Редакция 0.3

Размещена: 30 сентября 2022 года

Политика конфиденциальности
  1. Общие положения
    Настоящая Политика конфиденциальности разработана в соответствии с пп. 2 п.1 статьи 18.1 Федерального закона от 27 июля 2006 года № 152 «О персональных данных» и определяет основные принципы, цели, условия и способы обработки персональных данных, права и обязанности ООО «Клиника «НаПоправку»» при обработке персональных данных, права субъектов персональных данных, а также реализуемые в ООО «Клиника «НаПоправку»» меры по обеспечению безопасности персональных данных (далее «Политика»).
    Оператором является Общество с ограниченной ответственностью «Клиника «НаПоправку»» ИНН 7813642889 ОГРН 1207800017732; адрес места нахождения: Российская Федерация, 197082, г.Санкт-Петербург, вн.тер.г. муниципальный округ №65, пр-кт Богатырский, д.59 к.3 литера А, помещ. 8Н, офис 101; тел: +7 (812) 384-74-17; e-mail: Info@napopravku.ru (далее «Компания», «Оператор»).
    Основной вид деятельности Компании — 86.22 Специальная врачебная практика.
    1. Обработка персональных данных осуществляется на территории Российской Федерации, трансграничная передача отсутствует.
    2. Настоящая Политика разработана в соответствии с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», другими законодательными и нормативными правовыми актами Российской Федерации, определяющими порядок работы с персональными данными и требования к обеспечению их безопасности.
    3. Порядок ввода в действие и изменения Политики:
      1. Настоящая Политика вступает в силу с момента ее утверждения генеральным директором Компании и действует бессрочно, до замены ее новой редакцией.
      2. Все изменения в настоящую Политику вносятся приказом генерального директора.
      3. Все Работники должны быть ознакомлены с настоящей Политикой под роспись.
    4. Режим конфиденциальности персональных данных снимается в случаях их обезличивания, в других случаях, предусмотренных законодательством Российской Федерации.
    5. В настоящей Политике используются, в том числе, следующие термины:
      • Субъект персональных данных – заказчики услуг и пациенты Оператора – физические лица, в том числе потенциальные заказчики и пациенты, представители заказчиков и пациентов, пользователи мобильного приложения Оператора; а также работники Оператора, контрагенты Оператора и лица, привлеченные Оператором для оказания услуг (выполнения работ) на основании гражданско-правовых договоров.
      • Врачебная тайна – сведения о факте обращения пациента за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении.
      • Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
      • Оператор – юридическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
      • Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
  2. Понятие, состав персональных данных и цель их обработки
    1. Компания обрабатывает следующие категории ПДн:
      1. Персональные данные физических лиц, с которыми заключены трудовые договоры (далее «ПДн Работников»)
        Компания обрабатывает ПДн Работников на следующих основаниях:
        • пп.5 п.1 ст.6 ФЗ № 152 «О персональных данных» (обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных) без уведомления уполномоченного органа, так как обработка осуществляется в соответствии с трудовым законодательством (пп.1 п.2 ст.22 ФЗ № 152 «О персональных данных»).
        • ч.1 п.1 ст.6 ФЗ № 152-ФЗ «О персональных данных» (согласие субъекта персональных данных) без уведомления уполномоченного органа, так как обработка ПДн осуществляется в соответствии с трудовым законодательством (пп.1 п.2 ст.22 ФЗ № 152 «О персональных данных»).
        Источник получения ПДн – субъект ПДн.
        Цель обработки – 1) заключение и исполнение договора в рамках трудовых отношений; 2) исполнение Оператором требований п. 7 ч. 1 ст. 79 Федерального закона от 21.11.2011 № 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации" в части информирования граждан в доступной форме, в том числе с использованием сети "Интернет", о медицинских работниках Компании, об уровне их образования и об их квалификации.
        Способ обработки – автоматизированный и неавтоматизированный.
        Срок обработки – в соответствии с требованиями действующего трудового законодательства РФ, законодательства РФ об архивном делопроизводстве. Личное дело работника после прекращения трудового договора передается в архив и хранится 50 лет. Личные дела руководителей Оператора хранятся постоянно.
