ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ (ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ)
ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ
МЕДИЦИНСКИЙ ЦЕНТР ВОССТАНОВИТЕЛЬНОГО ЛЕЧЕНИЯ
«КОНСИЛИУМ»
(ООО МЦВЛ «КОНСИЛИУМ»)
УТВЕРЖДЕНА
Приказом Директора
ООО МЦВЛ «Консилиум»
от 18 августа 2023 г. № 44
(Приложение № 1 к приказу,
действует с 01 сентября 2023 г.)
ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ
(ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ)
В ООО МЦВЛ «КОНСИЛИУМ»
(версия 23.08)
Москва
2023 год
Оглавление
Глоссарий
Раздел 1. Общие положения
1.1. Назначение и область действия
1.2. Правовая основа обработки персональных данных
1.3. Принципы обработки персональных данных
Раздел 2. Статус Организации и категории субъектов персональных данных. Цели,
категории и перечень обрабатываемых персональных данных
Раздел 3. Порядок и условия обработки персональных данных
3.1. Условия обработки персональных данных
3.2. Способы и действия по обработке персональных данных
Раздел 4. Конфиденциальность
Раздел 5. Права и обязанности субъектов персональных данных в целях
обеспечения защиты персональных данных
Раздел 6. Меры по защите персональных данных
Раздел 7. Сроки обработки, хранения и порядок уничтожения персональных
данных
7.1. Сроки обработки и хранения персональных данных
7.2. Порядок уничтожения персональных данных
Раздел 8. Заключительные положения
Глоссарий
ООО МЦВЛ «Консилиум» – сокращенное наименование Общества с ограниченной
ответственностью Медицинского центра восстановительного лечения «Консилиум»
(далее также – Организация);
Политика – настоящая Политика в отношении обработки персональных данных
в ООО МЦВЛ «Консилиум»;
персональные данные – любая информация, относящаяся к прямо или косвенно
определенному или определяемому физическому лицу (субъекту персональных
данных);
персональные данные, разрешенные субъектом персональных данных
для распространения, – персональные данные, доступ неограниченного круга лиц
к которым предоставлен субъектом персональных данных путем дачи согласия
на обработку персональных данных, разрешенных субъектом персональных данных
для распространения в порядке, предусмотренном Федеральным законом
от 27.07.2006 № 152-ФЗ «О персональных данных»;
оператор – государственный орган, муниципальный орган, юридическое
или физическое лицо, самостоятельно или совместно с другими лицами
организующие и (или) осуществляющие обработку персональных данных,
а также определяющие цели обработки персональных данных, состав персональных
данных, подлежащих обработке, действия (операции), совершаемые
с персональными данными;
обработка персональных данных – любое действие (операция) или совокупность
действий (операций), совершаемых с использованием средств автоматизации
или без использования таких средств с персональными данными, включая сбор,
запись, систематизацию, накопление, хранение, уточнение (обновление, изменение),
извлечение, использование, передачу (распространение, предоставление, доступ),
обезличивание, блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных – обработка
персональных данных с помощью средств вычислительной техники;
распространение персональных данных – действия, направленные на раскрытие
персональных данных неопределенному кругу лиц;
предоставление персональных данных – действия, направленные на раскрытие
персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных – временное прекращение обработки
персональных данных (за исключением случаев, если обработка необходима
для уточнения персональных данных);
уничтожение персональных данных – действия, в результате которых становится
невозможным восстановить содержание персональных данных в информационной
системе персональных данных и (или) в результате которых уничтожаются
материальные носители персональных данных;
обезличивание персональных данных – действия, в результате которых
становится невозможным без использования дополнительной информации
определить принадлежность персональных данных конкретному субъекту
персональных данных;
информационная система персональных данных (ИСПД) – совокупность
содержащихся в базах данных персональных данных и обеспечивающих
их обработку информационных технологий и технических средств;
трансграничная передача персональных данных – передача персональных
данных на территорию иностранного государства органу власти иностранного
государства, иностранному физическому лицу или иностранному юридическому
лицу;
база персональных данных – упорядоченный массив персональных данных,
независимый от вида материального носителя информации и используемых средств
его обработки (архивы, картотеки, электронные базы данных);
биометрические персональные данные – сведения, которые характеризуют
физиологические и биологические особенности человека, на основании которых
можно установить его личность и которые используются оператором
для установления личности субъекта персональных данных;
доступ к персональным данным – ознакомление определенных лиц (в том числе
работников) с персональными данными субъектов, обрабатываемыми
Организацией, при условии сохранения конфиденциальности этих сведений;
конфиденциальность персональных данных – обязанность лиц, получивших
доступ к персональным данным, не раскрывать их третьим лицам
и не распространять персональные данные без согласия субъекта персональных
данных, если иное не предусмотрено законодательством;
субъект персональных данных (субъект) – физическое лицо, к которому относятся
персональные данные;
специальные категории персональных данных – сведения, касающиеся расовой,
национальной принадлежности, политических взглядов, религиозных
или философских убеждений, состояния здоровья, интимной жизни;
сведения о состоянии здоровья – информация о состоянии здоровья, в том числе
сведения о результатах медицинского обследования, наличии заболевания,
об установленном диагнозе и о прогнозе развития заболевания, методах оказания
медицинской помощи, связанном с ними риске, возможных видах медицинского
вмешательства, его последствиях и результатах оказания медицинской помощи;
медицинская помощь – комплекс мероприятий, направленных на поддержание
и (или) восстановление здоровья и включающих в себя предоставление
медицинских услуг;
врачебная тайна – сведения о факте обращения гражданина за оказанием
медицинской помощи, состоянии его здоровья и диагнозе, иные сведения,
полученные при его медицинском обследовании и лечении;
Пациент – физическое лицо, которому оказывается медицинская помощь
или которое обратилось за оказанием медицинской помощи независимо от наличия
у него заболевания и от его состояния, а также физическое лицо, в отношении
которого Организацией проводятся медицинские экспертизы, медицинские осмотры
и медицинские освидетельствования;
Контрагент – физические лица, с которыми Организацией заключены гражданско-
правовые договоры, включая договоры возмездного оказания услуг, подряда,
авторского заказа, ученические договоры, договоры на прохождение практики
с учебными учреждениями (образовательными организациями), за исключением
договоров на оказание медицинских услуг;
Представители контрагентов – представители контрагентов Организации,
в том числе работников, владельцев, включая бенефициарных владельцев,
представителей, действующих на основании доверенности, и иных представителей
контрагентов Организации, являющихся юридическими лицами
или индивидуальными предпринимателями, с которыми у Организации существуют
договорные отношения, с которыми Организация намерен вступить в договорные
отношения или которые намерены вступить в договорные отношения с
Организацией;
Работники – работники Организации, состоящие в трудовых отношениях
с Организацией, в том числе бывшие работники Организации;
Члены семей – члены семей Работников, обработка персональных данных которых
осуществляется в соответствии с законодательством Российской Федерации;
Соискатели – соискатели (претенденты) на вакантные должности в Организации;
Сайт – сайт Организации в сети Интернет: https://mcvl.ru/;
Пользователи Сайта – лица, посещающие Сайт;
файлы cookie — небольшой фрагмент данных, отправленный веб-сервером и
хранимый на компьютере пользователя, который веб-клиент или веб-браузер
каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу
соответствующего сайта;
IP-адрес — уникальный сетевой адрес узла в компьютерной сети, построенной по
протоколу IP;
Представители субъектов – представители субъектов персональных данных
(как имеющие статус законных представителей, так и не имеющие), не являющиеся
Работниками и обращающиеся в Организация по поручению и от имени субъектов
персональных данных.
становится невозможным без использования дополнительной информации
определить принадлежность персональных данных конкретному субъекту
персональных данных;
информационная система персональных данных (ИСПД) – совокупность
содержащихся в базах данных персональных данных и обеспечивающих
их обработку информационных технологий и технических средств;
трансграничная передача персональных данных – передача персональных
данных на территорию иностранного государства органу власти иностранного
государства, иностранному физическому лицу или иностранному юридическому
лицу;
база персональных данных – упорядоченный массив персональных данных,
независимый от вида материального носителя информации и используемых средств
его обработки (архивы, картотеки, электронные базы данных);
биометрические персональные данные – сведения, которые характеризуют
физиологические и биологические особенности человека, на основании которых
можно установить его личность и которые используются оператором
для установления личности субъекта персональных данных;
доступ к персональным данным – ознакомление определенных лиц (в том числе
работников) с персональными данными субъектов, обрабатываемыми
Организацией, при условии сохранения конфиденциальности этих сведений;
конфиденциальность персональных данных – обязанность лиц, получивших
доступ к персональным данным, не раскрывать их третьим лицам
и не распространять персональные данные без согласия субъекта персональных
данных, если иное не предусмотрено законодательством;
субъект персональных данных (субъект) – физическое лицо, к которому относятся
персональные данные;
специальные категории персональных данных – сведения, касающиеся расовой,
национальной принадлежности, политических взглядов, религиозных
или философских убеждений, состояния здоровья, интимной жизни;
сведения о состоянии здоровья – информация о состоянии здоровья, в том числе
сведения о результатах медицинского обследования, наличии заболевания,
об установленном диагнозе и о прогнозе развития заболевания, методах оказания
медицинской помощи, связанном с ними риске, возможных видах медицинского
вмешательства, его последствиях и результатах оказания медицинской помощи;
медицинская помощь – комплекс мероприятий, направленных на поддержание
и (или) восстановление здоровья и включающих в себя предоставление
медицинских услуг;
врачебная тайна – сведения о факте обращения гражданина за оказанием
медицинской помощи, состоянии его здоровья и диагнозе, иные сведения,
полученные при его медицинском обследовании и лечении;
Пациент – физическое лицо, которому оказывается медицинская помощь
или которое обратилось за оказанием медицинской помощи независимо от наличия
у него заболевания и от его состояния, а также физическое лицо, в отношении
которого Организацией проводятся медицинские экспертизы, медицинские осмотры
и медицинские освидетельствования;
Контрагент – физические лица, с которыми Организацией заключены гражданско-
правовые договоры, включая договоры возмездного оказания услуг, подряда,
авторского заказа, ученические договоры, договоры на прохождение практики
с учебными учреждениями (образовательными организациями), за исключением
договоров на оказание медицинских услуг;
Представители контрагентов – представители контрагентов Организации,
в том числе работников, владельцев, включая бенефициарных владельцев,
представителей, действующих на основании доверенности, и иных представителей
контрагентов Организации, являющихся юридическими лицами
или индивидуальными предпринимателями, с которыми у Организации существуют
договорные отношения, с которыми Организация намерен вступить в договорные
отношения или которые намерены вступить в договорные отношения с
Организацией;
Работники – работники Организации, состоящие в трудовых отношениях
с Организацией, в том числе бывшие работники Организации;
Члены семей – члены семей Работников, обработка персональных данных которых
осуществляется в соответствии с законодательством Российской Федерации;
Соискатели – соискатели (претенденты) на вакантные должности в Организации;
Сайт – сайт Организации в сети Интернет: https://mcvl.ru/;
Пользователи Сайта – лица, посещающие Сайт;
файлы cookie — небольшой фрагмент данных, отправленный веб-сервером и
хранимый на компьютере пользователя, который веб-клиент или веб-браузер
каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу
соответствующего сайта;
IP-адрес — уникальный сетевой адрес узла в компьютерной сети, построенной по
протоколу IP;
Представители субъектов – представители субъектов персональных данных
(как имеющие статус законных представителей, так и не имеющие), не являющиеся
Работниками и обращающиеся в Организация по поручению и от имени субъектов
персональных данных.
Раздел 1. Общие положения
1.1. Назначение и область действия
1.1.1. Настоящая Политика определяет общие принципы, цели, категории
и перечень персональных данных, категории субъектов, персональные данные
которых обрабатываются, их права и обязанности, порядок и условия обработки
персональных данных, сроки обработки, хранения и уничтожения персональных
данных, меры по защите и обеспечению их безопасности в ООО МЦВЛ
«Консилиум» (далее – Организация).
1.1.2. Целью Политики является обеспечение защиты прав и свобод человека
и гражданина при обработке его персональных данных, в том числе защиты прав
на неприкосновенность частной жизни, личную и семейную тайну, четкое
и неукоснительное соблюдение требований законодательства Российской
Федерации и международных договоров Российской Федерации в области
персональных данных.
