Политика конфиденциальности
-
Общие положения
Настоящая Политика конфиденциальности разработана в соответствии с пп. 2 п.1 статьи 18.1 Федерального закона от 27 июля 2006 года № 152 «О персональных данных» и определяет основные принципы, цели, условия и способы обработки персональных данных, права и обязанности ООО «Клиника «НаПоправку»» при обработке персональных данных, права субъектов персональных данных, а также реализуемые в ООО «Клиника «НаПоправку»» меры по обеспечению безопасности персональных данных (далее «Политика»).
Оператором является Общество с ограниченной ответственностью «Клиника «НаПоправку»» ИНН 7813642889 ОГРН 1207800017732; адрес места нахождения: Российская Федерация, 197082, г.Санкт-Петербург, вн.тер.г. муниципальный округ №65, пр-кт Богатырский, д.59 к.3 литера А, помещ. 8Н, офис 101; тел: +7 (812) 384-74-17; e-mail: Info@napopravku.ru (далее «Компания», «Оператор»).
Основной вид деятельности Компании — 86.22 Специальная врачебная практика.- Обработка персональных данных осуществляется на территории Российской Федерации, трансграничная передача отсутствует.
- Настоящая Политика разработана в соответствии с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», другими законодательными и нормативными правовыми актами Российской Федерации, определяющими порядок работы с персональными данными и требования к обеспечению их безопасности.
- Порядок ввода в действие и изменения Политики:
- Настоящая Политика вступает в силу с момента ее утверждения генеральным директором Компании и действует бессрочно, до замены ее новой редакцией.
- Все изменения в настоящую Политику вносятся приказом генерального директора.
- Все Работники должны быть ознакомлены с настоящей Политикой под роспись.
- Режим конфиденциальности персональных данных снимается в случаях их обезличивания, в других случаях, предусмотренных законодательством Российской Федерации.
- В настоящей Политике используются, в том числе, следующие термины:
- Субъект персональных данных – заказчики услуг и пациенты Оператора – физические лица, в том числе потенциальные заказчики и пациенты, представители заказчиков и пациентов, пользователи мобильного приложения Оператора; а также работники Оператора, контрагенты Оператора и лица, привлеченные Оператором для оказания услуг (выполнения работ) на основании гражданско-правовых договоров.
- Врачебная тайна – сведения о факте обращения пациента за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении.
- Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
- Оператор – юридическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
- Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
- Понятие, состав персональных данных и цель их обработки
- Компания обрабатывает следующие категории ПДн:
- Персональные данные физических лиц, с которыми заключены трудовые
договоры (далее «ПДн
Работников»)
Компания обрабатывает ПДн Работников на следующих основаниях:- пп.5 п.1 ст.6 ФЗ № 152 «О персональных данных» (обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных) без уведомления уполномоченного органа, так как обработка осуществляется в соответствии с трудовым законодательством (пп.1 п.2 ст.22 ФЗ № 152 «О персональных данных»).
- ч.1 п.1 ст.6 ФЗ № 152-ФЗ «О персональных данных» (согласие субъекта персональных данных) без уведомления уполномоченного органа, так как обработка ПДн осуществляется в соответствии с трудовым законодательством (пп.1 п.2 ст.22 ФЗ № 152 «О персональных данных»).
Цель обработки – 1) заключение и исполнение договора в рамках трудовых отношений; 2) исполнение Оператором требований п. 7 ч. 1 ст. 79 Федерального закона от 21.11.2011 № 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации" в части информирования граждан в доступной форме, в том числе с использованием сети "Интернет", о медицинских работниках Компании, об уровне их образования и об их квалификации.
Способ обработки – автоматизированный и неавтоматизированный.
Срок обработки – в соответствии с требованиями действующего трудового законодательства РФ, законодательства РФ об архивном делопроизводстве. Личное дело работника после прекращения трудового договора передается в архив и хранится 50 лет. Личные дела руководителей Оператора хранятся постоянно.
