ПОЛИТИКА по работе с персональными данными
Сфера распространения настоящего положения: в отношении персональных данных, обрабатываемых ООО «Дентико» (далее – Общество)
Политика в отношении обработки персональных данных Цель обработки персональных данных:
1. Медико-профилактические цели, установление медицинского диагноза, оказание медицинских услуг;
2. Реализации гражданами РФ закрепленных за ними Конституцией РФ прав на обращение в медицинские организации в установленном порядке;
3. Обеспечение законов и иных форм нормативно-правовых актов в отношении работников Центра, содействия работникам в обучении и продвижении по работе, обеспечении личной безопасности работников, соблюдение основных государственных гарантий по оплате труда работников контроля количества и качества выполняемой работы.
Категории субъектов, персональные данные которых обрабатываются в учреждении:
● ИНН, ● рентгеновские снимки, ● фотографии, ● необходимы для планирования и осуществления лечения (протезирования).
2. Работники Общества (в рамках трудовых отношений) Категории обрабатываемых персональных данных этой категории субъектов:
● идентификационный номер налогоплательщика (ИНН); ● номер страхового свидетельства государственного пенсионного страхования; ● иностранные языки; ● стаж работы; ● состав семьи; ● паспортные данные; ● адрес; ● информация по воинскому учету; ● трудовой договор; ● назначения; ● профессиональная аттестация; ● повышение квалификации; ● профессиональная переподготовка; ● государственные и ведомственные награды, почетные звания; ● информация об отпусках; ● командировки; ● больничные листы; ● трудовая деятельность до приема на работу в клинику; ● дата и основание выхода на пенсию; ● имеющиеся сертификаты; ● наличие судимостей; ● наличие загранпаспорта; ● выезды за границу; ● заработная плата; ● номер расчетного счета в банке; ● фотографии.
3. Контрагенты Общества (в рамках заключенных договоров). Категории обрабатываемых персональных данных этой категории субъектов:
● идентификационный номер налогоплательщика (ИНН); ● фамилия, имя, отчество; ● адрес места жительства; ● электронный адрес; ● контактный телефон; ● банковские реквизиты.
Правовое основание для обработки персональных данных: Федеральный закон от 27 июля 2006 г. № 152ФЗ «О персональных данных»; Федеральный закон от 24 июля 1998 г. № 125ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»; Федеральный закон от 21 ноября 2011 г. N 323ФЗ «Об основах охраны здоровья граждан в Российской Федерации»; согласие работников на обработку персональных данных; заключенные договоры с контрагентами. Перечень действий с персональными данными Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ) в рамках трехстороннего договора, по запросу суда, на основании нормативно-правовых документов, обезличивание, блокирование, удаление, уничтожение.
Обработка вышеуказанных персональных данных осуществляется с использованием и без использования средств автоматизации.
Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ:
1. Правовые и организационные меры безопасности персональных данных: в Обществе разработаны организационно-распорядительные документы, регламентирующие процесс получения, обработки, хранения, передачи и защиты персональных данных.
2. Технические меры по обеспечению безопасности персональных данных при обработке, осуществляемой с использованием средств автоматизации:
● блокирование несанкционированного доступа к персональным данным (установка паролей доступа на ПЭВМ, на которых осуществляется обработка персональных данных); ● использование средств защиты персональных данных от несанкционированного доступа (системы разграничения прав доступа к информации, криптографическая защита, использование программ архивирования информации с использованием метода шифрования и кодированием передаваемых данных на ПЭВМ, обрабатывающих персональные данные; веб-интерфейс с установленными сертификатами и аутентификацией пользователя); ● предотвращение внедрения в информационные системы вредоносных программ (программ вирусов) и программных закладок (антивирусный пакет Microsoft Security). При обработке, осуществляемой без использования средств автоматизации: ● обособление персональных данных от иной информации путем фиксации их на отдельных материальных носителях; ● определение порядка хранения материальных носителей персональных данных и установление перечня лиц, осуществляющих обработку персональных данных, либо имеющих к ним доступ; ● ограничение доступа пользователей в помещения, где хранятся носители информации; ● размещение носителей информации, содержащих персональные данные, в пределах контролируемой зоны; ● обеспечение раздельного хранения материальных носителей персональных данных, обработка которых осуществляется в различных целях; ● соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним: хранение документов–носителей персональных данных в специально оборудованных помещениях, сейфах, металлических шкафах, установление решеток на окна, охранно-пожарной сигнализации; ● проведение внутренней проверки безопасности информационных систем персональных данных учреждения; ● проведение вводного и текущего инструктажей для работников учреждения, допущенных к обработке персональных данных. Право субъекта персональных данных на доступ к его персональным данным 1. Субъект персональных данных имеет право на получение следующих сведений: 1) подтверждение факта обработки персональных данных оператором; 2) правовые основания и цели обработки персональных данных; 3) цели и применяемые оператором способы обработки персональных данных; 4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона; 5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; 6) сроки обработки персональных данных, в том числе сроки их хранения; 7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом; 8) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу; 10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. 2. Указанные в пункте 1 сведения должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных. 3. Указанные в пункте 1 сведения предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. 4. В случае, если сведения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных. 5. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения указанных в п. 1 сведений, а также в целях ознакомления с обрабатываемыми персональными данными до истечения 30 дней, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса. 6. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным п. 4 и 5. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе. 7. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если: 1) обработка персональных данных, включая персональные данные, полученные в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка; 2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными; 3) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма; 4) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц; 5) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Ответственный за организацию обработки персональных данных в ООО «Дентико» - Конько Павел Григорьевич