1.1.3. Действие Политики распространяется на всех работников
и структурные подразделения Организации.
1.1.4. Политика является локальным нормативным актом Организации,
которая вступает в силу с момента подписания руководителем Организации приказа
о введении его в действие и действует до отмены его приказом Организации
и/или утверждения новой редакции Политики.
1.1.5. Настоящая Политика публикуется на всех страницах Сайта,
с использованием которых Организацией осуществляется сбор персональных
данных.
1.2. Правовая основа обработки персональных данных
1.2.1. Обработка персональных данных в Организации осуществляется
в соответствии со следующими нормативными правовыми актами Российской
Федерации:
• Конституция Российской Федерации, принятая всенародным
голосованием 12.12.1993;
• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных
данных» (далее – Закон о персональных данных);
• Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ;
• Гражданский кодекс РФ (часть первая) от 30.11.1994 № 51-ФЗ;
• Гражданский кодекс Российской Федерации (часть вторая) от
26.01.1996 № 14-ФЗ;
• Налоговый кодекс Российской Федерации (часть первая) от 31.07.1998
№ 146-ФЗ;
• Налоговый кодекс Российской Федерации (часть вторая) от 05.08.2000
№ 117-ФЗ;
• Уголовный кодекс Российской Федерации от 13.06.1996 № 63-ФЗ;
• Кодекс Российской Федерации об административных
правонарушениях от 30.12.2001 № 195-ФЗ;
• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации,
информационных технологиях и о защите информации»;
• Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны
здоровья граждан в Российской Федерации» (далее – Закон об основах охраны
здоровья граждан в Российской Федерации);
• Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете в
Российской Федерации»;
• Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном
медицинском страховании в Российской Федерации»;
• Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном
(персонифицированном) учете в системе обязательного пенсионного страхования»;
• Федеральный закон от 16.07.1999 № 165-ФЗ «Об основах
обязательного социального страхования»;
• Федеральный закон от 29.12.2006 № 255-ФЗ «Об обязательном
социальном страховании на случай временной нетрудоспособности и в связи с
материнством»;
• Федеральный закон от 24.07.1998 № 125-ФЗ «Об обязательном
социальном страховании от несчастных случаев на производстве и
профессиональных заболеваний»;
• Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в
Российской Федерации» (далее – Закон об архивном деле в Российской Федерации);
• Федеральный закон от 12.08.1995 № 144-ФЗ «Об оперативно-
розыскной деятельности» (далее – Закон об оперативно-розыскной деятельности);
• Постановление Правительства Российской Федерации от 01.11.2012 №
1119 «Об утверждении требований к защите персональных данных при их обработке
в информационных системах персональных данных» (далее – Постановление №
1119);
• Постановление Правительства Российской Федерации от 15.09.2008 №
687 «Об утверждении Положения об особенностях обработки персональных данных,
осуществляемой без использования средств автоматизации»;
• Постановление Правительства РФ от 27.11.2006 № 719 «Об
утверждении Положения о воинском учете»;
• Приказ Роскомнадзора от 24.02.2021 № 18 «Об утверждении
требований к содержанию согласия на обработку персональных данных,
разрешенных субъектом персональных данных для распространения» (далее –
Приказ Роскомнадзора № 18);
• Приказ Роскомнадзора от 28.10.2022 № 179 «Об утверждении
Требований к подтверждению уничтожения персональных данных» (далее – Приказ
Роскомнадзора № 179);
• Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава
и содержания организационных и технических мер по обеспечению безопасности
персональных данных при их обработке в информационных системах персональных
данных»;
• Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и
содержания организационных и технических мер по обеспечению безопасности
персональных данных при их обработке в информационных системах персональных
данных с использованием средств криптографической защиты информации,
необходимых для выполнения установленных Правительством Российской
Федерации требований к защите персональных данных для каждого из уровней
защищенности»;
• Приказ Росархива от 20.12.2019 № 236 «Об утверждении Перечня
типовых управленческих архивных документов, образующихся в процессе
деятельности государственных органов, органов местного самоуправления и
организаций, с указанием сроков их хранения» (далее – Приказ Росархива № 236);
• иные нормативные правовые акты Российской Федерации..
1.2.2. Правовым основанием обработки персональных данных в Организации
также являются:
• Устав и иные локальные нормативные акты Организации;
• трудовые договоры, гражданско-правовые договоры, заключенные
с контрагентами;
• согласия субъектов на обработку их персональных данных.
1.3. Принципы обработки персональных данных
Обработка персональных данных Организацией осуществляется
в соответствии со следующими принципами:
1.3.1. Законность и справедливая основа обработки персональных
данных.
Организация принимает все необходимые меры по выполнению требований
законодательства, не обрабатывает персональные данные в случаях, когда это не
допускается законодательством и не требуется для достижения определенных
Организацией целей, не использует персональные данные способами,
нарушающими права и законные интересы субъектов таких данных.
1.3.2. Ограничение обработки персональных данных достижением
конкретных, заранее определённых и законных целей.
Цели обработки персональных данных определены в п. 2.2 настоящей
Политики.
1.3.3. Недопущение объединения баз данных, содержащих персональные
данные, обработка которых осуществляется в целях, не совместимых между
собой.
Организация не объединяет базы данных, обработка в которых осуществляется
для целей, не совместимых между собой.
1.3.4. Соответствие состава персональных данных целям,
недопустимость избыточности и несовместимости.
1.3.4.1. Обрабатываются только те персональные данные, которые необходимы
для достижения целей, указанных в п. 2.2 настоящей Политики.
1.3.4.2. Объем и содержание персональных данных соответствуют заявленным
целям и не являются избыточными.
1.3.4.3. Обработка персональных данных, не совместимая с целями их сбора,
не допускается.
1.3.5. Обеспечение точности, достаточности и актуальности
персональных данных по отношению к целям обработки персональных
данных.
Организация принимает все разумные меры по поддержке актуальности
обрабатываемых персональных данных, включая (без ограничения) реализацию
права каждого субъекта получать для ознакомления свои персональные данные
и требовать от Организации их уточнения, блокирования или уничтожения в случае,
если персональные данные являются неполными, устаревшими, неточными,
незаконно полученными или не являются необходимыми для заявленных выше
целей обработки без необходимости обоснования такого требования.
1.3.6. Соблюдение сроков хранения и требований к уничтожению
или обезличиванию.
1.3.6.1. Хранение персональных данных осуществляется:
− в форме, позволяющей определить субъекта персональных данных,
− не дольше, чем этого требуют цели обработки персональных данных,
если срок хранения персональных данных не установлен
законодательством, договором, стороной которого является субъект
персональных данных, а также согласием субъекта персональных
данных на обработку данных.
1.3.6.2. Уничтожение или обезличивание персональных данных
осуществляется:
− по достижении заявленных целей их обработки или в случае утраты
необходимости в достижении этих целей, если иное
не предусмотрено федеральным законом;
− при невозможности устранения Организацией допущенных
нарушений установленного законодательством порядка обработки
персональных данных,
− при отзыве согласия на обработку субъектом персональных данных,
− по истечении срока обработки персональных данных,
установленных согласием на обработку персональных данных,
если иное не предусмотрено законодательством или договорами
с субъектами персональных данных.
1.1. Назначение и область действия
1.1.1. Настоящая Политика определяет общие принципы, цели, категории
и перечень персональных данных, категории субъектов, персональные данные
которых обрабатываются, их права и обязанности, порядок и условия обработки
персональных данных, сроки обработки, хранения и уничтожения персональных
данных, меры по защите и обеспечению их безопасности в ООО МЦВЛ
«Консилиум» (далее – Организация).
1.1.2. Целью Политики является обеспечение защиты прав и свобод человека
и гражданина при обработке его персональных данных, в том числе защиты прав
на неприкосновенность частной жизни, личную и семейную тайну, четкое
и неукоснительное соблюдение требований законодательства Российской
Федерации и международных договоров Российской Федерации в области
персональных данных.
1.1.3. Действие Политики распространяется на всех работников
и структурные подразделения Организации.
1.1.4. Политика является локальным нормативным актом Организации,
которая вступает в силу с момента подписания руководителем Организации приказа
о введении его в действие и действует до отмены его приказом Организации
и/или утверждения новой редакции Политики.
1.1.5. Настоящая Политика публикуется на всех страницах Сайта,
с использованием которых Организацией осуществляется сбор персональных
данных.
1.2. Правовая основа обработки персональных данных
1.2.1. Обработка персональных данных в Организации осуществляется
в соответствии со следующими нормативными правовыми актами Российской
Федерации:
• Конституция Российской Федерации, принятая всенародным
голосованием 12.12.1993;
• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных
данных» (далее – Закон о персональных данных);
• Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ;
• Гражданский кодекс РФ (часть первая) от 30.11.1994 № 51-ФЗ;
• Гражданский кодекс Российской Федерации (часть вторая) от
26.01.1996 № 14-ФЗ;
• Налоговый кодекс Российской Федерации (часть первая) от 31.07.1998
№ 146-ФЗ;
• Налоговый кодекс Российской Федерации (часть вторая) от 05.08.2000
№ 117-ФЗ;
• Уголовный кодекс Российской Федерации от 13.06.1996 № 63-ФЗ;
• Кодекс Российской Федерации об административных
правонарушениях от 30.12.2001 № 195-ФЗ;
• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации,
информационных технологиях и о защите информации»;
• Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны
здоровья граждан в Российской Федерации» (далее – Закон об основах охраны
здоровья граждан в Российской Федерации);
• Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете в
Российской Федерации»;
• Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном
медицинском страховании в Российской Федерации»;
• Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном
(персонифицированном) учете в системе обязательного пенсионного страхования»;
• Федеральный закон от 16.07.1999 № 165-ФЗ «Об основах
обязательного социального страхования»;
• Федеральный закон от 29.12.2006 № 255-ФЗ «Об обязательном
социальном страховании на случай временной нетрудоспособности и в связи с
материнством»;
• Федеральный закон от 24.07.1998 № 125-ФЗ «Об обязательном
социальном страховании от несчастных случаев на производстве и
профессиональных заболеваний»;
• Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в
Российской Федерации» (далее – Закон об архивном деле в Российской Федерации);
• Федеральный закон от 12.08.1995 № 144-ФЗ «Об оперативно-
розыскной деятельности» (далее – Закон об оперативно-розыскной деятельности);
• Постановление Правительства Российской Федерации от 01.11.2012 №
1119 «Об утверждении требований к защите персональных данных при их обработке
в информационных системах персональных данных» (далее – Постановление №
1119);
• Постановление Правительства Российской Федерации от 15.09.2008 №
687 «Об утверждении Положения об особенностях обработки персональных данных,
осуществляемой без использования средств автоматизации»;
• Постановление Правительства РФ от 27.11.2006 № 719 «Об
утверждении Положения о воинском учете»;
• Приказ Роскомнадзора от 24.02.2021 № 18 «Об утверждении
требований к содержанию согласия на обработку персональных данных,
разрешенных субъектом персональных данных для распространения» (далее –
Приказ Роскомнадзора № 18);
• Приказ Роскомнадзора от 28.10.2022 № 179 «Об утверждении
Требований к подтверждению уничтожения персональных данных» (далее – Приказ
Роскомнадзора № 179);
• Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава
и содержания организационных и технических мер по обеспечению безопасности
персональных данных при их обработке в информационных системах персональных
данных»;
• Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и
содержания организационных и технических мер по обеспечению безопасности
персональных данных при их обработке в информационных системах персональных
данных с использованием средств криптографической защиты информации,
необходимых для выполнения установленных Правительством Российской
Федерации требований к защите персональных данных для каждого из уровней
защищенности»;
• Приказ Росархива от 20.12.2019 № 236 «Об утверждении Перечня
типовых управленческих архивных документов, образующихся в процессе
деятельности государственных органов, органов местного самоуправления и
организаций, с указанием сроков их хранения» (далее – Приказ Росархива № 236);
• иные нормативные правовые акты Российской Федерации..
1.2.2. Правовым основанием обработки персональных данных в Организации
также являются:
• Устав и иные локальные нормативные акты Организации;
• трудовые договоры, гражданско-правовые договоры, заключенные
с контрагентами;
• согласия субъектов на обработку их персональных данных.
