Политика обработки персональных данных

1.  ОБЩИЕ ПОЛОЖЕНИЯ

1.1 Настоящая Политика обработки персональных данных (далее Политика) в Обществе с ограниченной ответственностью «Кабинет ультразвуковой диагностики «Луч» (далее Общество) разработана в соответствии с требованиями нормативных правовых актов Российской Федерации, регулирующих процессы обработки персональных данных (далее ПД). Политика определяет реализуемые в Обществе принципы обработки (сбора, хранения, передачи, уничтожения) и защиты ПД пациентов и работников Общества (далее субъекты ПД).

1.2 Настоящая Политика разработана в соответствии с Федеральным законом от 27.07.2006 г. №152-ФЗ «О персональных данных».

1.3 Действие Политики распространяется на все персональные данные субъектов, обрабатываемые в Обществе с применением средств автоматизации и без применения таких средств. Положения настоящей Политики действуют бессрочно, до их замены.

1.4 Политика подлежит изменению, дополнению в случае появления новых и изменения существующих законодательных актов и специальных нормативных документов об обработке и защите персональных данных. Новая редакция Политики вступает в силу с момента ее опубликования или обеспечения неограниченного доступа к ней иным образом, если иное не предусмотрено новой редакцией Политики.

2.  ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1 Принципы и цели обработки ПД

Принципы:

- обработка на законной и справедливой основе;

- соблюдение законов и иных нормативных правовых актов, регламентирующих процессы обработки ПД;

- ограничение обработки ПД достижением конкретных, заранее определенных и законных целей;

- недопущение обработки ПД, несовместимой с целями сбора ПД;

- недопущение объединения баз данных, содержащих ПД, обработка которых осуществляется в целях, несовместимых между собой;

- обработка только тех ПД, которые отвечают целям их обработки;

- ограничение содержания и объема обрабатываемых ПД соответствием заявленным целям их обработки;

- ограничение избыточности обрабатываемых ПД заявленным целям обработки;

- обеспечение точности и достаточности, а в необходимых случаях и актуальности ПД по отношению к заявленным целям их обработки;

- уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Обществом допущенных нарушений персональных данных, если иное не предусмотрено федеральным законом.

Цели:

- содействие работникам в трудоустройстве, обучении и продвижении по службе;

- обеспечение личной безопасности работников;

- контроль количества и качества выполняемой работы;

- обеспечение сохранности имущества Общества;

- исполнение обязательств по договору, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

2.2 Сбор персональных данных

Сбор, накопление, хранение, изменение, использование и передача ПД осуществляется при условии наличия согласия субъекта ПД, за исключением случаев, когда в соответствии с действующим законодательством допускается обработка ПД без получения согласия субъекта ПД, а именно:

- для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

- для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

- для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД, а также для заключения договора по инициативе субъекта ПД или договора, по которому субъект ПД будет являться выгодоприобретателем или поручителем;

- для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение согласия субъекта ПД невозможно;

- для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПД;

- для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг;

- для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

- для осуществления в статистических или иных исследовательских целях, при условии обязательного обезличивания ПД. Исключение составляет обработка ПД в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации;

- подлежащих опубликованию или обязательному раскрытию в соответствии с действующим законодательством.

2.3 Хранение персональных данных

Хранение ПД осуществляется в форме, позволяющей определить субъекта ПД не дольше, чем этого требуют соответствующие цели обработки ПД, если срок хранения ПД не установлен федеральным законом, договором, стороной, которого выгодоприобретателем или поручителем по которому является субъект ПД, обрабатываемые ПД подлежат уничтожению, либо обезличиванию по достижении целей обработки, или в случае утраты необходимости в достижении этих целей.

ПД субъектов могут обрабатываться как на бумажных носителях, так и в электронном виде в компьютерных сетях Общества и аффилированных с Обществом организаций.

ПД на бумажных носителях хранятся в запираемых шкафах или сейфах

2.4 Передача персональных данных третьим лицам

Общество вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Общества, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ-152.

Общество обязуется и обязует третьих лиц, получивших доступ к ПД, не раскрывать третьим лицам и не распространять ПД без согласия субъекта ПД, если иное не предусмотрено законом.

2.5 Трансграничная передача персональных данных

Трансграничная передача ПД Обществом не осуществляется.

2.6 Условия прекращения и уничтожения обработки персональных данных:

В случае достижения целей обработки ПД, Общество прекращает обработку ПД и уничтожает их, в срок, не превышающий тридцати дней с даты достижения цели обработки ПД, если иное не предусмотрено соглашением между Обществом и субъектом персональных данных.

В случае отзыва субъектом ПД согласия на обработку своих ПД Обществом, прекращает их обработку, если иное не предусмотрено соглашением между Обществом и субъектом ПД, либо если Общество вправе осуществлять обработку ПД без согласия субъекта ПД на основаниях, предусмотренных действующим законодательством, регулирующим процессы обработки ПД.

В случае выявления неправомерной обработки ПД, Общество предпринимает меры по уничтожению этих ПД в срок, не превышающий трех рабочих дней со дня выявления неправомерной обработки ПД. В случае, если обеспечить правомерность обработки персональных данных невозможно, Общество в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязано уничтожить такие персональные данные или обеспечить их уничтожение.

В случае отсутствия возможности уничтожения ПД в течение указанного срока, Общество осуществляет блокирование таких ПД и обеспечивает уничтожение ПД в срок, не превышающий 6 месяцев со дня выявления неправомерной обработки ПД, если иной срок не установлен действующим законодательством или иными нормативными правовыми актами, регулирующими процессы обработки ПД.

ПД уничтожаются с помощью средств, гарантирующих невозможность восстановления носителя.

