Политика конфиденциальности
-
Общие положения
Настоящая Политика конфиденциальности разработана в соответствии с пп. 2 п.1 статьи 18.1
Федерального
закона от 27 июля 2006 года № 152 «О персональных данных» и определяет основные принципы,
цели, условия и
способы обработки персональных данных, права и обязанности ООО «Клиника «НаПоправку»» при обработке
персональных данных,
права субъектов персональных данных, а также реализуемые в ООО «Клиника «НаПоправку»» меры по обеспечению
безопасности
персональных данных (далее «Политика»).
Оператором является Общество с ограниченной ответственностью «Клиника «НаПоправку»» ИНН 7813642889 ОГРН
1207800017732;
адрес места нахождения: Российская Федерация, 197082, г.Санкт-Петербург, вн.тер.г. муниципальный округ
№65, пр-кт Богатырский, д.59 к.3 литера А, помещ. 8Н, офис 101; тел: +7 (812)
384-74-17; e-mail:
Info@napopravku.ru (далее
«Компания», «Оператор»).
Основной вид деятельности Компании — 86.22 Специальная врачебная практика.
- Обработка персональных данных осуществляется на территории Российской Федерации,
трансграничная
передача отсутствует.
- Настоящая Политика разработана в соответствии с положениями Федерального закона от
27.07.2006 №
152-ФЗ «О персональных данных», другими законодательными и нормативными правовыми
актами Российской
Федерации, определяющими порядок работы с персональными данными и требования к
обеспечению их
безопасности.
- Порядок ввода в действие и изменения Политики:
- Настоящая Политика вступает в силу с момента ее утверждения генеральным
директором Компании и
действует бессрочно, до замены ее новой редакцией.
- Все изменения в настоящую Политику вносятся приказом генерального
директора.
- Все Работники должны быть ознакомлены с настоящей Политикой под роспись.
- Режим конфиденциальности персональных данных снимается в случаях их обезличивания, в
других случаях,
предусмотренных законодательством Российской Федерации.
- В настоящей Политике используются, в том числе, следующие термины:
- Субъект персональных данных – заказчики услуг и пациенты Оператора –
физические лица, в
том
числе потенциальные заказчики и пациенты, представители заказчиков и
пациентов, пользователи
мобильного приложения Оператора; а также работники Оператора, контрагенты
Оператора и лица,
привлеченные Оператором для оказания услуг (выполнения работ) на основании
гражданско-правовых
договоров.
- Врачебная тайна – сведения о факте обращения пациента за оказанием
медицинской помощи,
состоянии
его здоровья и диагнозе, иные сведения, полученные при его медицинском
обследовании и лечении.
- Персональные данные (ПДн) – любая информация, относящаяся к прямо или
косвенно
определенному или
определяемому физическому лицу (субъекту персональных данных).
- Оператор – юридическое лицо, самостоятельно или совместно с другими
лицами организующее и
(или)
осуществляющее обработку персональных данных, а также определяющее цели
обработки персональных
данных, состав персональных данных, подлежащих обработке, действия
(операции), совершаемые с
персональными данными.
- Обработка персональных данных – любое действие (операция) или
совокупность действий
(операций),
совершаемых с использованием средств автоматизации или без использования
таких средств с
персональными данными, включая сбор, запись, систематизацию, накопление,
хранение, уточнение
(обновление, изменение), извлечение, использование, передачу
(распространение, предоставление,
доступ), обезличивание, блокирование, удаление, уничтожение персональных
данных.
- Понятие, состав персональных данных и цель их обработки
- Компания обрабатывает следующие категории ПДн:
- Персональные данные физических лиц, с которыми заключены трудовые
договоры (далее «ПДн
Работников»)
Компания обрабатывает ПДн Работников на следующих основаниях:
- пп.5 п.1 ст.6 ФЗ № 152 «О персональных данных» (обработка
персональных данных необходима для
исполнения договора, стороной которого является субъект персональных
данных) без уведомления
уполномоченного органа, так как обработка осуществляется в
соответствии с трудовым
законодательством (пп.1 п.2 ст.22 ФЗ № 152 «О персональных данных»).
