ВВЕДЕНИЕ
Настоящая политика обработки персональных данных в ООО МЦ «Здоровье» (далее - Политика) разработана в соответствии с требованиями Федерального закона Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных».
1 Общие положения
Политика определяет порядок обработки персональных данных и меры по обеспечению их безопасности ООО МЦ «Здоровье» (далее - Общество) с целью защиты прав субъектов персональных данных при обработке их персональных данных.
- Нормативные ссылки Настоящая Политика разработана на основании документов:
Конституция Российской Федерации;
Гражданский кодекс Российской Федерации;
О персональных данных;
Об информации, информационных технологиях и о защите информации;
Об основах охраны здоровья граждан в Российской Федерации;
О порядке рассмотрения обращений граждан Российской Федерации;
Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных;
Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации;
Об утверждении требований и методов по обезличиванию персональных данных;
Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;
Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах
- Термины и определения
В настоящей Политике использованы термины с соответствующими определениями: Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Обезличивание персональных данных - действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных;
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;
Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители персональных данных;
- Принципы обработки персональных данных
Обработка персональных данных в Обществе осуществляется на основе следующих принципов:
- обработка персональных данных осуществляется на законной и справедливой основе;
- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только персональные данные, которые отвечают целям их обработки;
- содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
- при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Общество принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
- Цели сбора и обработки персональных данных, категории субъектов персональных
данных
Обществом осуществляется обработка персональных данных следующих категорий субъектов персональных данных:
- Работники и члены их семей;
- Пациенты.
Обществом осуществляется обработка указанных категорий субъектов персональных данных в количестве менее 100000:
Для каждой категории субъектов персональных данных Обществом определены цели обработки персональных данных.
Обработка персональных данных пациентов в ООО МЦ «Здоровье» осуществляется в целях оказания медицинских услуг.
При определении объема и содержания обрабатываемых персональных данных субъектов персональных данных Общество руководствуется целями сбора и обработки персональных данных. Обрабатываемые персональные данные не избыточны по отношению к заявленным целям их обработки.
Таблица - Перечень обрабатываемых персональных данных
|
№ п/п |
Наименование персональных данных |
Основание |
|
профессиональном образовании; профессия; страховой стаж работы; стаж по профилю работы учреждения; состав семьи; семейное положение; данные документа, удостоверяющего личность; адрес проживания; адрес и дата регистрации; номер телефона; сведения о воинском учете; данные о приеме на работу или переводе на другую работу; профессия; должность; данные об аттестации; данные о повышении квалификации; данные о профессиональной переподготовке; данные об отпусках; социальные льготы; номер приказа о приеме; номер трудового договора; сведения об увольнении; длительность трудовых отношений; данные о командировках; данные о доходах; данные о результативности и качестве работы; реквизиты свидетельств о рождении; реквизиты свидетельств о заключении брака; сведения, указанные в автобиографии; реквизиты трудовой книжки; данные о наличии медицинского осмотра; данные о флюорографии (результат, номер, дата, наименование больницы); номер лицевого счета; сведения о состоянии здоровья; личная подпись |
|
2. |
Персональные данные пациентов: фамилия, имя, отчество, пол, дата рождения, адрес проживания, контактный телефон, реквизиты полиса ОМС (ДМС), страховой номер индивидуального лицевого счета в Пенсионном фонде России (СНИЛС), данные о состоянии здоровья, заболеваниях, случаях обращения за медицинской помощью, другая информация. |
Федеральный закон «Об основах охраны здоровья граждан в Российской Федерации» №323- ФЗ |
Перечень персональных данных, обрабатываемых в Общества, утверждается приказом Главного врача Общества.
|
- Порядок и условия обработки персональных данных
Общество осуществляет обработку персональных данных при наличии хотя бы одного из следующих условий:
- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных.
Общество вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
Общество соблюдает требования конфиденциальности персональных данных, установленные ст. 7 Федерального закона «О персональных данных», а также принимает меры, предусмотренные ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона «О персональных данных».
Условием прекращения обработки персональных данных является достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
- Обработка персональных данных работника
Персональные данные работника обрабатываются с целью его трудоустройства, обучения, продвижения по службе, охраны труда и личной безопасности работников, контроля качества выполняемой работы, оплаты труда в соответствии с требованиями законов и иных нормативных документов, а также обеспечения сохранности имущества Общества.
Общество обрабатывает персональные данные работника с использованием и без использования средств автоматизации, включая операции сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (предоставления в контролирующие органы - отделения ИФНС, ПФР, ФСС в соответствии с законодательством РФ), блокирования, удаления, уничтожения персональных данных.
На основании ст. 6 ФЗ-152 обработка персональных данных работника может
осуществляться Обществом без его письменного согласия для исполнения трудового договора, стороной которого является сам работник.