2.7 Защита персональных данных

При обработке ПД Общество принимает необходимые правовые, организационные и технические меры для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПД.

Обеспечение безопасности ПД достигается:

- определением угроз безопасности ПД при их обработке в информационных системах персональных данных (далее ИСПД);

- применением организационных и технических мер по обеспечению безопасности ПД при их обработке в ИСПД, необходимых для выполнения требований к защите ПД, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПД;

- обнаружением фактов несанкционированного доступа к ПД и принятием необходимых

мер;

- восстановлением ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- установлением правил доступа к ПД, обрабатываемых в ИСПД;

- учёт применяемых средств защиты информации, эксплуатационной и технической документации к ним;

- контролем за принимаемыми мерами по обеспечению безопасности ПД и уровня защищенности ИСПД.

3.  ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

Общество обеспечивает конфиденциальность ПД, то есть не допускает их распространения без согласия субъекта ПД или наличия иного законного основания. Обеспечение конфиденциальности обезличенных и общедоступных ПД осуществляется аналогично обеспечению конфиденциальности иных данных, обрабатываемых в Обществе.

3.1 Организация внутреннего доступа сотрудников к информации, содержащей

персональные данные.

В рамках настоящей Политики внутренний доступ к ПД предоставляется работникам Общества, которым он необходим для исполнения их непосредственных должностных обязанностей.

Допуск работников Общества к обработке ПД осуществляется на основании утвержденного Перечня должностей работников, допущенных к обработке ПД, обрабатываемых в Обществе. Работник Общества допускается к обработке ПД только после ознакомления с действующими нормативными правовыми актами, регламентирующими обработку ПД, локальными нормативными актами Общества, регламентирующими обработку ПД, и после подписания обязательства о неразглашении информации, содержащей ПД.

3.2 Организация доступа субъектов персональных данных к своим персональным

данным

Общество обеспечивает доступ субъектов ПД к принадлежащим им ПД. Для получения такого доступа субъекту ПД необходимо направить в Общество письменный запрос по форме, приведенной в Приложении 1. Общество осуществляет предоставление ПД обратившегося субъекта в доступной для субъекта форме, и с обеспечением отсутствия в них ПД, относящихся к другим субъектам.

В соответствии с Федеральным законом № 152-ФЗ «О персональных данных» субъект ПД имеет право:

1. Получить сведения касающиеся обработки ПД Обществом, а именно:

- подтверждение факта обработки ПД Обществом;

- правовые основания и цели обработки ПД;

- цели и применяемые Обществом способы обработки ПД;

- наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к ПД;

- обрабатываемые ПД, относящиеся к соответствующему субъекту ПД, источник их получения, если иной порядок представления таких данных не предусмотрен действующим законодательством;

- сроки обработки ПД, в том числе сроки их хранения;

- порядок осуществления субъектом ПД прав, предусмотренных Федеральным законом № 152-ФЗ «О персональных данных»;

- фамилию, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению оператора, если обработка поручена или будет поручена такому лицу;

- иные сведения, предусмотренные действующим законодательством.

2. Потребовать от Общества уточнения его ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
3. Заявить возражение против принятия в отношении себя решений, порождающих юридические последствия на основе исключительно автоматизированной обработки ПД;
4. Отозвать согласие на обработку ПД в случаях, предусмотренных действующим законодательством.

Право субъекта ПД на доступ к своим данным ограничивается в случае, если предоставление ПД нарушает права и законные интересы третьих лиц.

4.  ОТВЕТСТВЕННОСТЬ

Работники Общества, виновные в нарушении нормативных правовых актов, регулирующих процессы обработки и защиты ПД, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной, уголовной ответственности в порядке, установленном действующим законодательством.

Приложение № 01 (Форма Ф-01)

Форма запроса на предоставление информации об обработке персональных данных

(Наименование Приложения)

Директору ООО

«Кабинет ультразвуковой диагностики «Луч»

Запрос на предоставление информации об обработке персональных данных

От __________________________________________________________________________________________

(фамилия, имя, отчество)

паспорт_______________________ выданный____________________________________________________

(серия, номер)                                                                                (дата выдачи)

____________________________________________________________________________________________________________________

(кем выдан)

адрес: _______________________________________________________________________________________

(адрес места жительства)

Основания, по которым лицо выступает в качестве законного представителя субъекта персональных данных:

__________________________________________________________________________________________________________________________________________________________________________________________

Сведения, подтверждающие факт обработки персональных данных в ООО «Кабинет ультразвуковой диагностики «Луч»:

__________________________________________________________________________________________________________________________________________________________________________________________

В соответствии со ст. 14 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» прошу предоставить следующую информацию, касающуюся обработки моих персональных данных:

• подтвердить факт обработки моих персональных данных;
• правовые основания и цели обработки моих персональных данных;
• наименование и местонахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к моим персональным данным или которым могут быть раскрыты мои персональные данные на основании договора или на основании федерального закона;
• относящиеся ко мне обрабатываемые персональные данные, источник их получения;
• сроки обработки моих персональных данных, в том числе сроки их хранения;
• информацию об осуществленной или предполагаемой трансграничной передаче моих персональных данных;
• фамилию, имя, отчество и адрес лица, осуществляющего обработку моих персональных данных, если обработка поручена или будет поручена такому лицу

______________________________________________________________________________________

(иные сведения)

Данный запрос является первичным / повторным, на основании того, что:

_____________________________________________________________________________________________

(ОБЯЗАТЕЛЬНО: указать причину направления повторного запроса)

Указанные сведения прошу предоставить по адресу:

______________________________________________________________________________________

______________                                   _________________

(Дата)                                                   (Подпись)