- ч.1 п.1 ст.6 ФЗ № 152-ФЗ «О персональных данных» (согласие субъекта
персональных данных) без
уведомления уполномоченного органа, так как обработка ПДн
осуществляется в соответствии
с трудовым законодательством (пп.1 п.2 ст.22 ФЗ № 152 «О
персональных данных»).
Источник получения ПДн – субъект ПДн.
Цель обработки – 1) заключение и исполнение договора в рамках
трудовых отношений; 2)
исполнение
Оператором требований п. 7 ч. 1 ст. 79 Федерального закона от 21.11.2011 №
323-ФЗ "Об основах
охраны здоровья граждан в Российской Федерации" в части информирования
граждан в доступной форме,
в том числе с использованием сети "Интернет", о медицинских работниках
Компании, об уровне их
образования и об их квалификации.
Способ обработки – автоматизированный и неавтоматизированный.
Срок обработки – в соответствии с требованиями действующего трудового
законодательства РФ,
законодательства РФ об архивном делопроизводстве. Личное дело работника
после прекращения
трудового договора передается в архив и хранится 50 лет. Личные дела
руководителей Оператора
хранятся постоянно.
В состав ПДн Работника входит информация, касающаяся конкретного
работника, а также
сведения о
фактах, событиях и обстоятельствах жизни работника, позволяющие
идентифицировать его личность для
вышеустановленных целей обработки.
-
Данные, в отношении которых не требуется согласие субъекта ПДн:
— сведения о гражданстве;
— сведения об образовании;
— сведения о трудовом стаже;
— сведения о предыдущем месте работы;
— сведения о близких родственниках в объеме, предусмотренном
унифицированной формой Т-2
«Личная
— карточка работника» либо в случаях, установленных
законодательством Российской Федерации
— (получение алиментов, оформление допуска к государственной тайне,
оформление социальных
выплат);
— паспортные данные;
— число, месяц, год и место рождения;
— данные об ИНН;
— данные о страховом номере индивидуального лицевого счета;
— сведения о воинском учете;
— сведения о заработной плате сотрудника;
— сведения о социальных льготах;
— занимаемая должность;
— адрес места жительства и/или места временного пребывания;
— содержание трудового договора;
— содержание сведений, подаваемых в налоговую инспекцию;
— подлинники и копии приказов по личному составу и основания к
приказам;
— трудовые книжки;
— данные по повышению квалификации и переподготовке сотрудников, их
аттестации;
— копии отчетов, направляемые в органы статистики;
— рекомендации, характеристики с предыдущих мест работы;
— данные о реквизитах банковского счета для перечисления заработной
платы.
- Данные, в отношении которых требуется согласие субъекта ПДн:
— адрес электронной почты;
— номер мобильного телефона.
Обработка ПДн близких родственников работника (мобильный номер для связи в
экстренных ситуациях)
может осуществляться только на основании их письменного согласия.
Способ получения согласия работников на обработку их ПДн – на
бумажном носителе до
заключения
трудового договора.
- Персональные данные соискателей на трудоустройство в Компанию (далее «ПДн
Соискателей»)
Компания обрабатывает ПДн Соискателей на следующих основаниях:
- ч.1 п.1 ст.6 ФЗ № 152-ФЗ «О персональных данных» (согласие субъекта
персональных данных) без уведомления уполномоченного органа, так как
обработка ПДн осуществляется в соответствии с трудовым
законодательством (пп.1 п.2 ст.22 ФЗ № 152 «О персональных данных»).
Источник получения ПДн – субъект ПДн.
Цель обработки – 1) возможное дальнейшее заключение трудового
договора 2)
сбор, формирование и хранение ПДн Соискателя в базе данных соискателей
(потенциальных работников) Компании.
Способ обработки – автоматизированный и неавтоматизированный.
Сроки обработки – до момента заключения трудового договора с
соискателем
либо в течение 6 (шести) месяцев после принятия решения об отказе в
заключении такого договора, если иной срок не указан в согласии соискателя
на обработку его персональных данных Оператором. Обработка персональных
данных должна быть прекращена Оператором при отзыве соискателем своего
согласия на обработку персональных данных.
