ПОЛИТИКА

В ОТНОШЕНИИ ОБРАБОТКИ И ЗАЩИТЫ

ПЕРСОНАЛЬНЫХ ДАННЫХ

ООО «ОЗАРИ

1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1 Настоящая Политика в отношении обработки и защиты персональных данных (далее — Политика) разработана в соответствии с Конституцией Российской Федерации , Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — ФЗ-152), Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» и иными нормативными правовыми актами, регулирующими отношения в сфере защиты персональных данных.
1.2 Целью настоящей Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.3 В Политике используются следующие основные понятия:
Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Персональные данные, разрешенные субъектом для распространения, — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом путем дачи специального согласия в порядке, предусмотренном ФЗ-152.
Оператор — Клиника, самостоятельно или совместно с другими лицами организующая и (или) осуществляющая обработку ПДн, а также определяющая цели и состав данных, подлежащих обработке.
Обработка персональных данных — любое действие (операция) или совокупность действий, совершаемых с использованием средств автоматизации или без них, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение ПДн.
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе и (или) уничтожаются материальные носители ПДн.
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту.
Специальные категории персональных данных — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости, а также биометрические персональные данные. Обработка специальных категорий допускается в случаях, предусмотренных ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ.
Информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.4 Действие настоящей Политики распространяется на все процессы обработки ПДн в Клинике, осуществляемые как с использованием средств автоматизации (в том числе в информационно-телекоммуникационных сетях), так и без использования таких средств.
2. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1 Обработка ПДн в Клинике осуществляется на законной и справедливой основе.
2.2 Обработка ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями их сбора.
2.3 Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
2.4 Обработке подлежат только те ПДн, которые отвечают целям их обработки. Содержание и объем обрабатываемых данных соответствуют заявленным целям обработки и не являются избыточными.
2.5 При обработке обеспечиваются точность ПДн, их достаточность и, в необходимых случаях, актуальность по отношению к целям обработки. Клиника принимает необходимые меры по удалению или уточнению неполных или неточных данных.
2.6 Хранение ПДн осуществляется в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели обработки, если срок хранения не установлен федеральным законом или договором, стороной которого является субъект ПДн.
2.7 Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ.
2.8 Клиника и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта, если иное не предусмотрено федеральным законом (соблюдение режима конфиденциальности).
3. ЦЕЛИ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1 Клиника осуществляет обработку ПДн строго в соответствии с заявленными целями.
3.2 В отношении пациентов и их законных представителей:
- Оказание медицинских услуг, установление медицинского диагноза, проведение профилактических, диагностических и лечебных мероприятий.
- Заключение и исполнение договоров на оказание платных медицинских услуг.
- Ведение медицинской документации (медицинских карт) и учет оказанных услуг в соответствии с требованиями Минздрава РФ.
- Осуществление записи на прием к врачу, в том числе дистанционным способом (через сайт или по телефону).
- Осуществление связи с пациентом для информирования о результатах анализов, переносе времени приема, а также контроля качества оказанных услуг.
3.3 В отношении работников (и соискателей на вакантные должности):
- Обеспечение соблюдения трудового законодательства РФ и иных нормативных правовых актов.
- Содействие работникам в трудоустройстве, получении образования и повышении квалификации.
- Обеспечение личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
- Начисление и выплата заработной платы, расчет и уплата налогов и страховых взносов.
- Рассмотрение резюме и оценка профессиональных качеств кандидатов для приема на работу.
3.4 В отношении контрагентов (физических лиц и представителей юридических лиц):
- Заключение, исполнение и прекращение гражданско-правовых договоров, стороной которых является субъект ПДн.
3.5 В отношении пользователей сайта Клиники:
- Обеспечение функционирования сайта и улучшение его работы (сбор файлов cookie, данных об IP-адресе, типе браузера и т. д.).
- Обработка запросов, сообщений и заявок, направленных через формы обратной связи на сайте.
3.6 Детальное описание для каждой цели обработки: категорий субъектов, перечня обрабатываемых персональных данных, правовых оснований, сроков обработки и порядка их уничтожения закреплено в Матрице обработки персональных данных (Приложение № 1 к настоящей Политике).
4. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1 Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Клиника осуществляет обработку ПДн субъектов.