1.3. Принципы обработки персональных данных
Обработка персональных данных Организацией осуществляется
в соответствии со следующими принципами:
1.3.1. Законность и справедливая основа обработки персональных
данных.
Организация принимает все необходимые меры по выполнению требований
законодательства, не обрабатывает персональные данные в случаях, когда это не
допускается законодательством и не требуется для достижения определенных
Организацией целей, не использует персональные данные способами,
нарушающими права и законные интересы субъектов таких данных.
1.3.2. Ограничение обработки персональных данных достижением
конкретных, заранее определённых и законных целей.
Цели обработки персональных данных определены в п. 2.2 настоящей
Политики.
1.3.3. Недопущение объединения баз данных, содержащих персональные
данные, обработка которых осуществляется в целях, не совместимых между
собой.
Организация не объединяет базы данных, обработка в которых осуществляется
для целей, не совместимых между собой.
1.3.4. Соответствие состава персональных данных целям,
недопустимость избыточности и несовместимости.
1.3.4.1. Обрабатываются только те персональные данные, которые необходимы
для достижения целей, указанных в п. 2.2 настоящей Политики.
1.3.4.2. Объем и содержание персональных данных соответствуют заявленным
целям и не являются избыточными.
1.3.4.3. Обработка персональных данных, не совместимая с целями их сбора,
не допускается.
1.3.5. Обеспечение точности, достаточности и актуальности
персональных данных по отношению к целям обработки персональных
данных.
Организация принимает все разумные меры по поддержке актуальности
обрабатываемых персональных данных, включая (без ограничения) реализацию
права каждого субъекта получать для ознакомления свои персональные данные
и требовать от Организации их уточнения, блокирования или уничтожения в случае,
если персональные данные являются неполными, устаревшими, неточными,
незаконно полученными или не являются необходимыми для заявленных выше
целей обработки без необходимости обоснования такого требования.
1.3.6. Соблюдение сроков хранения и требований к уничтожению
или обезличиванию.
1.3.6.1. Хранение персональных данных осуществляется:
− в форме, позволяющей определить субъекта персональных данных,
− не дольше, чем этого требуют цели обработки персональных данных,
если срок хранения персональных данных не установлен
законодательством, договором, стороной которого является субъект
персональных данных, а также согласием субъекта персональных
данных на обработку данных.
1.3.6.2. Уничтожение или обезличивание персональных данных
осуществляется:
− по достижении заявленных целей их обработки или в случае утраты
необходимости в достижении этих целей, если иное
не предусмотрено федеральным законом;
− при невозможности устранения Организацией допущенных
нарушений установленного законодательством порядка обработки
персональных данных,
− при отзыве согласия на обработку субъектом персональных данных,
− по истечении срока обработки персональных данных,
установленных согласием на обработку персональных данных,
если иное не предусмотрено законодательством или договорами
с субъектами персональных данных.
Раздел 2. Статус Организации и категории субъектов персональных
данных. Цели, категории и перечень обрабатываемых персональных
данных
2.1. Организация является оператором в отношении следующих категорий
субъектов персональных данных:
- Работников;
- Членов семей;
- Соискателей;
- Контрагентов;
- Представителей контрагентов;
- Пациентов;
- Пользователей Сайта;
- Представителей субъектов.
2.2. Целями обработки персональных данных в Организации являются:
- в отношении Работников – исполнение заключенных трудовых договоров,
оформление трудовых отношений, содействие в обучении, повышении
квалификации, профессиональной переподготовке и продвижении по работе,
направление в служебные командировки, участие в семинарах, конференциях, иных
мероприятиях, связанных с деятельностью Организации; контроль количества
и качества выполняемой работы; обеспечение безопасности, обеспечения
сохранности имущества Работника и Организации; расчет и выплата заработной
платы и иных платежей, в том числе с использованием банковской карты; расчет
и перечисление налогов и страховых взносов; предоставление гарантий и льгот,
предусмотренных нормативными правовыми актами, содержащими нормы
трудового права, локальными нормативными актами, соглашениями, коллективным
договором, трудовым договором; включение в справочники и другие
общедоступные источники информации Организации, а также для идентификации и
аутентификации Работника в информационных системах; страхование жизни
и здоровья Работника; выполнение требований нормативных правовых актов
органов государственного статистического учета; проведение статистических и
иных исследований и опросов, для обеспечения выполнения Организацией норм
российского и международного законодательства, действующего на территории РФ;
- в отношении Членов семей – предоставление Организацией Работнику
установленных законодательством и локальными нормативными актами
Организации условий труда, гарантий и компенсаций, оформление налоговых
вычетов;
- в отношении Соискателей – содействие в трудоустройстве, принятие
решения о возможности приема на работу в Организация и, как следствие,
заключение трудовых договоров, оформление трудовых отношений;
- в отношении Контрагентов – заключение и исполнение гражданско-
правовых договоров, расчет и выплата вознаграждений по договорам, удержание
налогов и выплата страховых взносов, направление отчетности, организация
и осуществление налогового, бухгалтерского и управленческого и иных видов учета
Организацией;
- в отношении Представителей контрагентов – соблюдение норм
Гражданского кодекса РФ, регулирующих договорную работу, заключение
и исполнение договоров с контрагентами;
- в отношении Пациентов – медико-профилактические цели, цели установления медицинского диагноза, оказание медицинских и медико-социальных
услуг, организации внутреннего учета Организации, проведения научных
исследований, их опубликования в научных изданиях, использования в учебном
процессе в области охраны здоровья граждан, исполнения обязательств в рамках
программ ОМС/ДМС и обмена данными с Фондом обязательного медицинского
страхования, страховыми и иными организациями;
- в отношении Пользователей Сайта – рассмотрение заявок, обращений
и комментариев, оставленных в специальных формах на Сайте;
- в отношении Представителей субъектов – выполнение Организацией
действий по поручению представителей субъектов персональных данных.
2.3. В соответствии с целями обработки, указанными в п. 2.2 Политики,
Организацией обрабатываются следующие перечни персональных данных:
2.3.1. Работников:
- фамилия, имя, отчество (при наличии), а также прежние фамилия, имя,
отчество (при наличии), дата и место их изменения (в случае изменения);
- пол;
- дата (число, месяц, год) и место рождения;
- фотографическое изображение;
- гражданство;
- вид, серия, номер документа, удостоверяющего личность, наименование
органа, выдавшего его, дата выдачи;
- идентификационный номер налогоплательщика (ИНН);
- документ, подтверждающий регистрацию в системе индивидуального
(персонифицированного) учета (СНИЛС, электронное уведомление);
- адрес и дата регистрации по месту жительства (месту пребывания),
адрес фактического проживания;
- номер контактного телефона, адрес электронной почты и (или) сведения
о других способах связи;
- реквизиты свидетельств о государственной регистрации актов гражданского
состояния и содержащиеся в них сведения;
- сведения о семейном положении, составе семьи (степень родства, фамилии,
имена, отчества (при наличии), даты (число, месяц, год) и места рождения);
- сведения об образовании и (или) квалификации или наличии специальных
знаний, наличии ученой степени или ученого звания (в том числе наименование
образовательной и (или) иной организации, год окончания, уровень образования,
квалификация, реквизиты документа об образовании, обучении);
- информация о владении иностранными языками;
- сведения об отношении к воинской обязанности, о воинском учете
и реквизиты документов воинского учета (серия, номер, дата выдачи документа,
наименование органа, выдавшего его);
- сведения о трудовой деятельности, а также информация о предыдущих местах
работы, периодах и стаже работы;
- сведения, содержащиеся в документах, дающих право на пребывание
и трудовую деятельность на территории РФ (для иностранных граждан,
пребывающих в РФ);
- сведения, содержащиеся в разрешении на временное проживание, разрешении
на временное проживание в целях получения образования (для иностранных
граждан, временно проживающих в РФ), виде на жительство (для иностранных
граждан, постоянно проживающих в РФ);
- сведения о доходах, обязательствах по исполнительным документам;
- номера расчетного счета, банковской карты;
- сведения о состоянии здоровья, в том числе сведения, содержащиеся в
заключении врача-профпатолога, врачебной комиссии, медицинской книжке
(для отдельных категорий субъектов персональных данных), в справке
об инвалидности и индивидуальной программе реабилитации инвалидов (для лиц с
установленной инвалидностью);
- сведения о наличии (отсутствии) судимости и (или) факта уголовного
преследования либо о прекращении уголовного преследования
по реабилитирующим основаниям (для отдельных категорий субъектов
персональных данных);
- иные персональные данные, содержащиеся в документах, представление
которых предусмотрено законодательством, если обработка этих данных
соответствует цели обработки, предусмотренной п. 2.2 Политики;
- иные персональные данные, которые субъект персональных данных пожелал
сообщить о себе, и обработка которых соответствует цели обработки,
предусмотренной п. 2.2 Политики.
2.3.2. Членов семей:
- фамилия, имя, отчество (последнее – при наличии);
- дата (число, месяц, год) рождения;
- место жительства;
- реквизиты свидетельств о государственной регистрации актов гражданского
состояния и содержащиеся в них сведения;
- сведения о состоянии здоровья, в том числе сведения, содержащиеся в справке
об инвалидности, медицинских заключениях, подтверждающих необходимость
осуществления ухода;
- иные персональные данные, содержащиеся в документах, представление
которых предусмотрено законодательством, если обработка этих данных
соответствует цели обработки, предусмотренной п. 2.2 Политики.
2.3.3. Соискателей:
- фамилия, имя, отчество (последнее – при наличии);
- пол;
- дата (число, месяц, год) рождения;
- место рождения;
- гражданство;
- место жительства;
- сведении об образовании и (или) квалификации или наличии специальных
знаний, наличии ученой степени или ученого звания (в том числе наименование
образовательной и (или) иной организации, год окончания, уровень образования,
квалификация, реквизиты документа об образовании, обучении);
- информация о владении иностранными языками;
- семейное положение;
- сведения о доходе с предыдущего места работы;
- сведения о состоянии здоровья, в том числе о результатах предварительного
медицинского осмотра (для отдельных категорий субъектов персональных данных);
- сведения о наличии (отсутствии) судимости и (или) факта уголовного
преследования либо о прекращении уголовного преследования
по реабилитирующим основаниям (для отдельных категорий субъектов
персональных данных);
- номер контактного телефона, адрес электронной почты и (или) сведения
о других способах связи;
- иные персональные данные, которые субъект персональных данных сообщил
о себе, и обработка которых соответствует цели обработки, предусмотренной п. 2.2
Политики.
2.3.4. Контрагентов:
- фамилия, имя, отчество (последнее – при наличии);
- пол;
- дата (число, месяц, год) рождения;
- место рождения;
- гражданство;
- вид, серия, номер документа, удостоверяющего личность, наименование
органа, выдавшего его, дата выдачи;
- идентификационный номер налогоплательщика (ИНН);
- документ, подтверждающий регистрацию в системе индивидуального
(персонифицированного) учета (СНИЛС, электронное уведомление), кроме лиц,
являющихся индивидуальными предпринимателями или применяющих
специальный налоговый режим «Налог на профессиональный доход»;
- номера расчетного счета, банковской карты;
- номер контактного телефона, адрес электронной почты и (или) сведения
о других способах связи;
- иные персональные данные, которые субъект персональных данных сообщил
о себе, и обработка которых соответствует цели обработки, предусмотренной п. 2.2
Политики.
2.3.5. Представителей контрагентов:
- фамилия, имя отчество (последнее – при наличии);
- место работы/занимаемая должность;
- номер телефона, адрес электронной почты;
- иные персональные данные, предоставляемые Представителями контрагентов
для организации договорной работы с Организацией.