В состав ПДн Работника входит информация, касающаяся конкретного работника, а также сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность для вышеустановленных целей обработки.-
Данные, в отношении которых не требуется согласие субъекта ПДн:
— сведения о гражданстве;
— сведения об образовании;
— сведения о трудовом стаже;
— сведения о предыдущем месте работы;
— сведения о близких родственниках в объеме, предусмотренном унифицированной формой Т-2 «Личная — карточка работника» либо в случаях, установленных законодательством Российской Федерации — (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат);
— паспортные данные;
— число, месяц, год и место рождения;
— данные об ИНН;
— данные о страховом номере индивидуального лицевого счета;
— сведения о воинском учете;
— сведения о заработной плате сотрудника;
— сведения о социальных льготах;
— занимаемая должность;
— адрес места жительства и/или места временного пребывания;
— содержание трудового договора;
— содержание сведений, подаваемых в налоговую инспекцию;
— подлинники и копии приказов по личному составу и основания к приказам;
— трудовые книжки;
— данные по повышению квалификации и переподготовке сотрудников, их аттестации;
— копии отчетов, направляемые в органы статистики;
— рекомендации, характеристики с предыдущих мест работы;
— данные о реквизитах банковского счета для перечисления заработной платы. - Данные, в отношении которых требуется согласие субъекта ПДн:
— адрес электронной почты;
— номер мобильного телефона.
Способ получения согласия работников на обработку их ПДн – на бумажном носителе до заключения трудового договора. - Персональные данные соискателей на трудоустройство в Компанию (далее «ПДн
Соискателей»)
Компания обрабатывает ПДн Соискателей на следующих основаниях:- ч.1 п.1 ст.6 ФЗ № 152-ФЗ «О персональных данных» (согласие субъекта персональных данных) без уведомления уполномоченного органа, так как обработка ПДн осуществляется в соответствии с трудовым законодательством (пп.1 п.2 ст.22 ФЗ № 152 «О персональных данных»).
Цель обработки – 1) возможное дальнейшее заключение трудового договора 2) сбор, формирование и хранение ПДн Соискателя в базе данных соискателей (потенциальных работников) Компании.
Способ обработки – автоматизированный и неавтоматизированный.
Сроки обработки – до момента заключения трудового договора с соискателем либо в течение 6 (шести) месяцев после принятия решения об отказе в заключении такого договора, если иной срок не указан в согласии соискателя на обработку его персональных данных Оператором. Обработка персональных данных должна быть прекращена Оператором при отзыве соискателем своего согласия на обработку персональных данных.
В состав ПДн Соискателей входят (требуется согласие субъекта ПДн):- фамилия, имя, отчество;
- число, месяц, год и место рождения;
- данные, указанные соискателем в его резюме (опыт работы, данные об образовании и т.п.);
- рекомендации, характеристики с предыдущих мест работы;
- номер мобильного телефона;
- адрес электронной почты.
- на бумажном носителе до проведения очного собеседования;
- либо в электронном виде при направлении резюме Оператору на
электронную почту
hr@napopravku.ru.
Направляя резюме Оператору на электронную почту
hr@napopravku.ru,
соискатель дает согласие с условиями Политики
конфиденциальности Компании, размещенной на сайте
https://plus.napopravku.ru/
и на
обработку его персональных данных Компанией свободно, своей волей и
в своем
интересе.
В случае получения резюме соискателя по каналам электронной почты Компании необходимо дополнительно провести мероприятия, направленные на подтверждение факта направления указанного резюме самим соискателем (приглашение соискателя на личную встречу с уполномоченными сотрудниками Компании, обратная связь посредством электронной почты.).
При поступлении в адрес Компании резюме, составленного в произвольной форме, при которой однозначно определить физическое лицо, его направившее, не представляется возможным, данное резюме подлежит уничтожению в день поступления.