4.2 Обработка персональных данных в Клинике осуществляется в строгом соответствии со следующими нормативными правовыми актами Российской Федерации:
- Конституция Российской Федерации (ст. 23, 24);
- Трудовой кодекс Российской Федерации (в части обработки ПДн работников и соискателей);
- Гражданский кодекс Российской Федерации (в части заключения и исполнения гражданско-правовых договоров);
- Налоговый кодекс Российской Федерации (в части передачи данных в ФНС, оформления налоговых вычетов пациентам);
- Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
- Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон от 21.11.2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» (основание для ведения медицинской документации и обработки данных о состоянии здоровья);
- Закон РФ от 07.02.1992 г. № 2300–1 «О защите прав потребителей»;
- Постановление Правительства РФ от 11.05.2023 г. № 736 «Об утверждении Правил предоставления медицинскими организациями платных медицинских услуг»;
- Постановление Правительства РФ от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Постановление Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Приказ Роскомнадзора от 27.10.2022 г. № 178 «Об утверждении Требований к оценке вреда, который может быть причинён субъектам персональных данных в случае нарушения Федерального закона "О персональных данных"»;
- Приказ Роскомнадзора от 28.10.2022 г. № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных»
- Приказ Роскомнадзора от 19.06.2025 г. № 140 «Об утверждении требований к обезличиванию персональных данных и методов обезличивания персональных данных...»;
- Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Приказ ФСБ России от 10.07.2014 г. № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищённости»;
- Приказ ФСБ России от 13.02.2023 г. № 77 «Об утверждении Порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»
- Приказы Министерства здравоохранения РФ, регламентирующие порядок ведения медицинской документации, сроки ее хранения и порядок проведения телемедицинских консультаций;
- Законодательство об архивном деле в Российской Федерации (в части сроков хранения медицинской и кадровой документации);
- Иные нормативные правовые акты, регулирующие отношения, связанные с осуществлением медицинской деятельности и трудовых отношений.
4.3 Помимо федеральных законов и подзаконных актов, правовыми основаниями обработки персональных данных Клиникой также являются:
- Устав Клиники Общество с ограниченной ответственность «ОЗАРИ»;
- Договоры, заключаемые между Клиникой и субъектами персональных данных (трудовые договоры с работниками, договоры на оказание платных медицинских услуг с пациентами или их законными представителями, договоры гражданско-правового характера с контрагентами);
- Согласия субъектов персональных данных на обработку их персональных данных (в том числе согласия пациентов, работников, соискателей, пользователей сайта);
- Согласия субъектов персональных данных на обработку персональных данных, разрешенных субъектом для распространения (в случае размещения отзывов, фотографий или видеоматериалов с участием пациентов или врачей на сайте Клиники или в социальных сетях).
5. КАТЕГОРИИ СУБЪЕКТОВ И ОБЪЕМ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1 Содержание и объем обрабатываемых персональных данных определяются исходя из целей обработки. Клиника не обрабатывает персональные данные, которые являются избыточными по отношению к указанным в разделе 3 настоящей Политики целям.
5.2 В Клинике обрабатываются персональные данные следующих категорий субъектов:
5.2.1 Пациенты Клиники и их законные представители:
- Общие персональные данные: фамилия, имя, отчество (при наличии); пол; дата и место рождения; данные документа, удостоверяющего личность (серия, номер, кем и когда выдан, код подразделения); адрес места жительства (регистрации) и места пребывания; контактные данные (номер телефона, адрес электронной почты); страховой номер индивидуального лицевого счета (СНИЛС); идентификационный номер налогоплательщика (ИНН) (предоставляется исключительно по инициативе пациента для оформления справок об оплате медицинских услуг для получения налогового вычета); данные о месте работы и должности (для оформления листков нетрудоспособности).
- Сведения о третьих лицах: Ф.И.О. и контактные телефоны лиц, указанных пациентом в качестве контактов для экстренной связи или лиц, которым пациент письменно доверил передачу сведений, составляющих врачебную тайну.
- Специальные категории персональных данных (сведения о состоянии здоровья): данные анамнеза (в том числе аллергологического); наличие сопутствующих заболеваний; установленные диагнозы; сведения о проведенных диагностических, профилактических и лечебных мероприятиях; результаты лабораторных, инструментальных (включая рентгенологические, КЛКТ и МРТ) исследований; план лечения; сведения о выданных рецептах и листках нетрудоспособности; иные сведения, содержащиеся в медицинской карте стоматологического пациента и составляющие врачебную тайну.