        В состав ПДн Работника входит информация, касающаяся конкретного работника, а также сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность для вышеустановленных целей обработки.
        • Данные, в отношении которых не требуется согласие субъекта ПДн:
          — сведения о гражданстве;
          — сведения об образовании;
          — сведения о трудовом стаже;
          — сведения о предыдущем месте работы;
          — сведения о близких родственниках в объеме, предусмотренном унифицированной формой Т-2 «Личная — карточка работника» либо в случаях, установленных законодательством Российской Федерации — (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат);
          — паспортные данные;
          — число, месяц, год и место рождения;
          — данные об ИНН;
          — данные о страховом номере индивидуального лицевого счета;
          — сведения о воинском учете;
          — сведения о заработной плате сотрудника;
          — сведения о социальных льготах;
          — занимаемая должность;
          — адрес места жительства и/или места временного пребывания;
          — содержание трудового договора;
          — содержание сведений, подаваемых в налоговую инспекцию;
          — подлинники и копии приказов по личному составу и основания к приказам;
          — трудовые книжки;
          — данные по повышению квалификации и переподготовке сотрудников, их аттестации;
          — копии отчетов, направляемые в органы статистики;
          — рекомендации, характеристики с предыдущих мест работы;
          — данные о реквизитах банковского счета для перечисления заработной платы.
        • Данные, в отношении которых требуется согласие субъекта ПДн:
          — адрес электронной почты;
          — номер мобильного телефона.
        Обработка ПДн близких родственников работника (мобильный номер для связи в экстренных ситуациях) может осуществляться только на основании их письменного согласия.
        Способ получения согласия работников на обработку их ПДн – на бумажном носителе до заключения трудового договора.
      2. Персональные данные соискателей на трудоустройство в Компанию (далее «ПДн Соискателей»)
        Компания обрабатывает ПДн Соискателей на следующих основаниях:
        • ч.1 п.1 ст.6 ФЗ № 152-ФЗ «О персональных данных» (согласие субъекта персональных данных) без уведомления уполномоченного органа, так как обработка ПДн осуществляется в соответствии с трудовым законодательством (пп.1 п.2 ст.22 ФЗ № 152 «О персональных данных»).
        Источник получения ПДн – субъект ПДн.
        Цель обработки – 1) возможное дальнейшее заключение трудового договора 2) сбор, формирование и хранение ПДн Соискателя в базе данных соискателей (потенциальных работников) Компании.
        Способ обработки – автоматизированный и неавтоматизированный.
        Сроки обработки – до момента заключения трудового договора с соискателем либо в течение 6 (шести) месяцев после принятия решения об отказе в заключении такого договора, если иной срок не указан в согласии соискателя на обработку его персональных данных Оператором. Обработка персональных данных должна быть прекращена Оператором при отзыве соискателем своего согласия на обработку персональных данных.
        В состав ПДн Соискателей входят (требуется согласие субъекта ПДн):
        • фамилия, имя, отчество;
        • число, месяц, год и место рождения;
        • данные, указанные соискателем в его резюме (опыт работы, данные об образовании и т.п.);
        • рекомендации, характеристики с предыдущих мест работы;
        • номер мобильного телефона;
        • адрес электронной почты.
        Способ предоставления согласия соискателей на обработку их ПДн:
        • на бумажном носителе до проведения очного собеседования;
        • либо в электронном виде при направлении резюме Оператору на электронную почту hr@napopravku.ru. Направляя резюме Оператору на электронную почту hr@napopravku.ru, соискатель дает согласие с условиями Политики конфиденциальности Компании, размещенной на сайте https://plus.napopravku.ru/ и на обработку его персональных данных Компанией свободно, своей волей и в своем интересе.
          В случае получения резюме соискателя по каналам электронной почты Компании необходимо дополнительно провести мероприятия, направленные на подтверждение факта направления указанного резюме самим соискателем (приглашение соискателя на личную встречу с уполномоченными сотрудниками Компании, обратная связь посредством электронной почты.).
          При поступлении в адрес Компании резюме, составленного в произвольной форме, при которой однозначно определить физическое лицо, его направившее, не представляется возможным, данное резюме подлежит уничтожению в день поступления.