- Персональные данные исполнителей по договору гражданско-правового
характера
(далее «ПДн Контрагентов»)
Компания обрабатывает ПДн Контрагентов на следующих основаниях:- пп.5 п.1 ст.6 ФЗ № 152 (обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных) без уведомления уполномоченного органа, так как ПДн получены Оператором в связи с заключением договора, стороной которого является субъект персональных данных, ПДн не распространяются, а также не предоставляются третьим лицам без согласия субъекта ПДн и используются Оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПДн (пп.2 п.2 ст.22 ФЗ № 152 «О персональных данных»);
- пп.2 п.1 ст.6 ФЗ №152-ФЗ «О персональных данных» (обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей).
Цель обработки – заключение и исполнение договора в рамках гражданско-правовых отношений.
Способ обработки – автоматизированный и неавтоматизированный.
Срок обработки – В соответствии с требованиями действующего законодательства РФ, но не менее, чем до истечения 5 (пяти) лет с момента окончания срока действия гражданско-правового договора.
В состав ПДн Контрагентов входят (согласие субъекта ПДн не требуется):- фамилия, имя, отчество;
- сведения о гражданстве;
- число, месяц, год и место рождения;
- паспортные данные;
- адрес места жительства и/или места временного пребывания;
- данные об ИНН;
- о страховом номере индивидуального лицевого счета;
- данные о реквизитах банковского счета для перечисления вознаграждения;
- номер мобильного телефона;
- адрес электронной почты.
- Персональные данные пациентов, с которыми заключены договоры на оказание
платных медицинских и иных услуг (далее по тексту «ПДн Пациентов»)
Компания обрабатывает ПДн Пациентов с предварительным уведомлением уполномоченного органа (п.1 ст.22 ФЗ № 152 «О персональных данных») на следующих основаниях:- ч.1 п.5 ст.6 ФЗ №152-ФЗ «О персональных данных» (обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому, является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем);
- пп.1 п.1 ст.6 ФЗ №152-ФЗ «О персональных данных» (согласие субъекта персональных данных в отношении специальной категории персональных данных);
- пп.4 п.2 ст.10 ФЗ №152-ФЗ «О персональных данных» (обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну).
Цель обработки – заключение и исполнение договора на оказание платных медицинских и иных услуг.
Способ обработки – автоматизированный и неавтоматизированный.
Срок обработки – В соответствии с требованиями действующего законодательства РФ в отношении сроков хранения соответствующей медицинской документации.
В состав ПДн Пациентов входят:- Данные, в отношении которых не требуется согласие субъекта ПДн:
— фамилия;
— имя;
— отчество;
— дата рождения;
— пол, вес, рост;
— специальная категория персональных данных: сведения о состоянии здоровья, в том числе, но не ограничительно, сведения о факте обращения за медицинской помощью, диагнозе, иные сведения, полученные при его медицинском обследовании и лечении. - Данные, в отношении которых требуется согласие субъекта ПДн:
— номер контактного телефона;
— адрес электронной почты.
- Персональные данные учредителей и участников Оператора, в том числе
конечных
бенефициаров (далее по тексту «ПДн Собственников»)
Компания обрабатывает ПДн Собственников на следующих основаниях:
- пп. 2 п.1 ст.6 ФЗ №152-ФЗ «О персональных данных» (обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей) без уведомления уполномоченного органа, так как обработка ПДн осуществляется в связи с заключением договора, стороной которого является субъект персональных данных (пп.2 п.2 ст.22 ФЗ № 152 «О персональных данных»).
- пп. 7 п.1 ст.6 ФЗ №152-ФЗ «О персональных данных» (обработка персональных данных необходима для осуществления прав и законных интересов оператора).
Цель обработки – Обработка персональных данных учредителей осуществляется в целях исполнения обязанностей, возложенных на Оператора законодательством РФ (Федеральный закон «Об обществах с ограниченной ответственностью» от 08.02.1998 № 14-ФЗ; Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»).
Способ обработки – автоматизированный и неавтоматизированный.