В состав ПДн Соискателей входят (требуется согласие субъекта ПДн):
- фамилия, имя, отчество;
- число, месяц, год и место рождения;
- данные, указанные соискателем в его резюме (опыт работы, данные об
образовании и т.п.);
- рекомендации, характеристики с предыдущих мест работы;
- номер мобильного телефона;
- адрес электронной почты.
Способ предоставления согласия соискателей на обработку их ПДн:
- на бумажном носителе до проведения очного собеседования;
- либо в электронном виде при направлении резюме Оператору на
электронную почту
hr@napopravku.ru.
Направляя резюме Оператору на электронную почту
hr@napopravku.ru,
соискатель дает согласие с условиями Политики
конфиденциальности Компании, размещенной на сайте
https://plus.napopravku.ru/
и на
обработку его персональных данных Компанией свободно, своей волей и
в своем
интересе.
В случае получения резюме соискателя по каналам электронной почты
Компании
необходимо дополнительно провести мероприятия, направленные на
подтверждение
факта направления указанного резюме самим соискателем (приглашение
соискателя на личную встречу с уполномоченными сотрудниками
Компании,
обратная связь посредством электронной почты.).
При поступлении в адрес Компании резюме, составленного в
произвольной форме,
при которой однозначно определить физическое лицо, его направившее,
не
представляется возможным, данное резюме подлежит уничтожению в день
поступления.
- Персональные данные исполнителей по договору гражданско-правового
характера
(далее «ПДн Контрагентов»)
Компания обрабатывает ПДн Контрагентов на следующих основаниях:
- пп.5 п.1 ст.6 ФЗ № 152 (обработка персональных данных необходима для
исполнения договора, стороной которого является субъект персональных
данных) без уведомления уполномоченного органа, так как ПДн получены
Оператором в связи с заключением договора, стороной которого
является субъект персональных данных, ПДн не распространяются, а
также не предоставляются третьим лицам без согласия субъекта ПДн и
используются Оператором исключительно для исполнения указанного
договора и заключения договоров с субъектом ПДн (пп.2 п.2 ст.22 ФЗ №
152 «О персональных данных»);
- пп.2 п.1 ст.6 ФЗ №152-ФЗ «О персональных данных» (обработка
персональных данных необходима для осуществления и выполнения
возложенных законодательством Российской Федерации на Оператора
функций, полномочий и обязанностей).
Источник получения ПДн – субъект ПДн.
Цель обработки – заключение и исполнение договора в рамках
гражданско-правовых отношений.
Способ обработки – автоматизированный и неавтоматизированный.
Срок обработки – В соответствии с требованиями действующего
законодательства РФ, но не менее, чем до истечения 5 (пяти) лет с момента
окончания срока
действия гражданско-правового договора.
В состав ПДн Контрагентов входят (согласие субъекта ПДн не
требуется):
- фамилия, имя, отчество;
- сведения о гражданстве;
- число, месяц, год и место рождения;
- паспортные данные;
- адрес места жительства и/или места временного пребывания;
- данные об ИНН;
- о страховом номере индивидуального лицевого счета;
- данные о реквизитах банковского счета для перечисления
вознаграждения;
- номер мобильного телефона;
- адрес электронной почты.
- Персональные данные пациентов, с которыми заключены договоры на оказание
платных медицинских и иных услуг (далее по тексту «ПДн Пациентов»)
Компания обрабатывает ПДн Пациентов с предварительным уведомлением
уполномоченного органа (п.1 ст.22 ФЗ № 152 «О персональных данных») на
следующих основаниях:
- ч.1 п.5 ст.6 ФЗ №152-ФЗ «О персональных данных» (обработка
персональных данных необходима для исполнения договора, стороной
которого либо выгодоприобретателем или поручителем по которому,
является субъект персональных данных, а также для заключения
договора по инициативе субъекта персональных данных или договора, по
которому субъект персональных данных будет являться
выгодоприобретателем или поручителем);
- пп.1 п.1 ст.6 ФЗ №152-ФЗ «О персональных данных» (согласие субъекта
персональных данных в отношении специальной категории персональных
данных);
- пп.4 п.2 ст.10 ФЗ №152-ФЗ «О персональных данных» (обработка
персональных данных осуществляется в медико-профилактических целях,
в целях установления медицинского диагноза, оказания медицинских и
медико-социальных услуг при условии, что обработка персональных
данных осуществляется лицом, профессионально занимающимся
медицинской деятельностью и обязанным в соответствии с
законодательством Российской Федерации сохранять врачебную тайну).