      3. Персональные данные исполнителей по договору гражданско-правового характера (далее «ПДн Контрагентов»)
        Компания обрабатывает ПДн Контрагентов на следующих основаниях:
        • пп.5 п.1 ст.6 ФЗ № 152 (обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных) без уведомления уполномоченного органа, так как ПДн получены Оператором в связи с заключением договора, стороной которого является субъект персональных данных, ПДн не распространяются, а также не предоставляются третьим лицам без согласия субъекта ПДн и используются Оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПДн (пп.2 п.2 ст.22 ФЗ № 152 «О персональных данных»);
        • пп.2 п.1 ст.6 ФЗ №152-ФЗ «О персональных данных» (обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей).
        Источник получения ПДн – субъект ПДн.
        Цель обработки – заключение и исполнение договора в рамках гражданско-правовых отношений.
        Способ обработки – автоматизированный и неавтоматизированный.
        Срок обработки – В соответствии с требованиями действующего законодательства РФ, но не менее, чем до истечения 5 (пяти) лет с момента окончания срока действия гражданско-правового договора.
        В состав ПДн Контрагентов входят (согласие субъекта ПДн не требуется):
        • фамилия, имя, отчество;
        • сведения о гражданстве;
        • число, месяц, год и место рождения;
        • паспортные данные;
        • адрес места жительства и/или места временного пребывания;
        • данные об ИНН;
        • о страховом номере индивидуального лицевого счета;
        • данные о реквизитах банковского счета для перечисления вознаграждения;
        • номер мобильного телефона;
        • адрес электронной почты.
      4. Персональные данные пациентов, с которыми заключены договоры на оказание платных медицинских и иных услуг (далее по тексту «ПДн Пациентов»)
        Компания обрабатывает ПДн Пациентов с предварительным уведомлением уполномоченного органа (п.1 ст.22 ФЗ № 152 «О персональных данных») на следующих основаниях:
        • ч.1 п.5 ст.6 ФЗ №152-ФЗ «О персональных данных» (обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому, является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем);
        • пп.1 п.1 ст.6 ФЗ №152-ФЗ «О персональных данных» (согласие субъекта персональных данных в отношении специальной категории персональных данных);
        • пп.4 п.2 ст.10 ФЗ №152-ФЗ «О персональных данных» (обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну).
        Источник получения ПДн – субъект ПДн.
        Цель обработки – заключение и исполнение договора на оказание платных медицинских и иных услуг.
        Способ обработки – автоматизированный и неавтоматизированный.
        Срок обработки – В соответствии с требованиями действующего законодательства РФ в отношении сроков хранения соответствующей медицинской документации.
        В состав ПДн Пациентов входят:
        • Данные, в отношении которых не требуется согласие субъекта ПДн:
          — фамилия;
          — имя;
          — отчество;
          — дата рождения;
          — пол, вес, рост;
          — специальная категория персональных данных: сведения о состоянии здоровья, в том числе, но не ограничительно, сведения о факте обращения за медицинской помощью, диагнозе, иные сведения, полученные при его медицинском обследовании и лечении.
        • Данные, в отношении которых требуется согласие субъекта ПДн: — номер контактного телефона;
          — адрес электронной почты.
        Способ предоставления согласия пациентов на обработку их ПДн – в электронном виде путем выражения согласия с формой согласия на обработку персональных данных, разработанной Компанией, и с условиями Политики конфиденциальности Компании путем проставления отметок (в том числе галочек) и/или нажатия кнопки «Оплатить» в мобильном приложении «Напоправку» при заключении договора на оказание платных медицинских и иных услуг.
      5. Персональные данные учредителей и участников Оператора, в том числе конечных бенефициаров (далее по тексту «ПДн Собственников»)
        Компания обрабатывает ПДн Собственников на следующих основаниях:
        • пп. 2 п.1 ст.6 ФЗ №152-ФЗ «О персональных данных» (обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей) без уведомления уполномоченного органа, так как обработка ПДн осуществляется в связи с заключением договора, стороной которого является субъект персональных данных (пп.2 п.2 ст.22 ФЗ № 152 «О персональных данных»).