Срок обработки – В соответствии с требованиями действующего законодательства РФ, но не менее чем до истечения 5 (пяти) лет с момента предоставления ПДн Оператору.
В состав ПДн Собственников входят (согласие субъекта ПДн не требуется):- фамилия;
- имя;
- отчество;
- гражданство;
- дата рождения;
- реквизиты документа, удостоверяющего личность;
- данные документов, подтверждающих право иностранного гражданина или лица без гражданства на пребывание (проживание) в Российской Федерации
- контактные данные;
- адрес места жительства (регистрации) или места пребывания,
- идентификационный номер налогоплательщика (при его наличии),
- иные сведения, предусмотренные требованиями законодательства РФ.
- Персональные данные физических лиц, с которыми заключены трудовые
договоры (далее «ПДн
Работников»)
- Компания обрабатывает следующие категории ПДн:
- Требования к согласию на обработку ПДн
Согласие на обработку ПДн должно отвечать следующим требованиям:- должно быть конкретным, информированным и сознательным;
- может быть дано субъектом или его представителем в любой позволяющей подтвердить факт его получения форме, если законодательством РФ не установлена обязанность получать согласие в письменной форме;
- должно быть дано свободно, своей волей и в своем интересе.
- Согласие субъекта в письменной форме и в форме электронного документа.
Согласие субъекта в письменной форме оформляется на бумажном носителе с собственноручной подписью субъекта или его представителя. Равнозначным, содержащему собственноручную подпись субъекта, согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с требованиями федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи». - Согласие Субъекта в любой форме
- В случаях, не требующих в соответствии с действующим законодательством
оформлять Оператору согласие в письменной форме, может быть получено
согласие в любой форме с применением сервисов Оператора, принадлежащих или
используемых Оператором, позволяющей подтвердить факт его получения. К таким
случаям относятся получение согласий в письменной форме и в форме
электронного документа, а также в случаях совершения Субъектом явного
действия, например, но не ограничиваясь:
- нажатие субъектом на кнопку «Подтверждаю», «Согласен», «Принимаю», «Продолжить», «Оплатить» и т.п. после процедуры ознакомления с текстом согласия на обработку персональных данных;
- заполнение чек-бокса рядом с текстом согласия на обработку персональных данных в графическом интерфейсе сервиса Оператора;
- ответное электронное письмо на электронный почтовый ящик Оператора, исходящее от субъекта с информацией о согласии на обработку персональных данных.
- Оператор осуществляет учет и хранение согласий в течение срока действия согласия, увеличенного на три года (общий срок исковой давности).
- Хранение Согласий, оформленных на бумажном носителе, в зависимости от вида осуществляется в ответственных подразделениях оператора.
- Место хранения согласий, а также лица ответственные за организацию хранения, определяется внутренним локальным нормативным документом Оператора. В целях обеспечения подтверждения получения Оператором согласий в электронном виде, в информационных системах Оператора должны быть реализованы функции учета полученных согласий и хранение подтверждений (с возможностью их выгрузки для последующей печати).
- В случаях, не требующих в соответствии с действующим законодательством
оформлять Оператору согласие в письменной форме, может быть получено
согласие в любой форме с применением сервисов Оператора, принадлежащих или
используемых Оператором, позволяющей подтвердить факт его получения. К таким
случаям относятся получение согласий в письменной форме и в форме
электронного документа, а также в случаях совершения Субъектом явного
действия, например, но не ограничиваясь:
- Получение, обработка, передача и хранение ПДн
- Все ПДн следует получать у самого субъекта ПДн. Если ПДн возможно получить только у третьей стороны, то субъект ПДн должен быть уведомлен об этом заранее, и от него должно быть получено письменное согласие.
- Компания обязана не сообщать ПДн субъекта третьей стороне без письменного согласия субъекта ПДн, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта ПДн, а также в случаях, установленных федеральным законом.
- Хранение и использование ПДн субъектов ПДн.