Источник получения ПДн – субъект ПДн.
Цель обработки – заключение и исполнение договора на оказание платных
медицинских и иных услуг.
Способ обработки – автоматизированный и неавтоматизированный.
Срок обработки – В соответствии с требованиями действующего
законодательства
РФ в отношении сроков хранения соответствующей медицинской документации.
В состав ПДн Пациентов входят:
- Данные, в отношении которых не требуется согласие субъекта ПДн:
— фамилия;
— имя;
— отчество;
— дата рождения;
— пол, вес, рост;
— специальная категория персональных данных: сведения о состоянии
здоровья, в том числе, но не ограничительно, сведения о факте
обращения за медицинской помощью, диагнозе, иные сведения,
полученные при его медицинском обследовании и лечении.
- Данные, в отношении которых требуется согласие субъекта ПДн:
— номер контактного телефона;
— адрес электронной почты.
Способ предоставления согласия пациентов на обработку их ПДн – в
электронном
виде путем выражения согласия с формой согласия на обработку персональных
данных, разработанной Компанией, и с условиями Политики конфиденциальности
Компании путем проставления отметок (в том числе галочек) и/или нажатия
кнопки «Оплатить» в мобильном приложении «Напоправку» при заключении
договора на оказание платных медицинских и иных услуг.
- Персональные данные учредителей и участников Оператора, в том числе
конечных
бенефициаров (далее по тексту «ПДн Собственников»)
Компания обрабатывает ПДн Собственников на следующих основаниях:
- пп. 2 п.1 ст.6 ФЗ №152-ФЗ «О персональных данных» (обработка
персональных данных необходима для осуществления и выполнения
возложенных законодательством Российской Федерации на оператора
функций, полномочий и обязанностей) без уведомления уполномоченного
органа, так как обработка ПДн осуществляется в связи с заключением
договора, стороной которого является субъект персональных данных
(пп.2 п.2 ст.22 ФЗ № 152 «О персональных данных»).
- пп. 7 п.1 ст.6 ФЗ №152-ФЗ «О персональных данных» (обработка
персональных данных необходима для осуществления прав и законных
интересов оператора).
Источник получения ПДн – субъект ПДн.
Цель обработки – Обработка персональных данных учредителей
осуществляется в
целях исполнения обязанностей, возложенных на Оператора законодательством РФ
(Федеральный закон «Об обществах с ограниченной ответственностью» от
08.02.1998 № 14-ФЗ; Федеральный закон от 07.08.2001 № 115-ФЗ «О
противодействии легализации (отмыванию) доходов, полученных преступным
путем, и финансированию терроризма»).
Способ обработки – автоматизированный и неавтоматизированный.
Срок обработки – В соответствии с требованиями действующего
законодательства
РФ, но не менее чем до истечения 5 (пяти) лет с момента предоставления ПДн
Оператору.
В состав ПДн Собственников входят (согласие субъекта ПДн не требуется):
- фамилия;
- имя;
- отчество;
- гражданство;
- дата рождения;
- реквизиты документа, удостоверяющего личность;
- данные документов, подтверждающих право иностранного гражданина или
лица без гражданства на пребывание (проживание) в Российской
Федерации
- контактные данные;
- адрес места жительства (регистрации) или места пребывания,
- идентификационный номер налогоплательщика (при его наличии),
- иные сведения, предусмотренные требованиями законодательства РФ.