        • пп. 7 п.1 ст.6 ФЗ №152-ФЗ «О персональных данных» (обработка персональных данных необходима для осуществления прав и законных интересов оператора).
        Источник получения ПДн – субъект ПДн.
        Цель обработки – Обработка персональных данных учредителей осуществляется в целях исполнения обязанностей, возложенных на Оператора законодательством РФ (Федеральный закон «Об обществах с ограниченной ответственностью» от 08.02.1998 № 14-ФЗ; Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»).
        Способ обработки – автоматизированный и неавтоматизированный.
        Срок обработки – В соответствии с требованиями действующего законодательства РФ, но не менее чем до истечения 5 (пяти) лет с момента предоставления ПДн Оператору.
        В состав ПДн Собственников входят (согласие субъекта ПДн не требуется):
        • фамилия;
        • имя;
        • отчество;
        • гражданство;
        • дата рождения;
        • реквизиты документа, удостоверяющего личность;
        • данные документов, подтверждающих право иностранного гражданина или лица без гражданства на пребывание (проживание) в Российской Федерации
        • контактные данные;
        • адрес места жительства (регистрации) или места пребывания,
        • идентификационный номер налогоплательщика (при его наличии),
        • иные сведения, предусмотренные требованиями законодательства РФ.
        Согласно п.5 ст.6.1 Федерального закона от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» передача такой информации (сведений) в соответствии с положениями статьи 6.1 не является нарушением законодательства Российской Федерации о персональных данных.
  3. Требования к согласию на обработку ПДн
    Согласие на обработку ПДн должно отвечать следующим требованиям:
    • должно быть конкретным, информированным и сознательным;
    • может быть дано субъектом или его представителем в любой позволяющей подтвердить факт его получения форме, если законодательством РФ не установлена обязанность получать согласие в письменной форме;
    • должно быть дано свободно, своей волей и в своем интересе.
    Обработка персональных данных субъектов в целях продвижения товаров, работ, услуг на рынке путем прямых контактов с Субъектом с помощью средств связи должна осуществляться только при условии предварительного согласия Субъекта.
    1. Согласие субъекта в письменной форме и в форме электронного документа.
      Согласие субъекта в письменной форме оформляется на бумажном носителе с собственноручной подписью субъекта или его представителя. Равнозначным, содержащему собственноручную подпись субъекта, согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с требованиями федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи».
    2. Согласие Субъекта в любой форме
      1. В случаях, не требующих в соответствии с действующим законодательством оформлять Оператору согласие в письменной форме, может быть получено согласие в любой форме с применением сервисов Оператора, принадлежащих или используемых Оператором, позволяющей подтвердить факт его получения. К таким случаям относятся получение согласий в письменной форме и в форме электронного документа, а также в случаях совершения Субъектом явного действия, например, но не ограничиваясь:
        • нажатие субъектом на кнопку «Подтверждаю», «Согласен», «Принимаю», «Продолжить», «Оплатить» и т.п. после процедуры ознакомления с текстом согласия на обработку персональных данных;
        • заполнение чек-бокса рядом с текстом согласия на обработку персональных данных в графическом интерфейсе сервиса Оператора;
        • ответное электронное письмо на электронный почтовый ящик Оператора, исходящее от субъекта с информацией о согласии на обработку персональных данных.
      2. Оператор осуществляет учет и хранение согласий в течение срока действия согласия, увеличенного на три года (общий срок исковой давности).
      3. Хранение Согласий, оформленных на бумажном носителе, в зависимости от вида осуществляется в ответственных подразделениях оператора.
      4. Место хранения согласий, а также лица ответственные за организацию хранения, определяется внутренним локальным нормативным документом Оператора. В целях обеспечения подтверждения получения Оператором согласий в электронном виде, в информационных системах Оператора должны быть реализованы функции учета полученных согласий и хранение подтверждений (с возможностью их выгрузки для последующей печати).
  4. Получение, обработка, передача и хранение ПДн
    1. Все ПДн следует получать у самого субъекта ПДн. Если ПДн возможно получить только у третьей стороны, то субъект ПДн должен быть уведомлен об этом заранее, и от него должно быть получено письменное согласие.
