Политика обработки персональных данных

ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ

«РЭМСИ ДИАГНОСТИКА РУС»

ОГРН 1137847092393

ИНН 7804504071

197046, г. Санкт-Петербург, ул. Чапаева, дом 5, лит. А, пом. 9-Н, офис 201

___________________________________________________________________________

УТВЕРЖДАЮ

Управляющий

ООО ««РЭМСИ Диагностика Рус»»

А.В. Ледовский

01 июля 2017 г.

ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

В ООО «РЭМСИ Диагностика Рус»

1. НАЗНАЧЕНИЕ ПОЛИТИКИ

Настоящая Политика предназначена для определения концептуальных основ деятельности ООО «РЭМСИ Диагностика Рус» и определяет принципы, порядок и условия обработки персональных данных работников «РЭМСИ Диагностика Рус»  (далее – Клиника) и иных лиц, чьи персональные данные обрабатываются Клиникой, с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также устанавливает ответственность должностных лиц Клиники, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

2. Ввод политики

Настоящая Политика вводится в Клинике со дня ее утверждения Управляющим: « 01» июля 2017 года.

3. ОБЛАСТЬ ПРИМЕНЕНИЯ

3.1. Настоящая Политика распространяется на деятельность всех подразделений Клиники, участвующих в обработке персональных данных. 

3.2. Настоящая Политика в соответствии с требованиями п. 2 ст. 18.1 Федерального закона «О персональных данных» подлежит опубликованию на официальном сайте Клиники www.msk.ramsaydiagnostics.ru.  Действующая редакция Политики на бумажном носителе хранится по адресу: Санкт-Петербург, ул. Чапаева, д. 5.

4. СРОК ДЕЙСТВИЯ

4.1 Настоящая Политика вводится в действие сроком на 1 год. 
4.2. Настоящая Политика может пересматриваться и заново утверждаться по мере внесения изменений:

• в нормативные правовые акты в сфере персональных данных;
• в локальные акты Клиники, регламентирующие организацию обработки и обеспечение безопасности персональных данных.

5. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

Персональные данные − любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Обработка персональных данных − любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, представление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных − обработка персональных данных с помощью средств вычислительной техники.

Представление персональных данных − действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Уничтожение персональных данных − действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных, и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных − действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных − совокупность содержащихся 
в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Трансграничная передача персональных данных − передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

6. НОРМАТИВНЫЕ ССЫЛКИ

6.1. Настоящая Политика разработана в соответствии с положениями следующих нормативных правовых актов:

• Кодекс Российской Федерации об административных правонарушениях 
  от 30.12.2001 № 195-ФЗ;
• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Федеральный закон от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»;
• Федеральный закон от 03.04.1995 № 40-ФЗ «О Федеральной службе безопасности»;
• Федеральный закон от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности»;
• Вопросы Федеральной службы по техническому и экспортному контролю (утв. Указом Президента Российской Федерации от 16.08.2004 № 1085);
• Положение о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (утв. Постановлением Правительства Российской Федерации от 16.03.2009 № 228);
• Требования к защите персональных данных при их обработке в информационных системах персональных данных (утв. Постановлением Правительства Российской Федерации от 01.11.2012 № 1119);
• Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. Постановлением Правительства Российской Федерации от 15.09.2008 № 687);
• Административный регламент Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по исполнению государственной функции «Ведение реестра операторов, осуществляющих обработку персональных данных» (утв. приказом Министерства связи и массовых коммуникаций Российской Федерации  от 21.12.2011 № 346);
• Административный регламент исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (утв. приказом Министерства связи и массовых коммуникаций Российской Федерации от 14.11.2011 № 312);
• Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утв. приказом Федеральной службы по техническому и экспортному контролю Российской Федерации от 18.02.2013 № 21);
• Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности (утв. приказом Федеральной службы безопасности Российской Федерации от 10.07.2014 № 378).

7. ОПИСАНИЕ ПОЛИТИКИ

7.1. Принципы, цели, содержание и способы обработки персональных данных 

7.1.1. Клиника в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

7.1.2. Обработка персональных данных Клиникой осуществляется на основе принципов:

             - законности и справедливости целей и способов обработки персональных данных;

             - соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям предприятия;

             - соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

             - достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

             - недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;

             - хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;

 - уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.

7.1.3. Обработка персональных данных в Клинике включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
В Клинике осуществляется обработка персональных данных с использованием средств автоматизации и без использования средств автоматизации.

7.1.4. Клиника осуществляет сбор и дальнейшую обработку персональных данных следующих категорий субъектов персональных данных:

• действительные пациенты Клиники;
• члены семей и иные родственники действительных и потенциальных пациентов Клиники;
• представители (в силу закона и по доверенности) действительных и потенциальных пациентов Клиники;
• сотрудники и представители сторонних медицинских организаций;
• сотрудники и представители действующих контрагентов Клиники (юридических лиц), включая страховые компании;
• физические лица, приобретающие у ООО Клиники лекарственные препараты, изделия медицинского назначения;
• лица, являющиеся соискателями на замещение вакантных должностей Клиники;
• действующие и потенциальные контрагенты Клиники (физические лица);
• сотрудники и представители действующих и потенциальных контрагентов Клиники (юридических лиц);
• посетители частных и публичных мероприятий, организованных Клиники;
• сотрудники (представители, контактные лица) Клиники;
• сотрудники Клиники, являющиеся гражданами иностранных государств;
• члены семей сотрудников Клиники;
• получатели алиментов от сотрудников Клиники;
• сотрудники юридических лиц и физические лица, представляющие интересы Клиники;
• лица, участвующие в гражданском, арбитражном, уголовном, административном процессах и исполнительном производстве (участником которых является Клиника);
• посетители помещений, зданий и территории Клиники.