Согласно п.5 ст.6.1 Федерального закона от 07.08.2001 № 115-ФЗ «О
противодействии легализации (отмыванию) доходов, полученных преступным
путем, и финансированию терроризма» передача такой информации (сведений) в
соответствии с положениями статьи 6.1 не является нарушением
законодательства Российской Федерации о персональных данных.
- Требования к согласию на обработку ПДн
Согласие на обработку ПДн должно отвечать следующим требованиям:
- должно быть конкретным, информированным и сознательным;
- может быть дано субъектом или его представителем в любой позволяющей подтвердить
факт его получения форме, если законодательством РФ не установлена обязанность
получать согласие в письменной форме;
- должно быть дано свободно, своей волей и в своем интересе.
Обработка персональных данных субъектов в целях продвижения товаров, работ, услуг на рынке
путем прямых контактов с Субъектом с помощью средств связи должна осуществляться только при
условии предварительного согласия Субъекта.
- Согласие субъекта в письменной форме и в форме электронного документа.
Согласие субъекта в письменной форме оформляется на бумажном носителе с
собственноручной подписью субъекта или его представителя. Равнозначным, содержащему
собственноручную подпись субъекта, согласию в письменной форме на бумажном носителе
признается согласие в форме электронного документа, подписанного в соответствии с
требованиями федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи».
- Согласие Субъекта в любой форме
- В случаях, не требующих в соответствии с действующим законодательством
оформлять Оператору согласие в письменной форме, может быть получено
согласие в любой форме с применением сервисов Оператора, принадлежащих или
используемых Оператором, позволяющей подтвердить факт его получения. К таким
случаям относятся получение согласий в письменной форме и в форме
электронного документа, а также в случаях совершения Субъектом явного
действия, например, но не ограничиваясь:
- нажатие субъектом на кнопку «Подтверждаю», «Согласен», «Принимаю»,
«Продолжить», «Оплатить» и т.п. после процедуры ознакомления с
текстом согласия на обработку персональных данных;
- заполнение чек-бокса рядом с текстом согласия на обработку
персональных данных в графическом интерфейсе сервиса Оператора;
- ответное электронное письмо на электронный почтовый ящик Оператора,
исходящее от субъекта с информацией о согласии на обработку
персональных данных.
- Оператор осуществляет учет и хранение согласий в течение срока действия
согласия, увеличенного на три года (общий срок исковой давности).
- Хранение Согласий, оформленных на бумажном носителе, в зависимости от вида
осуществляется в ответственных подразделениях оператора.
- Место хранения согласий, а также лица ответственные за организацию хранения,
определяется внутренним локальным нормативным документом Оператора. В целях
обеспечения подтверждения получения Оператором согласий в электронном виде,
в информационных системах Оператора должны быть реализованы функции учета
полученных согласий и хранение подтверждений (с возможностью их выгрузки для
последующей печати).
- Получение, обработка, передача и хранение ПДн
- Все ПДн следует получать у самого субъекта ПДн. Если ПДн возможно получить только у
третьей стороны, то субъект ПДн должен быть уведомлен об этом заранее, и от него
должно быть получено письменное согласие.
- Компания обязана не сообщать ПДн субъекта третьей стороне без письменного согласия
субъекта ПДн, за исключением случаев, когда это необходимо в целях предупреждения
угрозы жизни и здоровью субъекта ПДн, а также в случаях, установленных федеральным
законом.
- Хранение и использование ПДн субъектов ПДн.
- Информация о ПДн может содержаться:
- на бумажных носителях;
- на электронных носителях;
- в информационно-телекоммуникационных сетях и иных информационных
системах.
- Оператор использует следующие способы обработки ПДн:
- автоматизированная обработка;
- без использования средств автоматизации;
- смешанная обработка (с применением объектов вычислительной
техники).
Оператор самостоятельно устанавливает способы обработки ПДн в зависимости от
целей такой обработки и материально-технических возможностей Оператора.
- ПДн при их обработке обособляются от иной информации путем фиксации их на отдельных
носителях, в специальных разделах или на полях форм (бланков) или в отдельных папках
на персональных компьютерах.