    2. Компания обязана не сообщать ПДн субъекта третьей стороне без письменного согласия субъекта ПДн, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта ПДн, а также в случаях, установленных федеральным законом.
    3. Хранение и использование ПДн субъектов ПДн.
      1. Информация о ПДн может содержаться:
        • на бумажных носителях;
        • на электронных носителях;
        • в информационно-телекоммуникационных сетях и иных информационных системах.
      2. Оператор использует следующие способы обработки ПДн:
        • автоматизированная обработка;
        • без использования средств автоматизации;
        • смешанная обработка (с применением объектов вычислительной техники).
        Оператор самостоятельно устанавливает способы обработки ПДн в зависимости от целей такой обработки и материально-технических возможностей Оператора.
    4. ПДн при их обработке обособляются от иной информации путем фиксации их на отдельных носителях, в специальных разделах или на полях форм (бланков) или в отдельных папках на персональных компьютерах.
    5. При фиксации ПДн на материальных носителях не допускается фиксация на одном материальном носителе (флешка; бумага) ПДн, цели обработки которых заведомо несовместимы. Для обработки различных категорий ПДн для каждой категории ПДн используется отдельный носитель.
    6. Материальные носители хранятся в металлических шкафах, при этом должно быть обеспечено раздельное хранение ПДн, обработка которых осуществляется в различных целях.
    7. Ключи от металлических шкафов постоянно хранятся у работников, ответственных за хранение материальных носителей ПДн.
  5. Доступ к ПДн
    1. Внутренний доступ (доступ внутри Компании).
      Право доступа к ПДн Работников, ПДн Контрагентов имеют:
      • Генеральный директор;
      • Директор по персоналу;
      • Юрист;
      • Отдел бухгалтерии.
      Право доступа к ПДн Пациентов имеют:
      • Генеральный директор/Глав.врач;
      • Врачебный персонал из числа работников Оператора.
      Право доступа к ПДн Собственников имеют:
      • Генеральный директор;
      • Юрист;
      • Отдел бухгалтерии.
      Право доступа к ПДн Соискателей имеют:
      • Генеральный директор;
      • Директор по персоналу;
      • Руководитель подразделения, в которое осуществляется кадровый подбор;
      • Отдел бухгалтерии.
    2. Внешний доступ.
      1. ПДн могут предоставляться государственным и негосударственным структурам только на основании письменного запроса на бланке учреждения, подписанного уполномоченным лицом, и только на основаниях, предусмотренных действующим законодательством РФ:
        • налоговые инспекции;
        • правоохранительные органы;
        • органы статистики;
        • страховые компании ОМС и ДМС;
        • военкоматы;
        • органы социального страхования;
        • пенсионные фонды;
        • органы здравоохранения;
        • судебные органы и т.д.
      2. ПДн врачебного персонала из числа работников Оператора в части информации о медицинских работниках (ФИО), об уровне их образования и об их квалификации раскрываются Оператором в сети Интернет в рамках исполнения своих обязанностей об информировании граждан согласно пп.7 п.1 ст.79 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».
        Основаниями для опубликования или обязательного раскрытия ПДн врачебного персонала Оператора является пп.11 п. 1 ст.6 ФЗ №152-ФЗ «О персональных данных», а также необходимость обработки таких данных для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей согласно пп.2 п. 1 ст.6 ФЗ №152-ФЗ «О персональных данных».
    3. Предоставление информации субъекту ПДн:
      Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, на основании письменного запроса в соответствии с ФЗ № 152 «О персональных данных».
      Срок для предоставления информации составляет 30 (тридцать) календарных дней со дня получения запроса от субъекта ПДн.
    4. Работникам Компании, которые имеют доступ к ПДн запрещается:
      • разглашать в любой форме ПДн, ставшие известными им в процессе трудовой деятельности в Компании, в том числе передавать третьим лицам через сеть Интернет или передавать материальный носитель с ПДн;
      • вести обсуждение информации, отнесенной к ПДн, с лицами, не наделенными правами обработки такой информации;
      • передавать другим лицам средства доступа к ПДн.