- Биометрические персональные данные: не обрабатываются в целях установления личности. Примечание: фотопротоколы (внутриротовые и лицевые фотографии пациентов), используемые исключительно для планирования стоматологического, ортопедического лечения и контроля его динамики. Видеоизображения, получаемые с камер видеонаблюдения, не используются совместно с системами распознавания лиц и лицевой аналитики для идентификации субъектов. Указанные визуальные данные не признаются биометрическими персональными данными в контексте статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ при условии, что они не используются для автоматической идентификации (установления личности) субъекта и не обрабатываются совместно с системами распознавания лиц или иной биометрической аналитики.
5.2.2 Работники Клиники (в том числе бывшие):
- Общие персональные данные: фамилия, имя, отчество; пол; дата и место рождения; паспортные данные; адрес регистрации и проживания; контактные данные; СНИЛС; ИНН; реквизиты банковского счета для перечисления заработной платы; сведения об образовании, квалификации, профессиональной переподготовке и наличии сертификатов/аккредитации специалиста; сведения о трудовой деятельности (стаже); семейное положение и состав семьи; отношение к воинской обязанности.
- Специальные категории персональных данных: сведения о состоянии здоровья, относящиеся к вопросу о возможности выполнения работником трудовой функции (результаты предварительных и периодических медицинских осмотров, сведения о наличии инвалидности), обрабатываемые в соответствии с трудовым законодательством РФ.
5.2.3 Соискатели на замещение вакантных должностей в Клинике:
- Фамилия, имя, отчество; пол; дата рождения; контактные данные (телефон, email); сведения об образовании и квалификации; сведения об опыте работы; иные данные, добровольно сообщенные кандидатом в резюме или анкете.
5.2.4 Контрагенты (физические лица, индивидуальные предприниматели и представители/сотрудники юридических лиц):
- Фамилия, имя, отчество; паспортные данные (для физических лиц); должность и место работы; контактные данные (номер телефона, адрес электронной почты); ИНН; реквизиты банковских счетов; сведения, содержащиеся в доверенностях (при осуществлении полномочий).
5.2.5 Пользователи сайта Клиники:
- Фамилия, имя, отчество (или псевдоним); номер контактного телефона; адрес электронной почты (предоставляемые при заполнении форм обратной связи, заявок на прием или вопросов врачу).
- Пользовательские (технические) данные: IP-адрес; информация из файлов cookie; тип и версия браузера; сведения об операционной системе устройства; дата, время и параметры посещения страниц сайта; источник перехода на сайт (ссылка). Данная информация собирается автоматически средствами веб-аналитики для улучшения качества работы сайта.
5.2.6 Посетители Клиники:
-  Видеоизображение субъекта, полученное посредством систем открытого видеонаблюдения, установленных в помещениях общего пользования Клиники (зона ресепшен, стоматологический кабинеты) в целях обеспечения безопасности.
5.3 Клиника может осуществлять обработку персональных данных, разрешенных субъектом для распространения (например, публикация Ф.И.О., квалификации, фотографии и видеовизитки врача на сайте Клиники; публикация отзывов пациентов с их фотографиями/видеоматериалами до и после лечения). Такая обработка осуществляется исключительно на основании отдельного письменного согласия субъекта, в котором субъект вправе установить запреты на передачу или условия обработки данных неограниченным кругом лиц.

6. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1 Перечень действий с персональными данными и способы обработки
6.1.1 Клиника осуществляет обработку персональных данных — то есть совершает любое действие (операцию) или совокупность действий, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.
6.1.2 Обработка персональных данных в Клинике осуществляется следующими способами:
- неавтоматизированная обработка персональных данных (на бумажных носителях);
- автоматизированная обработка персональных данных (в информационных системах, например, в Медицинской информационной системе (МИС), бухгалтерских и кадровых программах);
- смешанная обработка персональных данных.
6.2 Локализация баз данных
6.2.1 При сборе персональных данных, в том числе посредством сайта Клиники в сети «Интернет», Клиника обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся исключительно на территории Российской Федерации.
6.3 Соблюдение конфиденциальности и режима врачебной тайны
6.3.1 Клиника и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
6.3.2 Сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну (в соответствии со ст. 13 Федерального закона от 21.11.2011 № 323-ФЗ).
6.3.3 Разглашение сведений, составляющих врачебную тайну, не допускается, за исключением случаев:
- наличия письменного согласия пациента (или его законного представителя) на передачу таких сведений указанным им третьим лицам (в том числе родственникам);
- предоставления сведений по запросу органов дознания и следствия, суда, органов прокуратуры, органа уголовно-исполнительной системы на основаниях, предусмотренных законодательством РФ.
- передачи сведений другой медицинской организации в целях оказания медицинской помощи пациенту;
- угрозы распространения инфекционных заболеваний, массовых отравлений и поражений;
- информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинён в результате противоправных действий.