- Информация о ПДн может содержаться:
- на бумажных носителях;
- на электронных носителях;
- в информационно-телекоммуникационных сетях и иных информационных системах.
- Оператор использует следующие способы обработки ПДн:
- автоматизированная обработка;
- без использования средств автоматизации;
- смешанная обработка (с применением объектов вычислительной техники).
- Информация о ПДн может содержаться:
- ПДн при их обработке обособляются от иной информации путем фиксации их на отдельных носителях, в специальных разделах или на полях форм (бланков) или в отдельных папках на персональных компьютерах.
- При фиксации ПДн на материальных носителях не допускается фиксация на одном материальном носителе (флешка; бумага) ПДн, цели обработки которых заведомо несовместимы. Для обработки различных категорий ПДн для каждой категории ПДн используется отдельный носитель.
- Материальные носители хранятся в металлических шкафах, при этом должно быть обеспечено раздельное хранение ПДн, обработка которых осуществляется в различных целях.
- Ключи от металлических шкафов постоянно хранятся у работников, ответственных за хранение материальных носителей ПДн.
- Доступ к ПДн
- Внутренний доступ (доступ внутри Компании).
Право доступа к ПДн Работников, ПДн Контрагентов имеют:- Генеральный директор;
- Директор по персоналу;
- Юрист;
- Отдел бухгалтерии.
- Генеральный директор/Глав.врач;
- Врачебный персонал из числа работников Оператора.
- Генеральный директор;
- Юрист;
- Отдел бухгалтерии.
- Генеральный директор;
- Директор по персоналу;
- Руководитель подразделения, в которое осуществляется кадровый подбор;
- Отдел бухгалтерии.
- Внешний доступ.
- ПДн могут предоставляться государственным и негосударственным структурам
только на основании письменного запроса на бланке учреждения, подписанного
уполномоченным лицом, и только на основаниях, предусмотренных действующим
законодательством РФ:
- налоговые инспекции;
- правоохранительные органы;
- органы статистики;
- страховые компании ОМС и ДМС;
- военкоматы;
- органы социального страхования;
- пенсионные фонды;
- органы здравоохранения;
- судебные органы и т.д.
- ПДн врачебного персонала из числа работников Оператора в части информации о
медицинских работниках (ФИО), об уровне их образования и об их квалификации
раскрываются Оператором в сети Интернет в рамках исполнения своих
обязанностей об информировании граждан согласно пп.7 п.1 ст.79 Федерального
закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в
Российской Федерации».
Основаниями для опубликования или обязательного раскрытия ПДн врачебного персонала Оператора является пп.11 п. 1 ст.6 ФЗ №152-ФЗ «О персональных данных», а также необходимость обработки таких данных для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей согласно пп.2 п. 1 ст.6 ФЗ №152-ФЗ «О персональных данных».
- ПДн могут предоставляться государственным и негосударственным структурам
только на основании письменного запроса на бланке учреждения, подписанного
уполномоченным лицом, и только на основаниях, предусмотренных действующим
законодательством РФ:
- Предоставление информации субъекту ПДн:
Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, на основании письменного запроса в соответствии с ФЗ № 152 «О персональных данных».
Срок для предоставления информации составляет 30 (тридцать) календарных дней со дня получения запроса от субъекта ПДн. - Работникам Компании, которые имеют доступ к ПДн запрещается:
- разглашать в любой форме ПДн, ставшие известными им в процессе трудовой деятельности в Компании, в том числе передавать третьим лицам через сеть Интернет или передавать материальный носитель с ПДн;
- вести обсуждение информации, отнесенной к ПДн, с лицами, не наделенными правами обработки такой информации;
- передавать другим лицам средства доступа к ПДн.
- Лица, осуществляющие обработку ПДн, должны быть проинформированы о факте и особенностях обработки ими ПДн. Они несут персональную ответственность за обеспечение конфиденциальности обрабатываемых ПДн.