2.3.6. Пациентов:
- фамилия, имя, отчество (последнее – при наличии);
- пол;
- дата (число, месяц, год) рождения;
- место рождения;
- гражданство;
- вид, серия, номер документа, удостоверяющего личность, наименование
органа, выдавшего его, дата выдачи;
- место жительства;
- место регистрации;
- дата регистрации;
- документ, подтверждающий регистрацию в системе индивидуального
(персонифицированного) учета (СНИЛС, электронное уведомление), кроме лиц,
являющихся индивидуальными предпринимателями или применяющих
специальный налоговый режим «Налог на профессиональный доход»;
- номер полиса обязательного медицинского страхования застрахованного лица
(при наличии);
- анамнез;
- диагноз;
- сведения об организации, осуществляющей медицинскую деятельность,
в которой пациенту оказывалась медицинская помощь;
- вид оказанной медицинской помощи;
- условия оказания медицинской помощи;
- сроки оказания медицинской помощи;
- объем оказанной медицинской помощи, включая сведения об оказанных
медицинских услугах;
- результат обращения за медицинской помощью;
- серия и номер выданного листка нетрудоспособности (при наличии);
- сведения о проведенных медицинских экспертизах, медицинских осмотрах
и медицинских освидетельствованиях и их результаты;
- примененные клинические рекомендации;
- сведения о медицинском работнике или медицинских работниках, оказавших
медицинскую помощь, проводивших медицинские экспертизы, медицинские
осмотры и медицинские освидетельствования;
- иные персональные данные, которые субъект персональных данных сообщил
о себе, и обработка которых соответствует цели обработки, предусмотренной п. 2.2
Политики.
2.3.7. Пользователей Сайта:
- фамилия, имя, отчество (последнее – при наличии);
- место жительства;
- номер полиса обязательного медицинского страхования застрахованного лица
(при наличии и необходимости);
- номер контактного телефона, адрес электронной почты и (или) сведения
о других способах связи;
- информация из файлов cookie – пользовательские (статистические) данные
о текущем подключении к Сайту (дата и время посещения; IP-адрес, присвоенный
устройству выхода в Интернет; тип браузера и операционной системы; URL сайта,
с которого был осуществлен переход; данные, собираемые посредством агрегаторов
статистики посетителей веб-сайтов/метрических программ/систем веб-аналитики);
- иные персональные данные, в том числе сведения о состоянии здоровья,
которые субъект персональных данных сообщил через специальную форму на Сайте
и обработка которых соответствует цели обработки, предусмотренной п. 2.2
Политики.
2.3.8. Представителей субъектов:
- фамилия, имя, отчество;
- иные персональные данные, необходимые для взаимодействия
с Организацией.
2.4. Организацией обрабатываются следующие специальные категории
персональных данных: сведения о состоянии здоровья Соискателей, Работников,
Членов семей и Пациентов.
2.5. Организация обрабатывает следующие биометрические персональные
данные Работников: изображения лица, полученные с помощью фотоустройств,
позволяющие установить личность субъекта персональных данных.
данных. Цели, категории и перечень обрабатываемых персональных
данных
2.1. Организация является оператором в отношении следующих категорий
субъектов персональных данных:
- Работников;
- Членов семей;
- Соискателей;
- Контрагентов;
- Представителей контрагентов;
- Пациентов;
- Пользователей Сайта;
- Представителей субъектов.
2.2. Целями обработки персональных данных в Организации являются:
- в отношении Работников – исполнение заключенных трудовых договоров,
оформление трудовых отношений, содействие в обучении, повышении
квалификации, профессиональной переподготовке и продвижении по работе,
направление в служебные командировки, участие в семинарах, конференциях, иных
мероприятиях, связанных с деятельностью Организации; контроль количества
и качества выполняемой работы; обеспечение безопасности, обеспечения
сохранности имущества Работника и Организации; расчет и выплата заработной
платы и иных платежей, в том числе с использованием банковской карты; расчет
и перечисление налогов и страховых взносов; предоставление гарантий и льгот,
предусмотренных нормативными правовыми актами, содержащими нормы
трудового права, локальными нормативными актами, соглашениями, коллективным
договором, трудовым договором; включение в справочники и другие
общедоступные источники информации Организации, а также для идентификации и
аутентификации Работника в информационных системах; страхование жизни
и здоровья Работника; выполнение требований нормативных правовых актов
органов государственного статистического учета; проведение статистических и
иных исследований и опросов, для обеспечения выполнения Организацией норм
российского и международного законодательства, действующего на территории РФ;
- в отношении Членов семей – предоставление Организацией Работнику
установленных законодательством и локальными нормативными актами
Организации условий труда, гарантий и компенсаций, оформление налоговых
вычетов;
- в отношении Соискателей – содействие в трудоустройстве, принятие
решения о возможности приема на работу в Организация и, как следствие,
заключение трудовых договоров, оформление трудовых отношений;
- в отношении Контрагентов – заключение и исполнение гражданско-
правовых договоров, расчет и выплата вознаграждений по договорам, удержание
налогов и выплата страховых взносов, направление отчетности, организация
и осуществление налогового, бухгалтерского и управленческого и иных видов учета
Организацией;
- в отношении Представителей контрагентов – соблюдение норм
Гражданского кодекса РФ, регулирующих договорную работу, заключение
и исполнение договоров с контрагентами;
- в отношении Пациентов – медико-профилактические цели, цели установления медицинского диагноза, оказание медицинских и медико-социальных
услуг, организации внутреннего учета Организации, проведения научных
исследований, их опубликования в научных изданиях, использования в учебном
процессе в области охраны здоровья граждан, исполнения обязательств в рамках
программ ОМС/ДМС и обмена данными с Фондом обязательного медицинского
страхования, страховыми и иными организациями;
- в отношении Пользователей Сайта – рассмотрение заявок, обращений
и комментариев, оставленных в специальных формах на Сайте;
- в отношении Представителей субъектов – выполнение Организацией
действий по поручению представителей субъектов персональных данных.
2.3. В соответствии с целями обработки, указанными в п. 2.2 Политики,
Организацией обрабатываются следующие перечни персональных данных:
2.3.1. Работников:
- фамилия, имя, отчество (при наличии), а также прежние фамилия, имя,
отчество (при наличии), дата и место их изменения (в случае изменения);
- пол;
- дата (число, месяц, год) и место рождения;
- фотографическое изображение;
- гражданство;
- вид, серия, номер документа, удостоверяющего личность, наименование
органа, выдавшего его, дата выдачи;
- идентификационный номер налогоплательщика (ИНН);
- документ, подтверждающий регистрацию в системе индивидуального
(персонифицированного) учета (СНИЛС, электронное уведомление);
- адрес и дата регистрации по месту жительства (месту пребывания),
адрес фактического проживания;
- номер контактного телефона, адрес электронной почты и (или) сведения
о других способах связи;
- реквизиты свидетельств о государственной регистрации актов гражданского
состояния и содержащиеся в них сведения;
- сведения о семейном положении, составе семьи (степень родства, фамилии,
имена, отчества (при наличии), даты (число, месяц, год) и места рождения);
- сведения об образовании и (или) квалификации или наличии специальных
знаний, наличии ученой степени или ученого звания (в том числе наименование
образовательной и (или) иной организации, год окончания, уровень образования,
квалификация, реквизиты документа об образовании, обучении);
- информация о владении иностранными языками;
- сведения об отношении к воинской обязанности, о воинском учете
и реквизиты документов воинского учета (серия, номер, дата выдачи документа,
наименование органа, выдавшего его);
- сведения о трудовой деятельности, а также информация о предыдущих местах
работы, периодах и стаже работы;
- сведения, содержащиеся в документах, дающих право на пребывание
и трудовую деятельность на территории РФ (для иностранных граждан,
пребывающих в РФ);
- сведения, содержащиеся в разрешении на временное проживание, разрешении
на временное проживание в целях получения образования (для иностранных
граждан, временно проживающих в РФ), виде на жительство (для иностранных
граждан, постоянно проживающих в РФ);
- сведения о доходах, обязательствах по исполнительным документам;
- номера расчетного счета, банковской карты;
- сведения о состоянии здоровья, в том числе сведения, содержащиеся в
заключении врача-профпатолога, врачебной комиссии, медицинской книжке
(для отдельных категорий субъектов персональных данных), в справке
об инвалидности и индивидуальной программе реабилитации инвалидов (для лиц с
установленной инвалидностью);
- сведения о наличии (отсутствии) судимости и (или) факта уголовного
преследования либо о прекращении уголовного преследования
по реабилитирующим основаниям (для отдельных категорий субъектов
персональных данных);
- иные персональные данные, содержащиеся в документах, представление
которых предусмотрено законодательством, если обработка этих данных
соответствует цели обработки, предусмотренной п. 2.2 Политики;
- иные персональные данные, которые субъект персональных данных пожелал
сообщить о себе, и обработка которых соответствует цели обработки,
предусмотренной п. 2.2 Политики.
2.3.2. Членов семей:
- фамилия, имя, отчество (последнее – при наличии);
- дата (число, месяц, год) рождения;
- место жительства;
- реквизиты свидетельств о государственной регистрации актов гражданского
состояния и содержащиеся в них сведения;
- сведения о состоянии здоровья, в том числе сведения, содержащиеся в справке
об инвалидности, медицинских заключениях, подтверждающих необходимость
осуществления ухода;
- иные персональные данные, содержащиеся в документах, представление
которых предусмотрено законодательством, если обработка этих данных
соответствует цели обработки, предусмотренной п. 2.2 Политики.
2.3.3. Соискателей:
- фамилия, имя, отчество (последнее – при наличии);
- пол;
- дата (число, месяц, год) рождения;
- место рождения;
- гражданство;
- место жительства;
- сведении об образовании и (или) квалификации или наличии специальных
знаний, наличии ученой степени или ученого звания (в том числе наименование
образовательной и (или) иной организации, год окончания, уровень образования,
квалификация, реквизиты документа об образовании, обучении);
- информация о владении иностранными языками;
- семейное положение;
- сведения о доходе с предыдущего места работы;
- сведения о состоянии здоровья, в том числе о результатах предварительного
медицинского осмотра (для отдельных категорий субъектов персональных данных);
- сведения о наличии (отсутствии) судимости и (или) факта уголовного
преследования либо о прекращении уголовного преследования
по реабилитирующим основаниям (для отдельных категорий субъектов
персональных данных);
- номер контактного телефона, адрес электронной почты и (или) сведения
о других способах связи;
- иные персональные данные, которые субъект персональных данных сообщил
о себе, и обработка которых соответствует цели обработки, предусмотренной п. 2.2
Политики.
2.3.4. Контрагентов:
- фамилия, имя, отчество (последнее – при наличии);
- пол;
- дата (число, месяц, год) рождения;
- место рождения;
- гражданство;
- вид, серия, номер документа, удостоверяющего личность, наименование
органа, выдавшего его, дата выдачи;
- идентификационный номер налогоплательщика (ИНН);
- документ, подтверждающий регистрацию в системе индивидуального
(персонифицированного) учета (СНИЛС, электронное уведомление), кроме лиц,
являющихся индивидуальными предпринимателями или применяющих
специальный налоговый режим «Налог на профессиональный доход»;
- номера расчетного счета, банковской карты;
- номер контактного телефона, адрес электронной почты и (или) сведения
о других способах связи;
- иные персональные данные, которые субъект персональных данных сообщил
о себе, и обработка которых соответствует цели обработки, предусмотренной п. 2.2
Политики.
2.3.5. Представителей контрагентов:
- фамилия, имя отчество (последнее – при наличии);
- место работы/занимаемая должность;
- номер телефона, адрес электронной почты;
- иные персональные данные, предоставляемые Представителями контрагентов
для организации договорной работы с Организацией.
2.3.6. Пациентов:
- фамилия, имя, отчество (последнее – при наличии);
- пол;
- дата (число, месяц, год) рождения;
- место рождения;
- гражданство;
- вид, серия, номер документа, удостоверяющего личность, наименование
органа, выдавшего его, дата выдачи;
- место жительства;
- место регистрации;
- дата регистрации;
- документ, подтверждающий регистрацию в системе индивидуального
(персонифицированного) учета (СНИЛС, электронное уведомление), кроме лиц,
являющихся индивидуальными предпринимателями или применяющих
специальный налоговый режим «Налог на профессиональный доход»;
- номер полиса обязательного медицинского страхования застрахованного лица
(при наличии);
- анамнез;
- диагноз;
- сведения об организации, осуществляющей медицинскую деятельность,
в которой пациенту оказывалась медицинская помощь;
- вид оказанной медицинской помощи;
- условия оказания медицинской помощи;
- сроки оказания медицинской помощи;
- объем оказанной медицинской помощи, включая сведения об оказанных
медицинских услугах;
- результат обращения за медицинской помощью;
- серия и номер выданного листка нетрудоспособности (при наличии);
- сведения о проведенных медицинских экспертизах, медицинских осмотрах
и медицинских освидетельствованиях и их результаты;
- примененные клинические рекомендации;
- сведения о медицинском работнике или медицинских работниках, оказавших
медицинскую помощь, проводивших медицинские экспертизы, медицинские
осмотры и медицинские освидетельствования;
- иные персональные данные, которые субъект персональных данных сообщил
о себе, и обработка которых соответствует цели обработки, предусмотренной п. 2.2
Политики.