6.3.4 Все работники Клиники, имеющие доступ к персональным данным и сведениям, составляющим врачебную тайну, подписывают обязательство о неразглашении и несут персональную ответственность за нарушение конфиденциальности.
6.4 Передача персональных данных третьим лицам (поручение обработки)
6.4.1 Клиника вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора (поручения оператора). К таким лицам могут относиться зуботехнические лаборатории, контрагенты по IT-сопровождению, провайдеры облачных сервисов (МИС), лаборатории для проведения анализов. До заключения договора поручения Клиника проверяет, что лицо, которому поручается обработка персональных данных, зарегистрировано в качестве оператора персональных данных в реестре Роскомнадзора, а также располагает необходимыми организационными и техническими мерами защиты ПДн.
6.4.2 Лицо, осуществляющее обработку персональных данных по поручению Клиники, обязано соблюдать принципы и правила обработки, обеспечивать безопасность и конфиденциальность данных. В соответствии с ч. 3 ст. 6 ФЗ-152, такое лицо обязано по запросу Клиники предоставлять документы, подтверждающие принятие мер по защите ПДн, а также незамедлительно уведомлять Клинику о фактах неправомерной или случайной передачи (утечки) персональных данных. Клиника несет ответственность перед субъектом за действия такого лица.
6.4.3 Трансграничная передача персональных данных (на территорию иностранных государств) Клиникой не осуществляется.
6.5 Сроки обработки персональных данных
6.5.1 Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки, если срок хранения не установлен федеральным законом или договором.
6.5.2 Сроки хранения конкретных категорий данных определяются в соответствии с:
- Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения;
- Приказами Минздрава России, устанавливающими сроки хранения медицинской документации (например, медицинская карта стоматологического пациента хранится в течение сроков, установленных профильными нормативными актами — 25 лет);
- Сроком действия согласия субъекта персональных данных.
6.6 Условия прекращения обработки персональных данных
6.6.1 Обработка персональных данных прекращается, а собранные данные подлежат уничтожению или обезличиванию в следующих случаях:
- достижение целей обработки персональных данных или утрата необходимости в их достижении;
- истечение срока действия согласия субъекта или отзыв согласия субъектом персональных данных, если у Клиники нет иных законных оснований для продолжения обработки (например, обязанности хранить медицинскую карту по закону);
- выявление факта неправомерной обработки персональных данных (если обеспечить правомерность обработки невозможно);
- ликвидация или реорганизация Клиники (с передачей архивов в установленном законом порядке).
7. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1 Актуализация и исправление персональных данных
7.1.1 В случае подтверждения факта неточности персональных данных (ПДн) на основании сведений, представленных субъектом ПДн, его представителем либо уполномоченным органом по защите прав субъектов ПДн, Клиника обязана уточнить ПДн либо обеспечить их уточнение (если обработка поручена третьему лицу) в течение 7 (семи) рабочих дней со дня представления таких сведений и снять блокирование ПДн.
7.1.2 Клиника обязана уведомить субъекта ПДн или его представителя о внесенных изменениях и предпринятых мерах, а также принять разумные меры для уведомления третьих лиц, которым эти ПДн были переданы.
7.2 Блокирование и прекращение неправомерной обработки
7.2.1 В случае выявления неправомерной обработки ПДн или неточных ПДн при обращении субъекта или по запросу Роскомнадзора, Клиника обязана немедленно осуществить блокирование неправомерно обрабатываемых ПДн с момента такого обращения на период проверки.
7.2.2 В случае выявления неправомерной обработки ПДн Клиника в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления, обязана прекратить неправомерную обработку ПДн.
7.2.3 В случае, если обеспечить правомерность обработки ПДн невозможно, Клиника в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки, обязана уничтожить такие ПДн.
7.3 Сроки и основания уничтожения персональных данных
7.3.1 Клиника обязана прекратить обработку ПДн и уничтожить их в срок, не превышающий 30 (тридцати) дней, в следующих случаях:
- достижение цели обработки ПДн (например, истечение нормативных сроков хранения медицинской или кадровой документации);
- отзыв субъектом ПДн согласия на обработку его ПДн.
7.3.2 Исключение для медицинских данных: в случае отзыва пациентом согласия на обработку ПДн Клиника вправе продолжить обработку данных без согласия пациента при наличии иных законных оснований. В частности, отзыв согласия не является основанием для уничтожения медицинской карты стоматологического пациента до истечения установленного нормативными актами Минздрава России срока ее хранения (25 лет).
