Медицина» в процессе трудовой деятельности и выявление нарушений состояния здоровья и медицинских противопоказаний к работе у сотрудников АО «Медицина» (включая освидетельствование на наличие медицинских противопоказаний к управлению транспортным средством), а также выполнение требований действующего законодательства по расследованию и учету несчастных случаев, происшедших с сотрудниками АО «Медицина»;
-
реализация АО «Медицина» как работодателя обязанностей, предусмотренных Трудовым кодексом Российской Федерации, по выплате сотрудникам причитающейся заработной платы, компенсаций и премий, по осуществлению пенсионных и налоговых отчислений, а также расчет с контрагентами и пациентами;
-
организация обучения, повышения квалификации и проверки знаний для сотрудников АО «Медицина», осуществление оценки деловых, личностных качеств сотрудников АО «Медицина» и результатов их труда, а также осуществление оценки удовлетворенности сотрудников АО «Медицина» своим трудом;
-
оформление командировочных документов для сотрудников АО «Медицина», а также бронирования и приобретения гостиничных мест и транспортных билетов в интересах сотрудников АО «Медицина», направляемых в командировки;
-
облегчение коммуникаций между сотрудниками АО «Медицина» посредством ведения справочника контактных данных сотрудников АО «Медицина»;
-
реализация пропускного режима в помещениях, зданиях клиники АО «Медицина»;
-
обеспечение личной безопасности сотрудников АО «Медицина», иных лиц, посещающих объекты недвижимости (помещения, здания, территорию) АО «Медицина», а также обеспечение сохранности материальных и иных ценностей, находящихся в ведении АО «Медицина»;
-
выделение/подключение вычислительных средств, создание новых пользователей в информационных системах АО «Медицина», предоставления доступа к ресурсам информационных систем АО «Медицина», а также решения проблем, возникающих у пользователей в процессе работы с компьютерами (аппаратным и программным обеспечением) и оргтехникой;
-
учет информации об использовании услуг корпоративной стационарной и мобильной связи сотрудниками АО «Медицина»;
-
проведение независимой проверки бухгалтерской (финансовой) отчетности АО «Медицина» в целях выражения мнения о достоверности такой отчетности;
-
организация и осуществление в АО «Медицина» внутреннего контроля качества медицинской помощи и внутренних производственных процессов;
-
анализ посещаемости и оптимизация работы сайта АО «Медицина».
7.1.5. В АО «Медицина» установлены следующие условия прекращения обработки персональных данных:
-
достижение целей обработки персональных данных и максимальных сроков хранения персональных данных, установленных законодательством Российской Федерации;
-
утрата необходимости в достижении целей обработки персональных данных;
-
представление субъектом персональных данных или его законным представителем документально подтвержденных сведений о том, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
-
невозможность обеспечения правомерности обработки персональных данных;
-
отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных;
-
отзыв субъектом персональных данных согласия на размещение персональных данных в общедоступном источнике;
-
истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных.
7.1.6. В АО «Медицина» осуществляется обработка биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) с письменного согласия субъектов персональных данных (сотрудников и пациентов).
7.1.7. В АО «Медицина» осуществляется обработка специальных категорий персональных данных о состоянии здоровья в соответствии с требованиями трудового законодательства, законодательства об охране здоровья граждан в Российской Федерации.
7.1.8. АО «Медицина» осуществляет трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных в иностранные страховые компании с письменного согласия субъектов персональных данных (пациентов).
7.1.9. АО «Медицина» не принимаются решения, порождающие юридические последствия в отношении субъектов персональных данных или иным образом затрагивающие их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.
7.1.10. АО «Медицина» осуществило уведомление уполномоченного органа по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.
7.1.11. С письменного согласия сотрудников и пациентов их персональные данные могут быть размещены на сайте АО «Медицина».
7.2. Меры по надлежащей организации обработки и обеспечению безопасности персональных данных
7.2.1. Обеспечение безопасности персональных данных в АО «Медицина» достигается, в частности, следующими способами:
-
назначением ответственного лица за организацию обработки персональных данных, права и обязанности которого определяются локальными актами АО «Медицина»;
-
осуществлением внутреннего контроля и/или аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, требованиями к защите персональных данных, локальными актами АО «Медицина»;
-
ознакомлением сотрудников АО «Медицина», непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных и/или обучением указанных сотрудников;
-
определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
-
применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
-
оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
-
учетом машинных (материальных) носителей персональных данных;
-
выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер;
-
восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
-
установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
-
контролем над соблюдением требований в сфере обеспечения безопасности персональных данных и к уровням защищенности информационных систем персональных данных.
7.2.2. В случаях, когда для достижения целей обработки ПДн АО «Медицина» передает персональные данные третьим лицам, такая передача осуществляется на основании заключенного договора, содержащего положения о соблюдении конфиденциальности и обеспечении безопасности персональных данных либо договора поручения обработки персональных данных.
7.2.3. Обязанности сотрудников АО «Медицина», непосредственно осуществляющих обработку персональных данных, а также их ответственность определяются в локальных актах АО «Медицина».