    5. Лица, осуществляющие обработку ПДн, должны быть проинформированы о факте и особенностях обработки ими ПДн. Они несут персональную ответственность за обеспечение конфиденциальности обрабатываемых ПДн.
    6. Принятие на себя обязательств о неразглашении ПДн и о недопущении неправомерных действий с ПДн осуществляется работником на добровольной основе.
    7. Допуск к ПДн осуществляется только после дачи работником, которому такой доступ необходим в процессе трудовой деятельности, обязательств о неразглашении персональных данных и о недопущении неправомерных действий с персональными данными.
  6. Защита ПДн
    1. В целях обеспечения сохранности и конфиденциальности ПДн все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться только лицами, осуществляющими данную работу в соответствии со своими служебными обязанностями, зафиксированными в их должностных инструкциях.
    2. Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме на бланке Компании и в том объеме, который позволяет не разглашать излишний объем ПДн.
    3. Передача информации, содержащей сведения о ПДн по телефону, факсу, электронной почте без письменного согласия субъекта ПДн запрещается.
    4. Персональные компьютеры, в которых содержатся персональные данные, защищены паролями доступа.
    5. Все работники Компании обязаны строго следовать настоящей Политике и требованиям нормативно-правовых актов. В случае наличия вопросов работники могут направлять их специалисту по персоналу Компании.
  7. Порядок уничтожения, блокирования ПДн
    1. В случае выявления неправомерной обработки ПДн, при обращении субъекта Пдн Компания обязана осуществить блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, с момента такого обращения на период проверки. Период проверки не должен превышать 30 (тридцать) календарных дней, за исключением случаев, когда проверка продлена по независящим от Компании обстоятельствам (например: ожидание ответа от государственных органов в установленный ими срок и т.д.).
    2. В случае выявления неточных ПДн при обращении субъекта Пдн Компания обязана осуществить блокирование ПДн, относящихся к этому субъекту ПДн, с момента такого обращения на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц. Период проверки не должен превышать 30 (тридцать) календарных дней, за исключением случаев, когда проверка продлена по независящим от Компании обстоятельствам (например: ожидание ответа от государственных органов в установленный ими срок и т.д.).
    3. В случае подтверждения факта неточности ПДн Компания на основании сведений, представленных субъектом ПДн, или иных необходимых документов обязана уточнить ПДн в течение 7 (семи) рабочих дней со дня представления таких сведений и снять блокирование ПДн.
    4. В случае выявления неправомерной обработки ПДн, осуществляемой Компанией, Компания в срок, не превышающий 3 (три) рабочих дня с даты этого выявления, обязана прекратить неправомерную обработку ПДн.
    5. В случае, если обеспечить правомерность обработки ПДн невозможно, Компания в срок, не превышающий 10 (десять) рабочих дней с даты выявления неправомерной обработки ПДн, обязана уничтожить такие персональные данные.
    6. Об устранении допущенных нарушений или об уничтожении ПДн Компания обязана уведомить субъекта ПДн.
    7. В случае достижения цели обработки ПДн Компания обязана прекратить обработку ПДн и уничтожить ПДн в срок, не превышающий 30 (тридцать) календарных дней с даты достижения цели обработки ПДн, если иной срок не предусмотрен законодательством РФ.
    8. В случае отзыва субъектом ПДн согласия на обработку его ПДн Компания обязана прекратить их обработку и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн в срок, не превышающий 30 (тридцать) календарных дней с даты поступления указанного отзыва, если иной срок не предусмотрен законодательством РФ.
    9. В случае отсутствия возможности уничтожения ПДн в течение срока, указанного в п.п.7.5-7.8. настоящей Политике, Компания осуществляет блокирование таких ПДн и обеспечивает уничтожение ПДн в срок не более чем 6 (шесть) месяцев, если иной срок не установлен законодательством РФ.
    10. Компания обязана обеспечить субъекту ПДн свободный бесплатный доступ к своим ПДн, включая право на получение копий любой записи, содержащей его ПДн, за исключением случаев, предусмотренных законодательством РФ.