- Принятие на себя обязательств о неразглашении ПДн и о недопущении неправомерных действий с ПДн осуществляется работником на добровольной основе.
- Допуск к ПДн осуществляется только после дачи работником, которому такой доступ необходим в процессе трудовой деятельности, обязательств о неразглашении персональных данных и о недопущении неправомерных действий с персональными данными.
- Внутренний доступ (доступ внутри Компании).
- Защита ПДн
- В целях обеспечения сохранности и конфиденциальности ПДн все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться только лицами, осуществляющими данную работу в соответствии со своими служебными обязанностями, зафиксированными в их должностных инструкциях.
- Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме на бланке Компании и в том объеме, который позволяет не разглашать излишний объем ПДн.
- Передача информации, содержащей сведения о ПДн по телефону, факсу, электронной почте без письменного согласия субъекта ПДн запрещается.
- Персональные компьютеры, в которых содержатся персональные данные, защищены паролями доступа.
- Все работники Компании обязаны строго следовать настоящей Политике и требованиям нормативно-правовых актов. В случае наличия вопросов работники могут направлять их специалисту по персоналу Компании.
- Порядок уничтожения, блокирования ПДн
- В случае выявления неправомерной обработки ПДн, при обращении субъекта Пдн Компания обязана осуществить блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, с момента такого обращения на период проверки. Период проверки не должен превышать 30 (тридцать) календарных дней, за исключением случаев, когда проверка продлена по независящим от Компании обстоятельствам (например: ожидание ответа от государственных органов в установленный ими срок и т.д.).
- В случае выявления неточных ПДн при обращении субъекта Пдн Компания обязана осуществить блокирование ПДн, относящихся к этому субъекту ПДн, с момента такого обращения на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц. Период проверки не должен превышать 30 (тридцать) календарных дней, за исключением случаев, когда проверка продлена по независящим от Компании обстоятельствам (например: ожидание ответа от государственных органов в установленный ими срок и т.д.).
- В случае подтверждения факта неточности ПДн Компания на основании сведений, представленных субъектом ПДн, или иных необходимых документов обязана уточнить ПДн в течение 7 (семи) рабочих дней со дня представления таких сведений и снять блокирование ПДн.
- В случае выявления неправомерной обработки ПДн, осуществляемой Компанией, Компания в срок, не превышающий 3 (три) рабочих дня с даты этого выявления, обязана прекратить неправомерную обработку ПДн.
- В случае, если обеспечить правомерность обработки ПДн невозможно, Компания в срок, не превышающий 10 (десять) рабочих дней с даты выявления неправомерной обработки ПДн, обязана уничтожить такие персональные данные.
- Об устранении допущенных нарушений или об уничтожении ПДн Компания обязана уведомить субъекта ПДн.
- В случае достижения цели обработки ПДн Компания обязана прекратить обработку ПДн и уничтожить ПДн в срок, не превышающий 30 (тридцать) календарных дней с даты достижения цели обработки ПДн, если иной срок не предусмотрен законодательством РФ.
- В случае отзыва субъектом ПДн согласия на обработку его ПДн Компания обязана прекратить их обработку и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн в срок, не превышающий 30 (тридцать) календарных дней с даты поступления указанного отзыва, если иной срок не предусмотрен законодательством РФ.
- В случае отсутствия возможности уничтожения ПДн в течение срока, указанного в п.п.7.5-7.8. настоящей Политике, Компания осуществляет блокирование таких ПДн и обеспечивает уничтожение ПДн в срок не более чем 6 (шесть) месяцев, если иной срок не установлен законодательством РФ.
- Компания обязана обеспечить субъекту ПДн свободный бесплатный доступ к своим ПДн, включая право на получение копий любой записи, содержащей его ПДн, за исключением случаев, предусмотренных законодательством РФ.
- Компания обязана по требованию субъекта ПДн предоставить ему полную информацию о его ПДн и обработке этих данных.