7.3.3 В случае отсутствия возможности уничтожения ПДн в течение указанных сроков Клиника осуществляет блокирование таких ПДн и обеспечивает их уничтожение в срок не более чем 6 (шесть) месяцев, если иной срок не установлен федеральными законами.
7.4 Порядок документального подтверждения уничтожения персональных данных
7.4.1 Уничтожение ПДн в Клинике осуществляется специально созданной комиссией с соблюдением Требований к подтверждению уничтожения персональных данных, установленных Роскомнадзором.
7.4.2 Для уничтожения ПДн в информационных системах применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, в составе которых реализована функция уничтожения информации.
7.4.3 Документальным подтверждением уничтожения ПДн является:
- при обработке ПДн без использования средств автоматизации (на бумажных носителях) — Акт об уничтожении персональных данных;
- при обработке ПДн с использованием средств автоматизации (в Медицинской информационной системе, 1С и др.) — Акт об уничтожении персональных данных совместно с Выгрузкой из журнала регистрации событий в информационной системе персональных данных.
7.4.4 Акт об уничтожении ПДн и Выгрузка из журнала подлежат хранению в Клинике в течение 5 (пяти) лет с момента уничтожения ПДн.
7.5 Обезличивание персональных данных
7.5.1 В установленных законодательством случаях Клиника может осуществлять обезличивание ПДн вместо их уничтожения (например, для использования данных в статистических или исследовательских целях).
7.5.2 Обезличивание осуществляется в строгом соответствии с требованиями и методами, утвержденными Приказом Роскомнадзора от 19.06.2025 № 140. Массив ПДн, подлежащих обезличиванию, и ПДн, полученные в результате обезличивания, хранятся раздельно.
8. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1 Право на доступ к информации об обработке персональных данных
8.1.1 Субъект персональных данных (ПДн) имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:
- подтверждение факта обработки ПДн Клиникой;
- правовые основания и цели обработки ПДн;
- цели и применяемые Клиникой способы обработки;
- наименование и место нахождения Клиники, сведения о лицах (за исключением работников Клиники), которые имеют доступ к ПДн или которым они могут быть раскрыты на основании договора или федерального закона;
- обрабатываемые ПДн, относящиеся к соответствующему субъекту, источник их получения;
- сроки обработки ПДн, в том числе сроки их хранения;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование (Ф.И.О.) и адрес лица, осуществляющего обработку ПДн по поручению Клиники, если обработка поручена такому лицу;
- информацию о способах исполнения Клиникой обязанностей, установленных статьей 18.1 ФЗ-152.
8.1.2 Субъект ПДн вправе требовать от Клиники уточнения его ПДн, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
8.2 Порядок направления запросов и сроки ответа Клиникой
8.2.1 Сведения, касающиеся обработки ПДн, предоставляются субъекту или его законному представителю Клиникой в доступной форме. В них не должны содержаться ПДн, относящиеся к другим субъектам, за исключением случаев, если имеются законные основания для раскрытия таких данных.
8.2.2 Запрос субъекта ПДн (или его представителя) должен в обязательном порядке содержать:
- номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие субъекта ПДн в отношениях с Клиникой (номер договора на оказание платных медицинских услуг, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Клиникой;
- подпись субъекта ПДн или его представителя.
8.2.3 Запрос может быть направлен в форме документа на бумажном носителе или в форме электронного документа, подписанного электронной подписью в соответствии с законодательством РФ.
8.2.4 Клиника обязана предоставить запрошенную информацию в течение 10 (десяти) рабочих дней с момента обращения либо получения Клиникой запроса субъекта ПДн или его представителя. Указанный срок может быть продлён, но не более чем на 5 (пять) рабочих дней в случае направления Клиникой в адрес субъекта мотивированного уведомления с указанием причин продления срока предоставления информации. При этом срок рассмотрения требования субъекта об уточнении, блокировании или уничтожении его персональных данных составляет 7 (семь) рабочих дней (пункт 7.1.1 настоящей Политики)
8.2.5 Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Клиникой в адрес субъекта мотивированного уведомления с указанием причин продления срока предоставления информации.
8.2.6 Клиника предоставляет сведения субъекту ПДн или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в самом обращении.
8.3 Право на отзыв согласия
8.3.1 Субъект ПДн вправе в любой момент отозвать согласие на обработку ПДн, направив в Клинику соответствующее письменное заявление.