2.3.7. Пользователей Сайта:
- фамилия, имя, отчество (последнее – при наличии);
- место жительства;
- номер полиса обязательного медицинского страхования застрахованного лица
(при наличии и необходимости);
- номер контактного телефона, адрес электронной почты и (или) сведения
о других способах связи;
- информация из файлов cookie – пользовательские (статистические) данные
о текущем подключении к Сайту (дата и время посещения; IP-адрес, присвоенный
устройству выхода в Интернет; тип браузера и операционной системы; URL сайта,
с которого был осуществлен переход; данные, собираемые посредством агрегаторов
статистики посетителей веб-сайтов/метрических программ/систем веб-аналитики);
- иные персональные данные, в том числе сведения о состоянии здоровья,
которые субъект персональных данных сообщил через специальную форму на Сайте
и обработка которых соответствует цели обработки, предусмотренной п. 2.2
Политики.
2.3.8. Представителей субъектов:
- фамилия, имя, отчество;
- иные персональные данные, необходимые для взаимодействия
с Организацией.
2.4. Организацией обрабатываются следующие специальные категории
персональных данных: сведения о состоянии здоровья Соискателей, Работников,
Членов семей и Пациентов.
2.5. Организация обрабатывает следующие биометрические персональные
данные Работников: изображения лица, полученные с помощью фотоустройств,
позволяющие установить личность субъекта персональных данных.
Раздел 3. Порядок и условия обработки персональных данных
3.1. Условия обработки персональных данных
3.1.1. Обработка персональных данных Организацией допускается
в следующих случаях:
3.1.1.1. При наличии согласия субъекта персональных данных на обработку его
персональных данных (с учетом исключений, предусмотренных законодательством
РФ1).
Согласие на обработку персональных данных должно быть конкретным,
предметным, информированным, сознательным и однозначным.
Согласие субъекта может предоставляться в любой позволяющей подтвердить
факт его получения форме, если иное не установлено законодательством.
В случаях, предусмотренных федеральным законом, обработка персональных
данных осуществляется только с согласия в письменной форме субъекта
персональных данных.
1В частности согласие не требуется при наличии оснований и соблюдении условий, перечисленных в п.п. 2 – 11 ч. 1 ст. 6, п. п. 2.1 – 10 ч. 2 ст. 10, ч. 2 ст. 11 Закона о персональных данных.
К указанным случаям относятся, в частности, обработка специальных
категорий персональных данных и биометрических персональных данных,
обработка персональных данных, предусматривающая трансграничную передачу
на территории иностранных государств, не обеспечивающих адекватную защиту
прав субъектов персональных данных.
Равнозначным содержащему собственноручную подпись субъекта
персональных данных согласию в письменной форме на бумажном носителе
признается согласие в форме электронного документа, подписанного в соответствии
с федеральным законом электронной подписью.
3.1.1.2. Обработка персональных данных необходима для осуществления
и выполнения возложенных законодательством на Организация функций,
полномочий и обязанностей.
3.1.1.3. Обработка персональных данных осуществляется в связи с участием
Организации в конституционном, гражданском, административном, уголовном
судопроизводстве, судопроизводстве в арбитражных судах, а также для исполнения
судебного акта, акта другого органа или должностного лица, подлежащих
исполнению в соответствии с законодательством Российской Федерации
об исполнительном производстве.
3.1.1.4. Для заключения договора по инициативе субъекта персональных
данных и исполнения договора, стороной которого является субъект персональных
данных. Такими договорами, без ограничения, являются трудовые договоры
с Работниками, гражданско-правовые договоры с Контрагентами.
3.1.1.5. Обработка персональных данных Организацией необходима
для осуществления прав и законных интересов Организации и/или третьих лиц,
либо для достижения общественно значимых целей при условии, что при этом
не нарушаются права и свободы субъектов персональных данных.
3.1.1.6. Обработка персональных данных осуществляется в статистических или
иных исследовательских целях при условии обязательного обезличивания
персональных данных.
3.1.1.7. Персональные данные подлежат опубликованию или обязательному
раскрытию в соответствии с законодательством.
3.1.2. Организация не раскрывает третьим лицам и не распространяет
персональные данные без согласия субъекта персональных данных, если иное не
предусмотрено законодательством, договором с субъектом персональных данных,
не указано в полученном от него согласии на обработку персональных данных.
3.1.3. Обработка специальных категорий персональных данных
осуществляется только с согласия субъекта персональных данных в письменной
форме.
3.1.4. Распространение персональных данных (доведение до сведения
неопределенному кругу лиц) путем размещения в общедоступных источниках
(в том числе на Сайте) осуществляется только после получения согласия
на обработку персональных данных, разрешенных для распространения,
которое оформляется отдельно от иных согласий на обработку персональных
данных.
Содержание согласия на обработку персональных данных, разрешенных
субъектом персональных данных для распространения, должно соответствовать
Приказу Роскомнадзора № 18.
3.1.5. Организация обрабатывает биометрические персональные данные
при наличии согласия субъекта персональных данных в письменной форме.
При этом предоставление биометрических персональных данных Организации
не является обязательным.
Отказ предоставлять биометрические персональные данные и (или) давать
согласие на обработку персональных данных не является основанием для отказа
в заключении договоров с Организацией, иного сотрудничества с субъектом
персональных данных.
3.1.6. При сборе персональных данных, в том числе посредством сети
Интернет, Организация обеспечивает запись, систематизацию, накопление,
хранение, уточнение (обновление, изменение), извлечение персональных данных
граждан Российской Федерации с использованием баз данных, находящихся на
территории Российской Федерации.
3.1.7. Организация не осуществляет трансграничную передачу персональных
данных.
3.1.8. На Сайте реализована технология идентификации пользователей,
основанная на использовании файлов cookie. На компьютере, используемом
Пользователем для доступа на Сайт, могут быть записаны файлы cookie, которые
в дальнейшем будут использованы для автоматической авторизации,
а также для сбора статистических данных, в частности о посещаемости Сайта,
для таргетированной рекламы.
3.1.9. Администрация сайта не сохраняет персональные данные и пароли
в файлах cookie.
3.1.10. Пользователь Сайта вправе запретить сохранение файлов cookie
на компьютере, используемом для доступа к Сайту, соответствующим образом
настроив свой браузер. При этом следует иметь в виду, что сервисы Сайта,
использующие данную технологию, могут оказаться недоступными.
3.1.11. Перед тем как проставить галочку напротив «Нажимая кнопку
«Отправить», я даю согласие на обработку предоставленных персональных данных
в соответствии с Политикой в отношении обработки персональных данных,
на условиях и для целей, указанных в Согласии пользователя на обработку
персональных данных, а также принимаю условия Пользовательского соглашения
(Соглашения об использовании материалов и сервисов сайта)» и нажать на кнопку
отправки специальной формы на Сайте, Пользователь Сайта предварительно
знакомится со следующими документами:
− настоящей Политикой,
− Соглашением об использовании материалов и сервисов интернет-сайта ООО
МЦВЛ «Консилиум» (Пользовательским соглашением),
− Согласием пользователя сайта на обработку персональных данных.
Ознакомление осуществляется посредством перехода по соответствующим
ссылкам, размещённым в тексте, предваряющем отправку специальной формы
на Сайте.
3.2. Способы и действия по обработке персональных данных
3.2.1. Организация осуществляет обработку персональных данных
с использованием средств автоматизации, а также без использования таких средств.
3.2.2. Организация осуществляет следующие действия по обработке
персональных данных: сбор, запись, систематизацию, накопление, хранение,
уточнение (обновление, изменение), извлечение, использование, блокирование,
обезличивание, удаление, уничтожение персональных данных, в том числе
с помощью средств вычислительной техники, а также передачи (предоставления,
доступа, распространение).
Раздел 4. Конфиденциальность
4.1. Работниками Организации, получившими доступ к персональным данным,
должна быть обеспечения конфиденциальность таких персональных данных.
4.2. При передаче персональных данных субъектов обработки персональных
данных, Работники, допущенные к обработке персональных данных, Организация
соблюдают следующие требования:
4.2.1. Не сообщают персональные данные третьим лицам без письменного
согласия субъекта персональных данных, за исключением случаев, когда это
необходимо в целях предупреждения угрозы жизни и здоровью субъекта
персональных данных, а также в случаях, установленных федеральным законом.
Согласие субъектов на предоставление их персональных данных не требуется
при получении Организацией, в рамках установленных полномочий,
мотивированных запросов от органов прокуратуры, правоохранительных органов,
контрольных (надзорных) органов при осуществлении ими государственного
контроля (надзора), муниципального контроля за соблюдением законодательства, и
иных органов, уполномоченных запрашивать информацию в соответствии с
компетенцией, предусмотренной законодательством.
4.2.2. Предупреждают лиц, получивших персональные данные субъекта, о том,
что эти данные могут быть использованы лишь в целях, для которых они сообщены,
и требовать от этих лиц подтверждения того, что это правило соблюдено.
Данное положение не распространяется на обмен персональными данными в
порядке, установленном федеральными законами.
4.2.3. Обеспечивают заключение с третьими лицами, получающими
персональные данные от Организации, соглашений о конфиденциальности
передаваемых персональных данных либо определяют в договоре (при его наличии)
условия касательно порядка обработки персональных данных, целей обработки,
способов защиты персональных данных, недопустимости передачи персональных
данных или их распространения, ответственности за нарушение
конфиденциальности персональных данных.
4.3. В случае получения Организацией персональных данных от контрагента
на основании и в целях заключения и/или исполнения заключенного с ним договора,
ответственность за правомерность и достоверность персональных данных, а также
за получение согласия Представителей контрагентов, на передачу их персональных
данных Организации несет контрагент, передающий персональные данные, что
закрепляется в тексте договора с контрагентом.
Организация, получив персональные данные от контрагента не принимает на
себя обязательства по информированию субъектов (их представителей),
персональные данные которых ему переданы, о начале обработки персональных
данных, поскольку обязанность осуществить соответствующее информирование
при заключении договора с субъектом персональных данных и/или при получении
согласия на такую передачу несет передавший персональные данные контрагент.
4.4. Организация вправе с согласия субъекта поручить обработку персональных
данных другому лицу, если иное не предусмотрено законодательством, на
основании заключаемого с этим лицом договора, предусматривающего в качестве
существенных условий обязанность лица, осуществляющего обработку
персональных данных по поручению Организации, соблюдать принципы и правила
обработки персональных данных, предусмотренные законодательством, соблюдать
конфиденциальность персональных данных, принимать необходимые меры,
направленные на обеспечение выполнения обязанностей, предусмотренных
законодательством. Объем передаваемых другому лицу для обработки
персональных данных и количество используемых этим лицом способов обработки
должны быть минимально необходимыми для выполнения им своих обязанностей
перед Организацией.
В поручении должны быть определены перечень персональных данных,
перечень действий (операций) с персональными данными, которые будут
совершаться лицом, осуществляющим обработку персональных данных, цели их
обработки, должна быть установлена обязанность такого лица соблюдать
конфиденциальность персональных данных, требования, предусмотренные ч. 5 ст.
18 и ст. 18.1 Закона о персональных данных, обязанность по запросу Организации в
течение срока действия поручения, в том числе до обработки персональных данных,
предоставлять документы и иную информацию, подтверждающие принятие мер и
соблюдение в целях исполнения поручения требований, установленных в
соответствии с настоящим пунктом Политики, обязанность обеспечивать
безопасность персональных данных при их обработке, а также должны быть указаны
требования к защите обрабатываемых персональных данных в соответствии со ст.19
Закона о персональных данных, в том числе требование об уведомлении
Организации о случаях, предусмотренных ч. 3.1 ст.21 указанного Закона.