- Меры, применяемые Компанией для обеспечения выполнения обязанностей, предусмотренных
статьей 18.1 Федерального закона от 27 июля 2006 года № 152 «О персональных данных» и
принятыми в соответствии с ним нормативными правовыми актами
Компания считает необходимым и достаточным применение следующих мер:
Организационного характера:- назначение лица, ответственного за организацию обработки ПДн;
- определение перечня лиц и ПДн, которые доступны таким лицам в связи с исполнением ими своих должностных обязанностей;
- ведение учета машинных носителей ПДн (компьютеры, ноутбуки);
- установление режима обеспечения безопасности:
- помещения, в котором размещены ПДн путем заключения договора с охранным предприятием;
- машинных носителей ПДн (компьютеров, ноутбуков), на которых хранятся ПДн в электронном виде, путем установления логина и пароля на вход на такие машинные носители;
- сейфов, шкафов, в которых хранятся ПДн в бумажном виде, путем использования замков, кодов. Ключи и коды должны храниться у ограниченного круга лиц, непосредственно имеющего доступ к ПДн, в связи с исполнением ими своих должностных обязанностей.
- издание, изменение, дополнение, поддержание в актуальном состоянии в соответствии с требованиями законодательства РФ настоящей Политики;
- осуществление лицом, ответственным за организацию обработки ПДН, ежегодно по состоянию на 31 декабря внутренней проверки соответствия обработки ПДн в Компании Федеральному закону и принятым в соответствии с ним нормативным правовым актам;
- инструктаж работников, непосредственно осуществляющих обработку ПДн, на тему обработки ПДн, их ознакомление с законодательством РФ о ПДн (п. 6 ч. 1 ст. 18.1 Закона № 152-ФЗ);
- обеспечить неограниченный доступ к настоящей Политике путем ее размещения на сайте Оператора, расположенном по адресу https://plus.napopravku.ru/;
- обеспечить получение письменных согласий субъектов на обработку их ПДн и получение
подтверждения их ознакомления с настоящей Политикой;
Организационного характера: - обеспечение антивирусной защиты и криптографического метода защиты (шифрование) машинных носителей ПДн (компьютеры, ноутбуки);
- обеспечение постоянного резервного копирования данных, содержащихся на машинных носителях ПДн (компьютеры, ноутбуки);
- в части обработки специальной категории ПДн Пациентов использовать информационную
систему, соответствующую требованиям к защите персональных данных при их обработке в
информационных системах персональных данных, утвержденным постановлением
Правительства Российской Федерации от 1 ноября 2012 г. № 1119 и иным требованиям,
установленными законодательством РФ для соответствующего типа используемой
Оператором информационной системы.
Правового характера: - поддерживать настоящую Политику в соответствии с действующим законодательством;
- разрабатывать формы согласий субъектов на обработку их ПДн.
- Права работника на защиту его ПДн
- Субъект ПДн в целях обеспечения защиты своих ПДн, хранящихся в Компании, имеет
право:
- получать полную информацию о своих ПДн, их обработке, хранении и передаче;
- определять своих представителей для защиты своих ПДн;
- на доступ к относящимся к нему медицинских данных с помощью медицинского специалиста по его выбору;
- требовать исключения или исправления неверных или неполных ПДн, а также данных, обработанных с нарушениями настоящей Политики и законодательства.
- при отказе Компании исключить или исправить ПДн субъект вправе заявить Компании в письменном виде о своем несогласии с соответствующим обоснованием;
- требовать от Компании извещения всех лиц, которым ранее были сообщены неверные или неполные ПДн субъекта, обо всех произведенных в них исключениях, исправлениях или дополнениях.
- Если субъект ПДн считает, что Компания осуществляет обработку его ПДн с нарушением требований законодательства или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие Компании в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
- Субъект ПДн в целях обеспечения защиты своих ПДн, хранящихся в Компании, имеет
право:
- Ответственность за разглашение информации, связанной с ПДн
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.