8.3.2 В случае отзыва субъектом согласия на обработку ПДн Клиника вправе продолжить обработку ПДн без согласия субъекта при наличии оснований, предусмотренных законодательством РФ (например, для исполнения договора, стороной которого является субъект, или для выполнения обязанностей, возложенных на Клинику законом — в частности, по хранению медицинской документации).
8.4 Право на обжалование действий или бездействия Клиники
8.4.1 Если субъект ПДн считает, что Клиника осуществляет обработку его ПДн с нарушением требований законодательства или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие Клиники в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.
8.4.2 Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
9. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1 Общие положения
9.1.1 Клиника при обработке персональных данных (ПДн) принимает необходимые правовые, организационные и технические меры (или обеспечивает их принятие) для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПДн.
9.2 Правовые и организационные меры. Для обеспечения безопасности ПДн Клиника реализует следующие организационно-правовые мероприятия:
- назначение должностного лица, ответственного за организацию обработки ПДн в Клинике;
- издание настоящей Политики и иных локальных нормативных актов по вопросам обработки и защиты ПДн, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ;
- осуществление внутреннего контроля и (или) аудита соответствия обработки ПДн законодательству РФ и локальным актам Клиники;
- проведение оценки вреда, который может быть причинен субъектам ПДн в случае нарушения закона, и соотнесение указанного вреда с принимаемыми мерами безопасности;
- ознакомление работников Клиники, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ, локальными актами и требованиями к защите ПДн, а также подписание ими обязательств о неразглашении;
- организация строгого пропускного режима в помещениях, где размещены информационные системы (серверные) и хранятся бумажные медицинские карты (архив, регистратура).
9.3 Технические меры защиты. При обработке ПДн в информационных системах (ИСПДн) Клиника принимает следующие технические меры:
- определение актуальных угроз безопасности ПДн при их обработке в ИСПДн;
- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации (антивирусное программное обеспечение, межсетевые экраны, средства криптографической защиты информации при передаче данных);
- установление правил дифференцированного доступа к ПДн (ролевая модель доступа в Медицинской информационной системе), а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
- обеспечение своевременного обнаружения фактов несанкционированного доступа к ПДн и принятие мер по ликвидации последствий;
- организация резервного копирования для возможности незамедлительного восстановления ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
9.4 Реагирование на компьютерные инциденты (утечки данных) и взаимодействие с ГосСОПКА
9.4.1 Клиника в установленном законом порядке обеспечивает взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА), включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (доступ) к ПДн. Лицом, уполномоченным на взаимодействие с ГосСОПКА, является лицо, ответственное за обеспечение безопасности персональных данных в информационных системах Клиники, назначенное соответствующим приказом руководителя.
9.4.2 В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов (утечка данных), Клиника обязана с момента выявления такого инцидента уведомить Роскомнадзор:
- в течение 24 часов — о произошедшем инциденте, предполагаемых причинах, предполагаемом вреде и принятых мерах по устранению последствий, а также предоставить сведения о лице, уполномоченном на взаимодействие с Роскомнадзором;
- в течение 72 часов — о результатах внутреннего расследования выявленного инцидента и предоставить сведения о лицах, действия которых стали причиной инцидента (при наличии).
10. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
10.1 Настоящая Политика является внутренним локальным нормативным актом Клиники, обязательным для исполнения всеми работниками, имеющими доступ к персональным данным.
10.2 В целях выполнения требований ч. 2 ст. 18.1 ФЗ-152, Политика является общедоступным документом. Для обеспечения неограниченного доступа субъектов ПДн документ размещается на официальном сайте Клиники в сети «Интернет», а также в доступном для пациентов месте в помещениях Клиники («Уголок потребителя»).
10.3 Клиника имеет право вносить изменения в настоящую Политику в случае внесения изменений в нормативные правовые акты РФ в сфере защиты персональных данных и здравоохранения, а также при изменении внутренних бизнес-процессов Клиники.
10.4 При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее утверждения приказом руководителя Клиники и размещения на сайте, если иное не предусмотрено новой редакцией.
10.5 Ответственным за организацию исполнения настоящей Политики является лицо, ответственное за организацию обработки персональных данных в Клинике, назначенное приказом руководителя. Указанное лицо осуществляет контроль за соблюдением настоящей Политики, организует внутренний аудит и обеспечивает её актуализацию при изменении законодательства или внутренних процессов Клиники.
10.6 Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут дисциплинарную, материальную, гражданско-правовую, административную и уголовную ответственность в порядке, установленном федеральными законами РФ.