При выполнении поручения Организацией на обработку персональных данных
лицо, которому такая обработка поручена, вправе использовать для обработки
персональных данных свои информационные системы, соответствующие
требованиям безопасности, установленным законодательством, что отражается
Организацией в заключаемом договоре поручения на обработку персональных
данных.
В случае, если Организация поручает обработку персональных данных другому
лицу, ответственность перед субъектом персональных данных за действия
указанного лица несет Организация.
3.1. Условия обработки персональных данных
3.1.1. Обработка персональных данных Организацией допускается
в следующих случаях:
3.1.1.1. При наличии согласия субъекта персональных данных на обработку его
персональных данных (с учетом исключений, предусмотренных законодательством
РФ1).
Согласие на обработку персональных данных должно быть конкретным,
предметным, информированным, сознательным и однозначным.
Согласие субъекта может предоставляться в любой позволяющей подтвердить
факт его получения форме, если иное не установлено законодательством.
В случаях, предусмотренных федеральным законом, обработка персональных
данных осуществляется только с согласия в письменной форме субъекта
персональных данных.
1В частности согласие не требуется при наличии оснований и соблюдении условий, перечисленных в п.п. 2 – 11 ч. 1 ст. 6, п. п. 2.1 – 10 ч. 2 ст. 10, ч. 2 ст. 11 Закона о персональных данных.
К указанным случаям относятся, в частности, обработка специальных
категорий персональных данных и биометрических персональных данных,
обработка персональных данных, предусматривающая трансграничную передачу
на территории иностранных государств, не обеспечивающих адекватную защиту
прав субъектов персональных данных.
Равнозначным содержащему собственноручную подпись субъекта
персональных данных согласию в письменной форме на бумажном носителе
признается согласие в форме электронного документа, подписанного в соответствии
с федеральным законом электронной подписью.
3.1.1.2. Обработка персональных данных необходима для осуществления
и выполнения возложенных законодательством на Организация функций,
полномочий и обязанностей.
3.1.1.3. Обработка персональных данных осуществляется в связи с участием
Организации в конституционном, гражданском, административном, уголовном
судопроизводстве, судопроизводстве в арбитражных судах, а также для исполнения
судебного акта, акта другого органа или должностного лица, подлежащих
исполнению в соответствии с законодательством Российской Федерации
об исполнительном производстве.
3.1.1.4. Для заключения договора по инициативе субъекта персональных
данных и исполнения договора, стороной которого является субъект персональных
данных. Такими договорами, без ограничения, являются трудовые договоры
с Работниками, гражданско-правовые договоры с Контрагентами.
3.1.1.5. Обработка персональных данных Организацией необходима
для осуществления прав и законных интересов Организации и/или третьих лиц,
либо для достижения общественно значимых целей при условии, что при этом
не нарушаются права и свободы субъектов персональных данных.
3.1.1.6. Обработка персональных данных осуществляется в статистических или
иных исследовательских целях при условии обязательного обезличивания
персональных данных.
3.1.1.7. Персональные данные подлежат опубликованию или обязательному
раскрытию в соответствии с законодательством.
3.1.2. Организация не раскрывает третьим лицам и не распространяет
персональные данные без согласия субъекта персональных данных, если иное не
предусмотрено законодательством, договором с субъектом персональных данных,
не указано в полученном от него согласии на обработку персональных данных.
3.1.3. Обработка специальных категорий персональных данных
осуществляется только с согласия субъекта персональных данных в письменной
форме.
3.1.4. Распространение персональных данных (доведение до сведения
неопределенному кругу лиц) путем размещения в общедоступных источниках
(в том числе на Сайте) осуществляется только после получения согласия
на обработку персональных данных, разрешенных для распространения,
которое оформляется отдельно от иных согласий на обработку персональных
данных.
Содержание согласия на обработку персональных данных, разрешенных
субъектом персональных данных для распространения, должно соответствовать
Приказу Роскомнадзора № 18.
3.1.5. Организация обрабатывает биометрические персональные данные
при наличии согласия субъекта персональных данных в письменной форме.
При этом предоставление биометрических персональных данных Организации
не является обязательным.
Отказ предоставлять биометрические персональные данные и (или) давать
согласие на обработку персональных данных не является основанием для отказа
в заключении договоров с Организацией, иного сотрудничества с субъектом
персональных данных.
3.1.6. При сборе персональных данных, в том числе посредством сети
Интернет, Организация обеспечивает запись, систематизацию, накопление,
хранение, уточнение (обновление, изменение), извлечение персональных данных
граждан Российской Федерации с использованием баз данных, находящихся на
территории Российской Федерации.
3.1.7. Организация не осуществляет трансграничную передачу персональных
данных.
3.1.8. На Сайте реализована технология идентификации пользователей,
основанная на использовании файлов cookie. На компьютере, используемом
Пользователем для доступа на Сайт, могут быть записаны файлы cookie, которые
в дальнейшем будут использованы для автоматической авторизации,
а также для сбора статистических данных, в частности о посещаемости Сайта,
для таргетированной рекламы.
3.1.9. Администрация сайта не сохраняет персональные данные и пароли
в файлах cookie.
3.1.10. Пользователь Сайта вправе запретить сохранение файлов cookie
на компьютере, используемом для доступа к Сайту, соответствующим образом
настроив свой браузер. При этом следует иметь в виду, что сервисы Сайта,
использующие данную технологию, могут оказаться недоступными.
3.1.11. Перед тем как проставить галочку напротив «Нажимая кнопку
«Отправить», я даю согласие на обработку предоставленных персональных данных
в соответствии с Политикой в отношении обработки персональных данных,
на условиях и для целей, указанных в Согласии пользователя на обработку
персональных данных, а также принимаю условия Пользовательского соглашения
(Соглашения об использовании материалов и сервисов сайта)» и нажать на кнопку
отправки специальной формы на Сайте, Пользователь Сайта предварительно
знакомится со следующими документами:
− настоящей Политикой,
− Соглашением об использовании материалов и сервисов интернет-сайта ООО
МЦВЛ «Консилиум» (Пользовательским соглашением),
− Согласием пользователя сайта на обработку персональных данных.
Ознакомление осуществляется посредством перехода по соответствующим
ссылкам, размещённым в тексте, предваряющем отправку специальной формы
на Сайте.
3.2. Способы и действия по обработке персональных данных
3.2.1. Организация осуществляет обработку персональных данных
с использованием средств автоматизации, а также без использования таких средств.
3.2.2. Организация осуществляет следующие действия по обработке
персональных данных: сбор, запись, систематизацию, накопление, хранение,
уточнение (обновление, изменение), извлечение, использование, блокирование,
обезличивание, удаление, уничтожение персональных данных, в том числе
с помощью средств вычислительной техники, а также передачи (предоставления,
доступа, распространение).
Раздел 4. Конфиденциальность
4.1. Работниками Организации, получившими доступ к персональным данным,
должна быть обеспечения конфиденциальность таких персональных данных.
4.2. При передаче персональных данных субъектов обработки персональных
данных, Работники, допущенные к обработке персональных данных, Организация
соблюдают следующие требования:
4.2.1. Не сообщают персональные данные третьим лицам без письменного
согласия субъекта персональных данных, за исключением случаев, когда это
необходимо в целях предупреждения угрозы жизни и здоровью субъекта
персональных данных, а также в случаях, установленных федеральным законом.
Согласие субъектов на предоставление их персональных данных не требуется
при получении Организацией, в рамках установленных полномочий,
мотивированных запросов от органов прокуратуры, правоохранительных органов,
контрольных (надзорных) органов при осуществлении ими государственного
контроля (надзора), муниципального контроля за соблюдением законодательства, и
иных органов, уполномоченных запрашивать информацию в соответствии с
компетенцией, предусмотренной законодательством.
4.2.2. Предупреждают лиц, получивших персональные данные субъекта, о том,
что эти данные могут быть использованы лишь в целях, для которых они сообщены,
и требовать от этих лиц подтверждения того, что это правило соблюдено.
Данное положение не распространяется на обмен персональными данными в
порядке, установленном федеральными законами.
4.2.3. Обеспечивают заключение с третьими лицами, получающими
персональные данные от Организации, соглашений о конфиденциальности
передаваемых персональных данных либо определяют в договоре (при его наличии)
условия касательно порядка обработки персональных данных, целей обработки,
способов защиты персональных данных, недопустимости передачи персональных
данных или их распространения, ответственности за нарушение
конфиденциальности персональных данных.
4.3. В случае получения Организацией персональных данных от контрагента
на основании и в целях заключения и/или исполнения заключенного с ним договора,
ответственность за правомерность и достоверность персональных данных, а также
за получение согласия Представителей контрагентов, на передачу их персональных
данных Организации несет контрагент, передающий персональные данные, что
закрепляется в тексте договора с контрагентом.
Организация, получив персональные данные от контрагента не принимает на
себя обязательства по информированию субъектов (их представителей),
персональные данные которых ему переданы, о начале обработки персональных
данных, поскольку обязанность осуществить соответствующее информирование
при заключении договора с субъектом персональных данных и/или при получении
согласия на такую передачу несет передавший персональные данные контрагент.
4.4. Организация вправе с согласия субъекта поручить обработку персональных
данных другому лицу, если иное не предусмотрено законодательством, на
основании заключаемого с этим лицом договора, предусматривающего в качестве
существенных условий обязанность лица, осуществляющего обработку
персональных данных по поручению Организации, соблюдать принципы и правила
обработки персональных данных, предусмотренные законодательством, соблюдать
конфиденциальность персональных данных, принимать необходимые меры,
направленные на обеспечение выполнения обязанностей, предусмотренных
законодательством. Объем передаваемых другому лицу для обработки
персональных данных и количество используемых этим лицом способов обработки
должны быть минимально необходимыми для выполнения им своих обязанностей
перед Организацией.
В поручении должны быть определены перечень персональных данных,
перечень действий (операций) с персональными данными, которые будут
совершаться лицом, осуществляющим обработку персональных данных, цели их
обработки, должна быть установлена обязанность такого лица соблюдать
конфиденциальность персональных данных, требования, предусмотренные ч. 5 ст.
18 и ст. 18.1 Закона о персональных данных, обязанность по запросу Организации в
течение срока действия поручения, в том числе до обработки персональных данных,
предоставлять документы и иную информацию, подтверждающие принятие мер и
соблюдение в целях исполнения поручения требований, установленных в
соответствии с настоящим пунктом Политики, обязанность обеспечивать
безопасность персональных данных при их обработке, а также должны быть указаны
требования к защите обрабатываемых персональных данных в соответствии со ст.19
Закона о персональных данных, в том числе требование об уведомлении
Организации о случаях, предусмотренных ч. 3.1 ст.21 указанного Закона.
При выполнении поручения Организацией на обработку персональных данных
лицо, которому такая обработка поручена, вправе использовать для обработки
персональных данных свои информационные системы, соответствующие
требованиям безопасности, установленным законодательством, что отражается
Организацией в заключаемом договоре поручения на обработку персональных
данных.
В случае, если Организация поручает обработку персональных данных другому
лицу, ответственность перед субъектом персональных данных за действия
указанного лица несет Организация.
Раздел 5. Права и обязанности субъектов персональных данных в целях
обеспечения защиты персональных данных
5.1. В целях защиты персональных данных, хранящихся в Организации,
субъект персональных данных имеет право:
5.1.1. Требовать предоставления информации, касающейся обработки его
персональных данных, в том числе содержащей:
− подтверждение факта обработки его персональных данных
Организацией;
− правовые основания и цели обработки персональных данных;
− сведения о применяемых способах обработки персональных данных;
− наименование и место нахождения Организации, сведения о лицах (за
исключением Работников Организации), которые имеют доступ к
персональным данным или которым могут быть раскрыты
персональные данные на основании договора с Организацией или на
основании законодательства;
− обрабатываемые персональные данные, относящиеся к
соответствующему субъекту персональных данных, источник их
получения;
− сроки обработки персональных данных, в том числе сроки их хранения;
− порядок осуществления субъектом персональных данных прав,
предусмотренных Законом о персональных данных;
− информацию об осуществленной или о предполагаемой
трансграничной передаче данных;
− наименование или фамилию, имя, отчество и адрес лица,
осуществляющего обработку персональных данных по поручению
Организации, если обработка поручена или будет поручена такому
лицу;
− информацию о способах исполнения Организацией обязанностей,
установленных статьей 18.1 Закона о персональных данных;
− иные сведения, предусмотренные законодательством.
