Выберите шрифт Arial Times New Roman
Интервал между буквами
(Кернинг): Стандартный Средний Большой
1. Общие положения
1.1. Настоящая Политика обработки и защиты персональных данных (далее – Политика) определяет порядок обработки персональных данных (далее – ПДн) и меры по обеспечению безопасности персональных данных в ООО «НКЦМХГ» с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, гарантируемых Конституцией.
1.2. Настоящая Политика является локальным нормативным актом ООО «НКЦМХГ» (далее – Организация) и разработана в соответствии с Федеральными законами от 27.07.2006 № 152-ФЗ «О персональных данных» и от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»; постановлениями Правительства от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»; приказом ФСТЭК от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
1.3. Настоящая Политика раскрывает принципы, порядок и условия обработки ПДн пациентов (потребителей медицинских услуг) физических лиц при обращении за медицинской помощью в медицинскую организацию.
Принципы, порядок и условия обработки ПДн кадрового состава клиники, а также ПДн, обрабатываемых в процессе исполнения договорных обязательств в процессе повседневной деятельности, в настоящей Политике не рассматриваются и регламентируются внутренними нормативными документами медицинской организации.
1.4. Положения Политики распространяются на отношения по обработке и защите ПДн, полученных Организацией как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите ПДн, полученных до ее утверждения.
1.5. Организация имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.
1.6. Действующая редакция хранится в месте нахождения Учреждения по адресу: 241050, Российская федерация, Брянская область, г. Брянск, пр-кт Станке Димитрова, д.94, оф.1, электронная версия Политики – на сайте по адресу: WWW.EYE-BR.RU.
1.7. Персональные данные обрабатывают с использованием средств автоматизации или без них.
1.8. Организация до начала обработки ПДн обязана уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку ПДн согласно частям 1 и 3 статьи 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
2. Термины и принятые сокращения
2.1. Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2.2. Персональные данные, разрешенные субъектом персональных данных для распространения, – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом.
2.3. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными
2.4.Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.5. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
2.6.Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.7. Предоставление персональных данных – действия, направленные на раскрытие
персональных данных определенному лицу или определенному кругу лиц.
2.8.Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.9. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.10.Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.11.Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.12.Пациент (Потребитель) – физическое лицо, которому оказывается медицинская помощь или которое обратилось за оказанием медицинской помощи независимо от наличия у него заболевания и от его состояния.
2.13.Медицинская деятельность – профессиональная деятельность по оказанию медицинской помощи, проведению медицинских экспертиз, медицинских осмотров и медицинских освидетельствований, санитарно-противоэпидемических (профилактических) мероприятий и профессиональная деятельность, связанная с трансплантацией (пересадкой) органов и (или) тканей, обращением донорской крови и (или) ее компонентов в медицинских целях.
2.14. Лечащий врач – врач, на которого возложены функции по организации и непосредственному оказанию пациенту медицинской помощи в период наблюдения за ним и его лечения.
2.15. Конфиденциальность персональных данных — обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
2.16. Cookies — небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта.
2.17. IP-адрес — уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP.
3. Категории обрабатываемых персональных данных
3.1. Персональные данные пациентов (лиц, являющихся стороной договора на оказание медицинских услуг), которые подлежат обработке:
– паспортные данные;
– номера телефонов для связи с пациентом (контактная информация);
– информация о состоянии здоровья, наличии или отсутствии заболеваний, перечисленных в анкете о здоровье пациента, оформляемой в процессе сбора анамнеза.
Персональные данные пациентов, которые подлежат обработке при вводе данных в форму обратной связи на сайте:
• фамилию, имя, отчество Пользователя;
• контактный телефон Пользователя;
• адрес электронной почты (e-mail);
• текст запроса.
3.2. Перечень формируемых документов при обращении пациента в медицинскую организацию предусматривается Гражданским кодексом, Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», постановлением Правительства Российской Федерации от 11.05.2023 г. N 736 "Об утверждении Правил предоставления медицинскими организациями платных медицинских услуг…», приказом Минздравсоцразвития от 02.05.2012 № 441н «Об утверждении порядка выдачи медицинскими организациями справок и медицинских заключений».
4. Цели и сроки обработки персональных данных
4.1. Цели обработки ПДн пациентов, обратившихся в Организацию:
- установление с Пользователем обратной связи, включая направление уведомлений, запросов, касающихся использования Сайта, оказания услуг, обработка запросов и заявок от Пользователя;
– оформление заказа на получение медицинской услуги, заключение и исполнение договора на оказание медицинских услуг, стороной которого является пациент (потребитель);
– медико-профилактические цели (установление медицинского диагноза, оказание медицинских услуг, контроль качества оказания медицинской помощи и др.).