- При фиксации ПДн на материальных носителях не допускается фиксация на одном
материальном носителе (флешка; бумага) ПДн, цели обработки которых заведомо
несовместимы. Для обработки различных категорий ПДн для каждой категории ПДн
используется отдельный носитель.
- Материальные носители хранятся в металлических шкафах, при этом должно быть
обеспечено раздельное хранение ПДн, обработка которых осуществляется в различных
целях.
- Ключи от металлических шкафов постоянно хранятся у работников, ответственных за
хранение материальных носителей ПДн.
- Доступ к ПДн
- Внутренний доступ (доступ внутри Компании).
Право доступа к ПДн Работников, ПДн Контрагентов имеют:
- Генеральный директор;
- Директор по персоналу;
- Юрист;
- Отдел бухгалтерии.
Право доступа к ПДн Пациентов имеют:
- Генеральный директор/Глав.врач;
- Врачебный персонал из числа работников Оператора.
Право доступа к ПДн Собственников имеют:
- Генеральный директор;
- Юрист;
- Отдел бухгалтерии.
Право доступа к ПДн Соискателей имеют:
- Генеральный директор;
- Директор по персоналу;
- Руководитель подразделения, в которое осуществляется кадровый подбор;
- Отдел бухгалтерии.
- Внешний доступ.
- ПДн могут предоставляться государственным и негосударственным структурам
только на основании письменного запроса на бланке учреждения, подписанного
уполномоченным лицом, и только на основаниях, предусмотренных действующим
законодательством РФ:
- налоговые инспекции;
- правоохранительные органы;
- органы статистики;
- страховые компании ОМС и ДМС;
- военкоматы;
- органы социального страхования;
- пенсионные фонды;
- органы здравоохранения;
- судебные органы и т.д.
- ПДн врачебного персонала из числа работников Оператора в части информации о
медицинских работниках (ФИО), об уровне их образования и об их квалификации
раскрываются Оператором в сети Интернет в рамках исполнения своих
обязанностей об информировании граждан согласно пп.7 п.1 ст.79 Федерального
закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в
Российской Федерации».
Основаниями для опубликования или обязательного раскрытия ПДн врачебного
персонала Оператора является пп.11 п. 1 ст.6 ФЗ №152-ФЗ «О персональных
данных», а также необходимость обработки таких данных для осуществления и
выполнения возложенных законодательством Российской Федерации на оператора
функций, полномочий и обязанностей согласно пп.2 п. 1 ст.6 ФЗ №152-ФЗ «О
персональных данных».
- Предоставление информации субъекту ПДн:
Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, на
основании письменного запроса в соответствии с ФЗ № 152 «О персональных данных».
Срок для предоставления информации составляет 30 (тридцать) календарных дней со дня
получения запроса от субъекта ПДн.
- Работникам Компании, которые имеют доступ к ПДн запрещается:
- разглашать в любой форме ПДн, ставшие известными им в процессе трудовой
деятельности в Компании, в том числе передавать третьим лицам через сеть
Интернет или передавать материальный носитель с ПДн;
- вести обсуждение информации, отнесенной к ПДн, с лицами, не наделенными
правами обработки такой информации;
- передавать другим лицам средства доступа к ПДн.
- Лица, осуществляющие обработку ПДн, должны быть проинформированы о факте и
особенностях обработки ими ПДн. Они несут персональную ответственность за
обеспечение конфиденциальности обрабатываемых ПДн.
- Принятие на себя обязательств о неразглашении ПДн и о недопущении неправомерных
действий с ПДн осуществляется работником на добровольной основе.
- Допуск к ПДн осуществляется только после дачи работником, которому такой доступ
необходим в процессе трудовой деятельности, обязательств о неразглашении
персональных данных и о недопущении неправомерных действий с персональными данными.
- Защита ПДн
- В целях обеспечения сохранности и конфиденциальности ПДн все операции по оформлению,
формированию, ведению и хранению данной информации должны выполняться только лицами,
осуществляющими данную работу в соответствии со своими служебными обязанностями,
зафиксированными в их должностных инструкциях.