5.1.2. Получать доступ к своим персональным данным и ознакомление с ними,
включая право на безвозмездное получение копии любой записи, содержащей его
персональные данные, за исключением случаев, предусмотренных федеральным
законом.
5.1.3. Требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований
Трудового кодекса РФ или иного федерального закона. При отказе Организации
исключить или исправить персональные данные, он имеет право заявить в
письменной форме о своем несогласии с соответствующим обоснованием такого
несогласия. Персональные данные оценочного характера субъект персональных
данных имеет право дополнить заявлением, выражающим его собственную точку
зрения.
5.1.4. Требовать извещения Организацией всех лиц, которым ранее были
сообщены неверные или неполные персональные данные, обо всех произведенных в
них исключениях, исправлениях или дополнениях.
5.1.5. Требовать прекратить в любое время передачу (распространение,
предоставление, доступ) персональных данных, разрешенных для распространения.
Требование оформляется в письменном виде и должно включать в себя перечень
персональных данных, обработка которых подлежит прекращению.
5.2. Субъект персональных данных обязан:
− передавать Организации или его представителю комплекс достоверных
персональных данных, состав которых установлен Трудовым кодексом РФ,
Законом об основах охраны здоровья граждан в Российской Федерации
и иными нормативными правовыми актами РФ, либо договором с ним.
Организация имеет право проверять достоверность предоставленных
сведений;
− своевременно сообщать Организации об изменении своих персональных
данных.
Раздел 6. Меры по защите персональных данных
6.1. Безопасность персональных данных, обрабатываемых Организацией,
обеспечивается реализацией правовых, организационных и технических мер,
необходимых и достаточных для обеспечения соблюдения требований
законодательства о персональных данных.
6.2. Правовые меры, принимаемые Организацией, включают в том числе:
− разработку локальных актов, реализующих требования законодательства,
в том числе – Положения об обработке персональных данных и обеспечении
их безопасности и настоящей Политики;
− отказ от любых способов обработки персональных данных,
не соответствующих определенным в Политике целям и требованиям
законодательства.
6.3. Организационные меры, принимаемые Организацией, включают в том
числе:
− назначение лица, ответственного за организацию обработки персональных
данных;
− ограничение состава работников Организации, имеющих доступ
к персональным данным, и организацию разрешительной системы доступа
к ним;
− ознакомление Работников, которые участвуют в обработке персональных
данных, с инструкциями по работе и обеспечению режима информационной
безопасности в Организации;
− обучение всех категорий работников Организации, непосредственно
осуществляющих обработку персональных данных, правилам работы с ними
и обеспечения безопасности обрабатываемых данных;
− определение в должностных инструкциях работников Организации
обязанностей по обеспечению безопасности обработки персональных данных
и ответственности за нарушение установленного порядка;
− учёт материальных носителей персональных данных и их хранения,
обеспечивающих предотвращение хищения, подмены,
несанкционированного копирования и уничтожения;
− определение типа угроз безопасности персональных данных, актуальных для
информационных систем персональных данных;
− определение степени опасности технических каналов утечки информации,
различных способов несанкционированного доступа к персональным данным
субъектов, их разрушения (уничтожения) или искажения;
− организацию проведения расследований по фактам нарушений в области
защиты персональных данных субъектов и разработку предложений по
устранению недостатков и предупреждению подобного рода нарушений;
− размещение технических средств обработки персональных данных в пределах
охраняемой территории;
− ограничение допуска посторонних лиц в помещения Организации,
недопущение их нахождения в помещениях, где ведется работа с
персональными данными и размещаются технические средства их обработки,
без контроля со стороны Организации;
− осуществление внутреннего контроля за соблюдением в Организацией
законодательства Российской Федерации, локально-нормативных и
распорядительных актов Организации при обработке персональных данных.
6.4. Технические меры, принимаемые Организацией, включают в том числе:
− обеспечение бесперебойного функционирования программных и аппаратных
средств ИСПД;
− установку, подключение и настройку технических средств защиты ИСПД в
соответствии с документацией к ним и планами организации и оснащения по
согласованию с руководителем структурного подразделения Организации, к
которому имеет отношение информационная система;
− установку (развертывание, обновление версий) программных средств,
необходимых для решения конкретных задач в ИСПД, удаление программных
средств, необходимость в использовании которых отпала,
− оценку эффективности принимаемых мер по обеспечению безопасности
персональных данных;
− реализацию разрешительной системы доступа к персональным данным,
обрабатываемым в информационных системах, и к программно-аппаратным
и программным средствам защиты информации;
− регистрацию и учёт действий c персональными данными пользователей
ИСПД, где обрабатываются персональные данные;
− своевременное обнаружение фактов несанкционированного доступа к
персональным данным субъектов персональных данных;
− организацию расследования причин и условий появления нарушений по
вопросам технической защиты персональных данных субъектов
персональных данных, разработку предложений по устранению недостатков
и предупреждению подобного рода нарушений;
− выявление вредоносного программного обеспечения на всех узлах
информационной сети Организации, обеспечивающих соответствующую
техническую возможность;
− восстановление персональных данных, модифицированных или
уничтоженных вследствие несанкционированного доступа к ним (создание
системы резервного копирования и восстановления персональных данных).
Раздел 7. Сроки обработки, хранения и порядок уничтожения
персональных данных
7.1. Сроки обработки и хранения персональных данных
7.1.1. Обработка персональных данных в Организации прекращается в
следующих случаях:
− при выявлении факта неправомерной обработки персональных данных.
Срок прекращения обработки - в течение 3 (трех) рабочих дней с даты
выявления такого факта;
− при достижении целей их обработки (за некоторыми исключениями).
Срок прекращения обработки – в течение 30 (тридцати) дней с даты
достижения цели, если иное не предусмотрено договором или если в
соответствии с Законом о персональных данных их обработка
допускается только с согласия;
− по истечении срока действия или при отзыве субъектом персональных
данных согласия на обработку его персональных данных. Срок
прекращения обработки – в течение 30 (тридцати) дней с даты истечения
срока действия согласия или отзыва субъектом персональных данных,
если иное не предусмотрено в договором или если в соответствии с
Законом о персональных данных их обработка допускается только с
согласия;
− при обращении субъекта персональных данных в Организация с
требованием о прекращении обработки персональных данных (за
исключением случаев, предусмотренных ч. 5.1 ст. 21 Закона о
персональных данных). Срок прекращения обработки – не более 10
(десяти) рабочих дней с даты получения требования (с возможностью
продления не более чем на 5 (пять) рабочих дней, если направлено
уведомление о причинах продления).
7.1.2. Персональные данные хранятся в форме, позволяющей определить
субъекта персональных данных, не дольше, чем этого требуют цели их обработки.
Исключение – случаи, когда срок хранения персональных данных установлен
федеральным законом.
7.1.3. Персональные данные на бумажных носителях хранятся в Организации в
течение сроков хранения документов, для которых эти сроки предусмотрены
Законом об архивном деле в Российской Федерации, Приказом Росархива № 236, а
также рекомендациями Минздрава по определению сроков хранения медицинской
документации (письмо Минздрава РФ от 07.12.2015 № 13-2/1538 «О сроках
хранения медицинской документации»).
7.1.3. Срок хранения персональных данных, обрабатываемых в
информационных системах персональных данных, соответствует сроку хранения
персональных данных на бумажных носителях.
7.2. Порядок уничтожения персональных данных
7.2.1. Организация блокирует персональные данные в порядке и на условиях,
предусмотренных законодательством в области персональных данных.
В случае отсутствия возможности уничтожения персональных данных в
течение сроков, указанных в пунктах 7.2.2.1-7.2.2.5 настоящей Политики,
осуществляется блокирование таких персональных данных или обеспечивается их
блокирование (если обработка персональных данных осуществляется другим лицом,
действующим по поручению Организации) и последующее уничтожение
персональных данных в срок не более чем через 6 (шесть) месяцев.
7.2.2. Подлежат уничтожению персональные данные, в отношении которых:
− достигнута цель обработки персональных данных;
− утрачена необходимость в достижении ранее определенных целей
обработки;
− выявлены факты неправомерной обработки персональных данных (в том
числе при обращении субъекта персональных данных), когда обеспечить
их правомерность не представляется возможным;
− отозвано согласие субъекта на обработку персональных данных и
законных оснований продолжать такую обработку не имеется;
− истек предусмотренный согласием субъекта персональных данных срок
обработки персональных данных;
− нет оснований осуществлять архивное хранение материальных
носителей, содержащих такие персональные данные.
7.2.2.1. Незаконно полученные персональные данные или те, которые
не являются необходимыми для цели обработки, уничтожаются в течение 7 (семи)
рабочих дней со дня представления субъектом персональных данных
(его представителем) подтверждающих сведений.
7.2.2.2. Персональные данные, обработка которых прекращена из-
за ее неправомерности и правомерность обработки которых невозможно
обеспечить, уничтожаются в течение 10 (десяти) рабочих дней с даты выявления
неправомерной обработки.
7.2.2.3. Персональные данные уничтожаются в течение 30 (тридцати) дней с
даты достижения цели обработки, если иное не предусмотрено соглашением между
ним и Организацией либо если Организация не вправе обрабатывать персональные
данные без согласия субъекта персональных данных на основаниях,
предусмотренных федеральными законами.
7.2.2.4. При достижении максимальных сроков хранения документов,
содержащих персональные данные, персональные данные уничтожаются в течение
30 дней.
7.2.2.5. Персональные данные уничтожаются (если их сохранение не требуется
для целей обработки персональных данных) в течение 30 (тридцати) дней с даты
поступления отзыва субъектом персональных данных согласия на их обработку.
Иное может предусматривать соглашение между ним и Организацией. Кроме того,
персональные данные уничтожаются в указанный срок, если Организация не вправе
обрабатывать их без согласия субъекта персональных данных на основаниях,
предусмотренных федеральными законами.
7.2.3. Уничтожение персональных данных производится в зависимости от типа
носителя (бумажного или электронного) путем физического уничтожения носителя
или уничтожения информации с носителя. Уничтожение персональных данных
подтверждается в соответствии с требованиями Приказа Роскомнадзора № 179.
Раздел 8. Заключительные положения
8.1. Иные обязанности и права Организации как оператора персональных
данных определяются законодательством Российской Федерации в области
персональных данных.
8.2. Должностные лица и работники Организации, виновные в нарушении
норм, регулирующих обработку и защиту персональных данных, несут
материальную, дисциплинарную, административную, гражданско-правовую и
уголовную ответственность в соответствии с законодательством Российской
Федерации.
8.3. Изменения в настоящую Политику вносятся посредством утверждения
Главным врачом ООО МЦВЛ «Консилиум» Политики в новой редакции.
8.4. Политика пересматривается по мере необходимости. Обязательный
пересмотр Политики проводится в случае изменения законодательства Российской
Федерации в сфере персональных данных.
При внесении изменений в Политику учитываются:
− изменения в информационной инфраструктуре и (или) в используемых
Организацией информационных технологиях;
− сложившаяся в Российской Федерации практика правоприменения
законодательства в области персональных данных;
− изменение условий и особенностей обработки персональных данных
Организацией в связи с внедрением в его деятельность новых
информационных систем, процессов и технологий.
8.5. Если в результате изменения действующего законодательства РФ отдельные
статьи настоящей Политики вступят с ним в противоречие, они утрачивают силу,
преимущественную силу имеют положения действующего законодательства РФ. В
этом случае Политика подлежит пересмотру в порядке, определённом п.8.3
настоящей Политики.