7.1.5. Клиника осуществляет сбор и дальнейшую обработку персональных данных в следующих целях:

• организация и осуществление комплекса мероприятий, направленных на поддержание и (или) восстановление здоровья и включающих в себя предоставление медицинских услуг, в том числе профилактику, диагностику и лечение заболеваний, медицинскую реабилитацию;
• осуществление дистанционного взаимодействия Клиникой с пациентами и иными заинтересованными лицами в рамках сервисно-информационного обслуживания путем использования телефонной связи, служб мгновенных сообщений, IP-телефонии, электронной почты;
• осуществление дистанционного взаимодействия Клиникой с пациентами и иными заинтересованными лицами посредством сайта Клиникой в сети «Интернет»;
• участие Клиники в гражданском, арбитражном, уголовном, административном процессах и исполнение судебных актов;
• замещение вакантных должностей в Клинике соискателями, наиболее полно соответствующими требованиям Клиники;
• оказание помощи сотрудникам Клиники, являющимся гражданами иностранных государств, в получении разрешений на работу и оформлении рабочих въездных виз в РФ;
• выполнение Клиникой требований трудового законодательства, законодательства по учету труда и его оплаты;
• сохранение жизни и здоровья сотрудников Клиники в процессе трудовой деятельности и выявление нарушений состояния здоровья и медицинских противопоказаний к работе у сотрудников Клиники (включая освидетельствование на наличие медицинских противопоказаний к управлению транспортным средством), а также выполнение требований действующего законодательства по расследованию и учету несчастных случаев, происшедших с сотрудниками Клиники;
• реализация Клиникой как работодателя обязанностей, предусмотренных Трудовым кодексом Российской Федерации, по выплате сотрудникам причитающейся заработной платы, компенсаций и премий, по осуществлению пенсионных и налоговых отчислений, а также расчет с контрагентами и пациентами;
• организация обучения, повышения квалификации и проверки знаний для сотрудников Клиники, осуществление оценки деловых, личностных качеств сотрудников Клиники и результатов их труда, а также осуществление оценки удовлетворенности сотрудников ООО Клиники своим трудом;
• проведение независимой проверки бухгалтерской (финансовой) отчетности ООО «Рэмси Диагностика РУС» в целях выражения мнения о достоверности такой отчетности;
• организация и осуществление в Клинике внутреннего контроля качества медицинской помощи и внутренних производственных процессов.

7.1.6. В Клиника установлены следующие условия прекращения обработки персональных данных:

• достижение целей обработки персональных данных и максимальных сроков хранения;
• утрата необходимости в достижении целей обработки персональных данных;
• представление субъектом персональных данных или его законным представителем документально подтвержденных сведений о том, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
• невозможность обеспечения правомерности обработки персональных данных;
• отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных;
• истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных.

7.1.7. В Клинике осуществляется обработка специальных категорий персональных данных о состоянии здоровья в соответствии с требованиями законодательства, а также с письменного согласия субъектов персональных данных (сотрудников и пациентов).

7.1.8. Клиника осуществляет трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных в иностранные страховые компании с письменного согласия субъектов персональных данных (пациентов).

7.1.9. Клиникой не принимаются решения, порождающие юридические последствия в отношении субъектов персональных данных или иным образом затрагивающие их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.

7.2. Меры по надлежащей организации обработки и обеспечению безопасности персональных данных 

7.2.1. Обеспечение безопасности персональных данных в Клинике достигается, в частности, следующими способами:

• назначением ответственного лица за организацию обработки персональных данных, права и обязанности которого определяются локальными актами Клиники;
• осуществлением внутреннего контроля и/или аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, требованиями к защите персональных данных, локальными актами Клиники;
• ознакомлением сотрудников Клиники», непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных и/или обучением указанных сотрудников;
• определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
• применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
• оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
• учетом машинных (материальных) носителей персональных данных;
• выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер;
• восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
• контролем над соблюдением требований в сфере обеспечения безопасности персональных данных и к уровням защищенности информационных систем персональных данных.

  7.3. Права субъектов персональных данных 

7.3.1. Субъект персональных данных имеет право на получение сведений 
об обработке его персональных данных в Клинике.

7.3.2. Субъект персональных данных вправе требовать уточнения этих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

7.3.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

7.3.4. Для реализации и защиты своих прав и законных интересов субъект персональных данных имеет право обратиться в Клинику. Клиника (Оператор) рассматривает обращения и запросы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций.

7.3.5. Субъект персональных данных вправе обжаловать действия или бездействие Клиники путем обращения в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

8. ОТВЕТСТВЕННОСТЬ

8.1. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут дисциплинарную, материальную, гражданско-правовую, административную и уголовную ответственность в порядке, установленном федеральными законами, локальными актами Клиники и договорами, регламентирующими правоотношения с третьими лицами.