- Ответы на письменные запросы других организаций и учреждений в пределах их
компетенции и предоставленных полномочий даются в письменной форме на бланке
Компании и в том объеме, который позволяет не разглашать излишний объем ПДн.
- Передача информации, содержащей сведения о ПДн по телефону, факсу, электронной почте
без письменного согласия субъекта ПДн запрещается.
- Персональные компьютеры, в которых содержатся персональные данные, защищены паролями
доступа.
- Все работники Компании обязаны строго следовать настоящей Политике и требованиям
нормативно-правовых актов. В случае наличия вопросов работники могут направлять их
специалисту по персоналу Компании.
- Порядок уничтожения, блокирования ПДн
- В случае выявления неправомерной обработки ПДн, при обращении субъекта Пдн Компания
обязана осуществить блокирование неправомерно обрабатываемых ПДн, относящихся к
этому субъекту ПДн, с момента такого обращения на период проверки. Период проверки
не должен превышать 30 (тридцать) календарных дней, за исключением случаев, когда
проверка продлена по независящим от Компании обстоятельствам (например: ожидание
ответа от государственных органов в установленный ими срок и т.д.).
- В случае выявления неточных ПДн при обращении субъекта Пдн Компания обязана
осуществить блокирование ПДн, относящихся к этому субъекту ПДн, с момента такого
обращения на период проверки, если блокирование ПДн не нарушает права и законные
интересы субъекта ПДн или третьих лиц. Период проверки не должен превышать 30
(тридцать) календарных дней, за исключением случаев, когда проверка продлена по
независящим от Компании обстоятельствам (например: ожидание ответа от
государственных органов в установленный ими срок и т.д.).
- В случае подтверждения факта неточности ПДн Компания на основании сведений,
представленных субъектом ПДн, или иных необходимых документов обязана уточнить ПДн в
течение 7 (семи) рабочих дней со дня представления таких сведений и снять
блокирование ПДн.
- В случае выявления неправомерной обработки ПДн, осуществляемой Компанией, Компания в
срок, не превышающий 3 (три) рабочих дня с даты этого выявления, обязана прекратить
неправомерную обработку ПДн.
- В случае, если обеспечить правомерность обработки ПДн невозможно, Компания в срок,
не превышающий 10 (десять) рабочих дней с даты выявления неправомерной обработки
ПДн, обязана уничтожить такие персональные данные.
- Об устранении допущенных нарушений или об уничтожении ПДн Компания обязана уведомить
субъекта ПДн.
- В случае достижения цели обработки ПДн Компания обязана прекратить обработку ПДн и
уничтожить ПДн в срок, не превышающий 30 (тридцать) календарных дней с даты
достижения цели обработки ПДн, если иной срок не предусмотрен законодательством РФ.
- В случае отзыва субъектом ПДн согласия на обработку его ПДн Компания обязана
прекратить их обработку и в случае, если сохранение ПДн более не требуется для целей
обработки ПДн, уничтожить ПДн в срок, не превышающий 30 (тридцать) календарных дней
с даты поступления указанного отзыва, если иной срок не предусмотрен
законодательством РФ.
- В случае отсутствия возможности уничтожения ПДн в течение срока, указанного
в п.п.7.5-7.8. настоящей Политике, Компания осуществляет блокирование таких ПДн и
обеспечивает уничтожение ПДн в срок не более чем 6 (шесть) месяцев, если иной срок
не установлен законодательством РФ.
- Компания обязана обеспечить субъекту ПДн свободный бесплатный доступ к своим ПДн,
включая право на получение копий любой записи, содержащей его ПДн, за исключением
случаев, предусмотренных законодательством РФ.
- Компания обязана по требованию субъекта ПДн предоставить ему полную информацию о его
ПДн и обработке этих данных.