4.2. Сроки обработки ПДн напрямую зависят от сроков хранения гражданско-правовых договоров и медицинской документации и составляют:
– для ПДн, полученных в связи с заключением договора на оказание медицинских услуг – 5 лет;
– для ПДн специальных категорий (данные о здоровье) – 25 лет в медицинской организации и соответствуют сроку хранения амбулаторных карт формы 025/у (согласно Приказу от 3 августа 2023 г. N 408 «Об утверждении перечня документов, образующихся в деятельности министерства здравоохранения РФ и подведомственных ему организаций, с указанием сроков хранения»).
5. Принципы и условия обработки персональных данных
5.1. Использование Пользователем сайта WWW.EYE-BR.RU означает согласие с настоящей Политикой конфиденциальности и условиями обработки персональных данных Пользователя.
5.2. Настоящая Политика конфиденциальности применяется, в том числе к сайту WWW.EYE-BR.RU, устанавливает обязательства Администрации сайта WWW.EYE-BR.RU по неразглашению и обеспечению режима защиты конфиденциальности персональных данных, которые Пользователь предоставляет по запросу Администрации сайта при вводе данных в форму обратной связи на сайте. Администрация сайта не контролирует и не несет ответственность за сайты третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на сайте WWW.EYE-BR.RU.
5.3. Администрация сайта не проверяет достоверность персональных данных, предоставляемых Пользователем сайта WWW.EYE-BR.RU.
Обработка ПДн в Организации производится на основе следующих принципов:
– законности и справедливости целей и способов обработки;
– ограничения обработки ПДн достижением конкретных, заранее определенных и законных целей;
– недопущения обработки ПДн, несовместимой с целями сбора ПДн;
– недопущения объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
– обработки только тех ПДн, которые отвечают целям их обработки;
– соответствия содержания и объема обрабатываемых ПДн заявленным целям обработки;
– недопущения обработки избыточных ПДн по отношению к заявленным целям их обработки;
– уничтожения либо обезличивания ПДн по достижении целей их обработки или в случае утраты необходимости в достижении этих целей.
5.4. Организация обрабатывает ПДн только при наличии хотя бы одного из следующих условий:
– обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;
– обработка ПДн необходима для достижения целей, предусмотренных законом (подп. 4 п. 2 ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ);
– обработка ПДн необходима для исполнения договора, стороной которого является субъект ПДн;
– производится обработка ПДН, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе (общедоступные данные);
– обрабатываются ПДн, подлежащие опубликованию или обязательному раскрытию в соответствии с федеральным законом;
– обработка ПДн производится в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.
5.5. Организация и иные лица, получившие доступ к ПДн в силу трудовых обязанностей, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.
6. Принципы обеспечения безопасности персональных данных
6.1. Основной задачей обеспечения безопасности ПДн при их обработке в Организации является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения ПДн, разрушения (уничтожения) или искажения их в процессе обработки.
Персональные данные могут быть переданы исключительно уполномоченным органам государственной власти Российской Федерации только по основаниям и в порядке, установленным законодательством Российской Федерации.
6.2. Меры по обеспечению безопасности ПДн включают в себя, в частности:
– назначение ответственного за организацию обработки ПДн;
– издание локальных правовых актов, регулирующих права и обязанности оператора ПДн, описывающих систему мер по защите ПДн, определяющих доступ к информационным системам ПДн;
– определение угроз безопасности ПДн при их обработке в информационных системах ПДн;
– применение методов (способов) защиты информации;
– оценку эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационной системы ПДн;
– учет машинных носителей ПДн;
– обнаружение фактов несанкционированного доступа к ПДн и принятие мер;
– восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
– установление правил доступа к ПДн, обрабатываемым в информационной системе ПДн, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в информационной системе ПДн;
– контроль принимаемых мер по обеспечению безопасности ПДн и уровня защищенности информационных систем ПДн.
6.3. В Организации не производится обработка ПДн, несовместимая с целями их сбора. Если иное не предусмотрено федеральным законом, по окончании обработки ПДн в Организации, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, обрабатывавшиеся Организацией ПНд уничтожаются или обезличиваются.
6.4. При обработке ПДн обеспечиваются их точность, достаточность, а при необходимости – и актуальность по отношению к целям обработки. Организация принимает необходимые меры по удалению или уточнению неполных или неточных ПДн.
7. Права субъекта персональных данных
7.1. Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе без принуждения или введения в заблуждение с чьей-либо стороны.
7.2. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, если такое право не ограничено в соответствии с федеральными законами.
7.3. Субъект ПДн вправе требовать уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
7.4. Запрещается принимать на основании исключительно автоматизированной обработки ПДн решения, порождающие юридические последствия в отношении субъекта ПДн или иным образом затрагивающие его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, или при наличии согласия в письменной форме субъекта ПДн.
8. Заключительные положения
8.1. Настоящая Политика является локальным правовым актом, общедоступна и подлежит размещению на официальном сайте Организации.
8.2. Контроль исполнения требований настоящей Политики осуществляется лицом, ответственным за организацию обработки ПДн.