7.3. Права субъектов персональных данных
7.3.1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных в АО «Медицина», в том числе содержащих:
- сведения об АО «Медицина» как операторе, обрабатывающем персональные данные (наименование и место нахождения);
- наличие в АО «Медицина» персональных данных;
- подтверждение факта обработки персональных данных АО «Медицина», указание правовых оснований и установленных целей обработки персональных данных;
- способы обработки персональных данных, применяемые в АО «Медицина»;
- сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с АО «Медицина» (в т.ч. поручения оператора) или на основании федерального (-ых) закона (-ов), за исключением работников, доступ которым предоставлен в связи с исполнением должностных (функциональных) обязанностей;
- перечень обрабатываемых персональных данных, относящихся к конкретному субъекту персональных данных и источник их получения;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок реализации прав субъектов персональных данных, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
- сведения об осуществляемой или предполагаемой трансграничной передаче персональных данных с указанием наименования страны;
- иные сведения, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», к которым могут относиться соблюдение условий и принципов обработки персональных данных, сведения о выполнении требований по обеспечению безопасности персональных данных, возможные ограничения на доступ субъектов к своим персональным данным.
7.3.2. Субъект персональных данных вправе требовать уточнения этих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
7.3.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
7.3.4. Для реализации и защиты своих прав и законных интересов субъект персональных данных имеет право обратиться в АО «Медицина». Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных, его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись. Запрос может быть направлен в электронной форме и подписан электронной подписью в соответствии с действующим законодательством РФ.
7.3.5. Если субъект персональных данных считает, что АО «Медицина» осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействия АО «Медицина» в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
7.3.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
7.3.7. Регламент реагирования на запросы субъектов персональных данных/уполномоченного органа по защите прав субъектов персональных данных и действия работников АО «Медицина» приведен в Приложении № 1.
8. СБОР ПЕРСОНАЛЬНЫХ ДАННЫХ С ИСПОЛЬЗОВАНИЕМ САЙТА АО «МЕДИЦИНА»
8.1. Сайт АО «Медицина» использует «cookie» и собирает следующие сведения о посетителях в целях улучшения работы сайта: IP-адрес посетителя, дата и время посещения сайта, типы браузера и операционной системы, тип и модель мобильного устройства.
8.2. При использовании электронных сервисов и предоставлении персональных данных через сайт АО «Медицина» информация пользователя не будет использована АО «Медицина» для каких-либо иных целей, кроме как для удовлетворения его конкретной потребности.
8.3. Используя этот сайт и/или предоставляя АО «Медицина» свои персональные данные, пользователь сайта выражает согласие на обработку своих персональных данных на условиях, предусмотренных настоящей Политикой.
8.4. В случае несогласия с настоящей Политикой пользователь не должен использовать данный сайт и предоставлять АО «Медицина» свои персональные данные.
9. ОТВЕТСТВЕННОСТЬ
9.1. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут дисциплинарную, материальную, гражданско-правовую, административную и уголовную ответственность в порядке, установленном федеральными законами, локальными актами АО «Медицина» и договорами, регламентирующими правоотношения с третьими лицами.
Регламент
реагирования на запросы субъектов персональных данных/уполномоченного органа
по
защите прав субъектов персональных данных и действия работников
АО «Медицина»
№ п/п | Виды запросов от субъектов персональных данных/уполномоченного органа | Действия работников АО «Медицина» | Срок для выполнения действий с персональными данными | Срок для ответа и (или) уведомления субъекта персональных данных/уполномоченного органа |
---|---|---|---|---|
1. | Запрос субъекта персональных данных/ уполномоченного органа о подтверждении обработки персональных данных | Ответ на запрос | Не позднее 30 календарных дней | |
2. | Запрос на ознакомление с персональными данными | Ответ на запрос с датой и указанием времени для возможности ознакомления субъекта со своими персональными данными | Не позднее 30 календарных дней | |
Заблокировать персональные данные при предоставлении субъектом персональных данных/уполномоченным органом подтверждающих сведений о том, что персональные данные являются неполными, неточными или неактуальными | Не позднее 7 рабочих дней | |||
Уничтожить персональные данные при предоставлении субъектом подтверждающих сведений о том, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки | Не позднее 7 рабочих дней | |||
3. | Отзыв согласия на обработку персональных данных | Удалить и уничтожить персональные данные, если иное не предусмотрено договором с субъектом, либо если АО «Медицина» не вправе осуществлять обработку персональных данных без согласия | Не позднее 30 календарных дней с момента регистрации отзыва | |
4. | Неправомерная обработка персональных данных субъекта | Прекратить обработку персональных данных с момента получения обращения/запроса субъекта персональных данных/ уполномоченного органа | Не позднее 3 рабочих дней | В течение 10 рабочих дней с момента удаления и уничтожения персональных данных |
Удалить и уничтожить персональные данные | В течение 10 рабочих дней, если невозмож-но обеспечить правомерность обработки | |||
5. | Достижение целей обработки персональных данных | Удалить и уничтожить персональные данные, если иное не предусмотрено договором с субъектом либо если АО «Медицина» не вправе осуществлять обработку персональных данных без согласия | В течение 30 календарных дней с момента достижения целей |