    11. Компания обязана по требованию субъекта ПДн предоставить ему полную информацию о его ПДн и обработке этих данных.
  8. Меры, применяемые Компанией для обеспечения выполнения обязанностей, предусмотренных статьей 18.1 Федерального закона от 27 июля 2006 года № 152 «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами

    Компания считает необходимым и достаточным применение следующих мер:

    Организационного характера:
    1. назначение лица, ответственного за организацию обработки ПДн;
    2. определение перечня лиц и ПДн, которые доступны таким лицам в связи с исполнением ими своих должностных обязанностей;
    3. ведение учета машинных носителей ПДн (компьютеры, ноутбуки);
    4. установление режима обеспечения безопасности:
      • помещения, в котором размещены ПДн путем заключения договора с охранным предприятием;
      • машинных носителей ПДн (компьютеров, ноутбуков), на которых хранятся ПДн в электронном виде, путем установления логина и пароля на вход на такие машинные носители;
      • сейфов, шкафов, в которых хранятся ПДн в бумажном виде, путем использования замков, кодов. Ключи и коды должны храниться у ограниченного круга лиц, непосредственно имеющего доступ к ПДн, в связи с исполнением ими своих должностных обязанностей.
      В случае утраты у лица доступа к ПДн, в целях поддержания режима обеспечения безопасности ПДн, Компания незамедлительно должна произвести смену логинов, паролей, кодов; замену ключей и/или личинок; и иное.
    5. издание, изменение, дополнение, поддержание в актуальном состоянии в соответствии с требованиями законодательства РФ настоящей Политики;
    6. осуществление лицом, ответственным за организацию обработки ПДН, ежегодно по состоянию на 31 декабря внутренней проверки соответствия обработки ПДн в Компании Федеральному закону и принятым в соответствии с ним нормативным правовым актам;
    7. инструктаж работников, непосредственно осуществляющих обработку ПДн, на тему обработки ПДн, их ознакомление с законодательством РФ о ПДн (п. 6 ч. 1 ст. 18.1 Закона № 152-ФЗ);
    8. обеспечить неограниченный доступ к настоящей Политике путем ее размещения на сайте Оператора, расположенном по адресу https://plus.napopravku.ru/;
    9. обеспечить получение письменных согласий субъектов на обработку их ПДн и получение подтверждения их ознакомления с настоящей Политикой;

      Организационного характера:
    10. обеспечение антивирусной защиты и криптографического метода защиты (шифрование) машинных носителей ПДн (компьютеры, ноутбуки);
    11. обеспечение постоянного резервного копирования данных, содержащихся на машинных носителях ПДн (компьютеры, ноутбуки);
    12. в части обработки специальной категории ПДн Пациентов использовать информационную систему, соответствующую требованиям к защите персональных данных при их обработке в информационных системах персональных данных, утвержденным постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 и иным требованиям, установленными законодательством РФ для соответствующего типа используемой Оператором информационной системы.

      Правового характера:
    13. поддерживать настоящую Политику в соответствии с действующим законодательством;
    14. разрабатывать формы согласий субъектов на обработку их ПДн.
  9. Права работника на защиту его ПДн
    1. Субъект ПДн в целях обеспечения защиты своих ПДн, хранящихся в Компании, имеет право:
      • получать полную информацию о своих ПДн, их обработке, хранении и передаче;
      • определять своих представителей для защиты своих ПДн;
      • на доступ к относящимся к нему медицинских данных с помощью медицинского специалиста по его выбору;
      • требовать исключения или исправления неверных или неполных ПДн, а также данных, обработанных с нарушениями настоящей Политики и законодательства.
      • при отказе Компании исключить или исправить ПДн субъект вправе заявить Компании в письменном виде о своем несогласии с соответствующим обоснованием;
      • требовать от Компании извещения всех лиц, которым ранее были сообщены неверные или неполные ПДн субъекта, обо всех произведенных в них исключениях, исправлениях или дополнениях.
    2. Если субъект ПДн считает, что Компания осуществляет обработку его ПДн с нарушением требований законодательства или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие Компании в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
  10. Ответственность за разглашение информации, связанной с ПДн
    Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.