обеспечения защиты персональных данных
5.1. В целях защиты персональных данных, хранящихся в Организации,
субъект персональных данных имеет право:
5.1.1. Требовать предоставления информации, касающейся обработки его
персональных данных, в том числе содержащей:
− подтверждение факта обработки его персональных данных
Организацией;
− правовые основания и цели обработки персональных данных;
− сведения о применяемых способах обработки персональных данных;
− наименование и место нахождения Организации, сведения о лицах (за
исключением Работников Организации), которые имеют доступ к
персональным данным или которым могут быть раскрыты
персональные данные на основании договора с Организацией или на
основании законодательства;
− обрабатываемые персональные данные, относящиеся к
соответствующему субъекту персональных данных, источник их
получения;
− сроки обработки персональных данных, в том числе сроки их хранения;
− порядок осуществления субъектом персональных данных прав,
предусмотренных Законом о персональных данных;
− информацию об осуществленной или о предполагаемой
трансграничной передаче данных;
− наименование или фамилию, имя, отчество и адрес лица,
осуществляющего обработку персональных данных по поручению
Организации, если обработка поручена или будет поручена такому
лицу;
− информацию о способах исполнения Организацией обязанностей,
установленных статьей 18.1 Закона о персональных данных;
− иные сведения, предусмотренные законодательством.
5.1.2. Получать доступ к своим персональным данным и ознакомление с ними,
включая право на безвозмездное получение копии любой записи, содержащей его
персональные данные, за исключением случаев, предусмотренных федеральным
законом.
5.1.3. Требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований
Трудового кодекса РФ или иного федерального закона. При отказе Организации
исключить или исправить персональные данные, он имеет право заявить в
письменной форме о своем несогласии с соответствующим обоснованием такого
несогласия. Персональные данные оценочного характера субъект персональных
данных имеет право дополнить заявлением, выражающим его собственную точку
зрения.
5.1.4. Требовать извещения Организацией всех лиц, которым ранее были
сообщены неверные или неполные персональные данные, обо всех произведенных в
них исключениях, исправлениях или дополнениях.
5.1.5. Требовать прекратить в любое время передачу (распространение,
предоставление, доступ) персональных данных, разрешенных для распространения.
Требование оформляется в письменном виде и должно включать в себя перечень
персональных данных, обработка которых подлежит прекращению.
5.2. Субъект персональных данных обязан:
− передавать Организации или его представителю комплекс достоверных
персональных данных, состав которых установлен Трудовым кодексом РФ,
Законом об основах охраны здоровья граждан в Российской Федерации
и иными нормативными правовыми актами РФ, либо договором с ним.
Организация имеет право проверять достоверность предоставленных
сведений;
− своевременно сообщать Организации об изменении своих персональных
данных.
Раздел 6. Меры по защите персональных данных
6.1. Безопасность персональных данных, обрабатываемых Организацией,
обеспечивается реализацией правовых, организационных и технических мер,
необходимых и достаточных для обеспечения соблюдения требований
законодательства о персональных данных.
6.2. Правовые меры, принимаемые Организацией, включают в том числе:
− разработку локальных актов, реализующих требования законодательства,
в том числе – Положения об обработке персональных данных и обеспечении
их безопасности и настоящей Политики;
− отказ от любых способов обработки персональных данных,
не соответствующих определенным в Политике целям и требованиям
законодательства.
6.3. Организационные меры, принимаемые Организацией, включают в том
числе:
− назначение лица, ответственного за организацию обработки персональных
данных;
− ограничение состава работников Организации, имеющих доступ
к персональным данным, и организацию разрешительной системы доступа
к ним;
− ознакомление Работников, которые участвуют в обработке персональных
данных, с инструкциями по работе и обеспечению режима информационной
безопасности в Организации;
− обучение всех категорий работников Организации, непосредственно
осуществляющих обработку персональных данных, правилам работы с ними
и обеспечения безопасности обрабатываемых данных;
− определение в должностных инструкциях работников Организации
обязанностей по обеспечению безопасности обработки персональных данных
и ответственности за нарушение установленного порядка;
− учёт материальных носителей персональных данных и их хранения,
обеспечивающих предотвращение хищения, подмены,
несанкционированного копирования и уничтожения;
− определение типа угроз безопасности персональных данных, актуальных для
информационных систем персональных данных;
− определение степени опасности технических каналов утечки информации,
различных способов несанкционированного доступа к персональным данным
субъектов, их разрушения (уничтожения) или искажения;
− организацию проведения расследований по фактам нарушений в области
защиты персональных данных субъектов и разработку предложений по
устранению недостатков и предупреждению подобного рода нарушений;
− размещение технических средств обработки персональных данных в пределах
охраняемой территории;
− ограничение допуска посторонних лиц в помещения Организации,
недопущение их нахождения в помещениях, где ведется работа с
персональными данными и размещаются технические средства их обработки,
без контроля со стороны Организации;
− осуществление внутреннего контроля за соблюдением в Организацией
законодательства Российской Федерации, локально-нормативных и
распорядительных актов Организации при обработке персональных данных.
6.4. Технические меры, принимаемые Организацией, включают в том числе:
− обеспечение бесперебойного функционирования программных и аппаратных
средств ИСПД;
− установку, подключение и настройку технических средств защиты ИСПД в
соответствии с документацией к ним и планами организации и оснащения по
согласованию с руководителем структурного подразделения Организации, к
которому имеет отношение информационная система;
− установку (развертывание, обновление версий) программных средств,
необходимых для решения конкретных задач в ИСПД, удаление программных
средств, необходимость в использовании которых отпала,
− оценку эффективности принимаемых мер по обеспечению безопасности
персональных данных;
− реализацию разрешительной системы доступа к персональным данным,
обрабатываемым в информационных системах, и к программно-аппаратным
и программным средствам защиты информации;
− регистрацию и учёт действий c персональными данными пользователей
ИСПД, где обрабатываются персональные данные;
− своевременное обнаружение фактов несанкционированного доступа к
персональным данным субъектов персональных данных;
− организацию расследования причин и условий появления нарушений по
вопросам технической защиты персональных данных субъектов
персональных данных, разработку предложений по устранению недостатков
и предупреждению подобного рода нарушений;
− выявление вредоносного программного обеспечения на всех узлах
информационной сети Организации, обеспечивающих соответствующую
техническую возможность;
− восстановление персональных данных, модифицированных или
уничтоженных вследствие несанкционированного доступа к ним (создание
системы резервного копирования и восстановления персональных данных).
Раздел 7. Сроки обработки, хранения и порядок уничтожения
персональных данных
7.1. Сроки обработки и хранения персональных данных
7.1.1. Обработка персональных данных в Организации прекращается в
следующих случаях:
− при выявлении факта неправомерной обработки персональных данных.
Срок прекращения обработки - в течение 3 (трех) рабочих дней с даты
выявления такого факта;
− при достижении целей их обработки (за некоторыми исключениями).
Срок прекращения обработки – в течение 30 (тридцати) дней с даты
достижения цели, если иное не предусмотрено договором или если в
соответствии с Законом о персональных данных их обработка
допускается только с согласия;
− по истечении срока действия или при отзыве субъектом персональных
данных согласия на обработку его персональных данных. Срок
прекращения обработки – в течение 30 (тридцати) дней с даты истечения
срока действия согласия или отзыва субъектом персональных данных,
если иное не предусмотрено в договором или если в соответствии с
Законом о персональных данных их обработка допускается только с
согласия;
− при обращении субъекта персональных данных в Организация с
требованием о прекращении обработки персональных данных (за
исключением случаев, предусмотренных ч. 5.1 ст. 21 Закона о
персональных данных). Срок прекращения обработки – не более 10
(десяти) рабочих дней с даты получения требования (с возможностью
продления не более чем на 5 (пять) рабочих дней, если направлено
уведомление о причинах продления).
7.1.2. Персональные данные хранятся в форме, позволяющей определить
субъекта персональных данных, не дольше, чем этого требуют цели их обработки.
Исключение – случаи, когда срок хранения персональных данных установлен
федеральным законом.
7.1.3. Персональные данные на бумажных носителях хранятся в Организации в
течение сроков хранения документов, для которых эти сроки предусмотрены
Законом об архивном деле в Российской Федерации, Приказом Росархива № 236, а
также рекомендациями Минздрава по определению сроков хранения медицинской
документации (письмо Минздрава РФ от 07.12.2015 № 13-2/1538 «О сроках
хранения медицинской документации»).
7.1.3. Срок хранения персональных данных, обрабатываемых в
информационных системах персональных данных, соответствует сроку хранения
персональных данных на бумажных носителях.
7.2. Порядок уничтожения персональных данных
7.2.1. Организация блокирует персональные данные в порядке и на условиях,
предусмотренных законодательством в области персональных данных.
В случае отсутствия возможности уничтожения персональных данных в
течение сроков, указанных в пунктах 7.2.2.1-7.2.2.5 настоящей Политики,
осуществляется блокирование таких персональных данных или обеспечивается их
блокирование (если обработка персональных данных осуществляется другим лицом,
действующим по поручению Организации) и последующее уничтожение
персональных данных в срок не более чем через 6 (шесть) месяцев.
7.2.2. Подлежат уничтожению персональные данные, в отношении которых:
− достигнута цель обработки персональных данных;
− утрачена необходимость в достижении ранее определенных целей
обработки;
− выявлены факты неправомерной обработки персональных данных (в том
числе при обращении субъекта персональных данных), когда обеспечить
их правомерность не представляется возможным;
− отозвано согласие субъекта на обработку персональных данных и
законных оснований продолжать такую обработку не имеется;
− истек предусмотренный согласием субъекта персональных данных срок
обработки персональных данных;
− нет оснований осуществлять архивное хранение материальных
носителей, содержащих такие персональные данные.
7.2.2.1. Незаконно полученные персональные данные или те, которые
не являются необходимыми для цели обработки, уничтожаются в течение 7 (семи)
рабочих дней со дня представления субъектом персональных данных
(его представителем) подтверждающих сведений.
7.2.2.2. Персональные данные, обработка которых прекращена из-
за ее неправомерности и правомерность обработки которых невозможно
обеспечить, уничтожаются в течение 10 (десяти) рабочих дней с даты выявления
неправомерной обработки.
7.2.2.3. Персональные данные уничтожаются в течение 30 (тридцати) дней с
даты достижения цели обработки, если иное не предусмотрено соглашением между
ним и Организацией либо если Организация не вправе обрабатывать персональные
данные без согласия субъекта персональных данных на основаниях,
предусмотренных федеральными законами.
7.2.2.4. При достижении максимальных сроков хранения документов,
содержащих персональные данные, персональные данные уничтожаются в течение
30 дней.
7.2.2.5. Персональные данные уничтожаются (если их сохранение не требуется
для целей обработки персональных данных) в течение 30 (тридцати) дней с даты
поступления отзыва субъектом персональных данных согласия на их обработку.
Иное может предусматривать соглашение между ним и Организацией. Кроме того,
персональные данные уничтожаются в указанный срок, если Организация не вправе
обрабатывать их без согласия субъекта персональных данных на основаниях,
предусмотренных федеральными законами.
7.2.3. Уничтожение персональных данных производится в зависимости от типа
носителя (бумажного или электронного) путем физического уничтожения носителя
или уничтожения информации с носителя. Уничтожение персональных данных
подтверждается в соответствии с требованиями Приказа Роскомнадзора № 179.
Раздел 8. Заключительные положения
8.1. Иные обязанности и права Организации как оператора персональных
данных определяются законодательством Российской Федерации в области
персональных данных.
8.2. Должностные лица и работники Организации, виновные в нарушении
норм, регулирующих обработку и защиту персональных данных, несут
материальную, дисциплинарную, административную, гражданско-правовую и
уголовную ответственность в соответствии с законодательством Российской
Федерации.
8.3. Изменения в настоящую Политику вносятся посредством утверждения
Главным врачом ООО МЦВЛ «Консилиум» Политики в новой редакции.
8.4. Политика пересматривается по мере необходимости. Обязательный
пересмотр Политики проводится в случае изменения законодательства Российской
Федерации в сфере персональных данных.
При внесении изменений в Политику учитываются:
− изменения в информационной инфраструктуре и (или) в используемых
Организацией информационных технологиях;
− сложившаяся в Российской Федерации практика правоприменения
законодательства в области персональных данных;
− изменение условий и особенностей обработки персональных данных
Организацией в связи с внедрением в его деятельность новых
информационных систем, процессов и технологий.
8.5. Если в результате изменения действующего законодательства РФ отдельные
статьи настоящей Политики вступят с ним в противоречие, они утрачивают силу,
преимущественную силу имеют положения действующего законодательства РФ. В
этом случае Политика подлежит пересмотру в порядке, определённом п.8.3
настоящей Политики.