- Меры, применяемые Компанией для обеспечения выполнения обязанностей, предусмотренных
статьей 18.1 Федерального закона от 27 июля 2006 года № 152 «О персональных данных» и
принятыми в соответствии с ним нормативными правовыми актами
Компания считает необходимым и достаточным применение следующих мер:
Организационного характера:
- назначение лица, ответственного за организацию обработки ПДн;
- определение перечня лиц и ПДн, которые доступны таким лицам в связи с исполнением
ими своих должностных обязанностей;
- ведение учета машинных носителей ПДн (компьютеры, ноутбуки);
- установление режима обеспечения безопасности:
- помещения, в котором размещены ПДн путем заключения договора с охранным
предприятием;
- машинных носителей ПДн (компьютеров, ноутбуков), на которых хранятся ПДн в
электронном виде, путем установления логина и пароля на вход на такие
машинные носители;
- сейфов, шкафов, в которых хранятся ПДн в бумажном виде, путем использования
замков, кодов. Ключи и коды должны храниться у ограниченного круга лиц,
непосредственно имеющего доступ к ПДн, в связи с исполнением ими своих
должностных обязанностей.
В случае утраты у лица доступа к ПДн, в целях поддержания режима обеспечения
безопасности ПДн, Компания незамедлительно должна произвести смену логинов, паролей,
кодов; замену ключей и/или личинок; и иное.
- издание, изменение, дополнение, поддержание в актуальном состоянии в соответствии с
требованиями законодательства РФ настоящей Политики;
- осуществление лицом, ответственным за организацию обработки ПДН, ежегодно по
состоянию на 31 декабря внутренней проверки соответствия обработки ПДн в Компании
Федеральному закону и принятым в соответствии с ним нормативным правовым актам;
- инструктаж работников, непосредственно осуществляющих обработку ПДн, на тему
обработки ПДн, их ознакомление с законодательством РФ о ПДн (п. 6 ч. 1 ст.
18.1 Закона № 152-ФЗ);
- обеспечить неограниченный доступ к настоящей Политике путем ее размещения на сайте
Оператора, расположенном по адресу
https://plus.napopravku.ru/;
- обеспечить получение письменных согласий субъектов на обработку их ПДн и получение
подтверждения их ознакомления с настоящей Политикой;
Организационного характера:
- обеспечение антивирусной защиты и криптографического метода защиты (шифрование)
машинных носителей ПДн (компьютеры, ноутбуки);
- обеспечение постоянного резервного копирования данных, содержащихся на машинных
носителях ПДн (компьютеры, ноутбуки);
- в части обработки специальной категории ПДн Пациентов использовать информационную
систему, соответствующую требованиям к защите персональных данных при их обработке в
информационных системах персональных данных, утвержденным постановлением
Правительства Российской Федерации от 1 ноября 2012 г. № 1119 и иным требованиям,
установленными законодательством РФ для соответствующего типа используемой
Оператором информационной системы.
Правового характера:
- поддерживать настоящую Политику в соответствии с действующим законодательством;
- разрабатывать формы согласий субъектов на обработку их ПДн.
- Права работника на защиту его ПДн
- Субъект ПДн в целях обеспечения защиты своих ПДн, хранящихся в Компании, имеет
право:
- получать полную информацию о своих ПДн, их обработке, хранении и передаче;
- определять своих представителей для защиты своих ПДн;
- на доступ к относящимся к нему медицинских данных с помощью медицинского
специалиста по его выбору;
- требовать исключения или исправления неверных или неполных ПДн, а также
данных, обработанных с нарушениями настоящей Политики и законодательства.
- при отказе Компании исключить или исправить ПДн субъект вправе заявить
Компании в письменном виде о своем несогласии с соответствующим
обоснованием;
- требовать от Компании извещения всех лиц, которым ранее были сообщены
неверные или неполные ПДн субъекта, обо всех произведенных в них
исключениях, исправлениях или дополнениях.
- Если субъект ПДн считает, что Компания осуществляет обработку его ПДн с нарушением
требований законодательства или иным образом нарушает его права и свободы, он вправе
обжаловать действия или бездействие Компании в уполномоченный орган по защите прав
субъектов персональных данных или в судебном порядке.
- Ответственность за разглашение информации, связанной с ПДн
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн несут
дисциплинарную, административную, гражданско-правовую или уголовную ответственность в
соответствии с федеральными законами.