В соответствии со ст. 10 ФЗ-152 допускается обработка Обществом специальных категорий персональных данных о состоянии здоровья работника без его согласия в целях выполнения трудового законодательства.
В соответствии со ст. 11 ФЗ-152 допускается обработка Обществом фотографии работника для использования на сайте, в официальной группе Общества.
Согласие работника должно быть получено, если иное не предусмотрено федеральным законодательством, в следующих случаях:
для получения персональных данных у третьей стороны;
для передачи персональных данных третьей стороне;
для перевода определенной части персональных данных в категорию общедоступных;
для обработки специальных категорий персональных данных о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, об интимной (частной) жизни;
для обработки биометрических персональных данных;
для использования персональных данных в целях продвижения товаров, работ, услуг, а также в целях политической агитации;
при поручении обработки персональных данных другому лицу;
при необходимости принятия на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия.
Хранение персональных данных уволенного работника, содержащихся в документах бухгалтерского и кадрового учета, на машинных и бумажных носителях информации в соответствии со ст. 29 Федерального закона от 06.12.2011 № 402-ФЗ «О бухгалтерском учете» должно осуществляться в течение не менее 5-ти лет со дня увольнения работника. При этом согласие уволенного работника на обработку его персональных данных не требуется.
По истечении сроков, определенных федеральным законодательством, кадровые и бухгалтерские документы, содержащие персональные данные работника, передаются на архивное хранение. В соответствии с приказом Минкультуры № 558 личное дело, лицевой счет и личная карточка уволенного работника на бумажных носителях информации хранятся до достижения предельного срока архивного хранения - 75 лет со дня увольнения работника. При этом на организацию архивного хранения, комплектования, учет и использование архивных документов, содержащих персональные данные работников, действие ФЗ-152 не распространяется.
Правовыми основаниями обработки персональных данных работника являются:
- Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ;
- Гражданский кодекс Российской Федерации (часть 1) от 30.11.1994 № 51-ФЗ;
- Налоговый кодекс Российской Федерации от 31.07.1998 № 146-ФЗ;
- Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
- Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании
в Российской Федерации»;
- Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в
Российской Федерации»;
- Устав Общества;
- Трудовой договор с работником.
Обработка персональных данных членов семей работников
Персональные данные члена семьи (при его отсутствии - близкого родственника) работника обрабатываются с целью выполнения трудового законодательства в отношении работника Общества.
В Обществе обрабатываются специальные и иные персональные данные членов семьи в объеме менее 100 000 субъектов.
Общество обрабатывает персональные данные члена семьи с использованием и без использования средств автоматизации, включая операции сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, обезличивания, блокирования, удаления, уничтожения персональных данных. Специальные категории персональных данных членов семьи в информационных системах не обрабатываются.
На основании ст. 6 ФЗ-152 обработка персональных данных члена семьи осуществляется Обществом без его согласия для осуществления и выполнения возложенных Трудовым Кодексом Российской Федерации на Оператора (работодателя) функций, полномочий и обязанностей.
В соответствии со ст. 10 ФЗ-152 для выполнения трудового законодательства в интересах члена семьи допускается обработка Обществом специальных категорий персональных данных о состоянии здоровья члена семьи без его согласия.
Согласие члена семьи должно быть получено, если иное не предусмотрено федеральным законодательством, в следующих случаях:
для передачи персональных данных третьей стороне
при поручении обработки персональных данных другому лицу.
Поскольку персональные данные члена семьи обрабатываются в составе кадровых и бухгалтерских документов, содержащих персональные данные работника, сроки их хранения соответствуют п. 3.1 настоящей Политики.
Правовыми основаниями обработки персональных данных члена семьи являются:
- Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ;
- Трудовой договор, заключенный с работником;
- Налоговый кодекс Российской Федерации
- Обработка персональных данных пациентов
Персональные данные пациентов обрабатываются с целью оказания медицинских услуг. В Центре обрабатываются специальные персональные данные пациентов в объеме менее 100 000.
Центр обрабатывает персональные данные пациентов с использованием и без использования средств автоматизации, включая операции сбора, записи, систематизации, хранения, использования, блокирования, удаления, уничтожения персональных данных.
На основании ст. 6 ФЗ-152 обработка персональных данных пациентов может осуществляться Центром без его письменного согласия, если обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно, если обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии
с законодательством Российской Федерации сохранять врачебную тайну, а также если обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
Согласие пациента должно быть получено, если иное не предусмотрено федеральным законодательством, в следующих случаях:
для передачи персональных данных третьей стороне;
при поручении обработки персональных данных другому лицу.
По истечении сроков, определенных федеральным законодательством, документы, содержащие персональные данные пациентов, в соответствии с приказом Минздрава России от 04.12.2015 №13-2/1538 «О сроках хранения медицинской документации» на бумажных носителях информации хранятся:
- медицинская карта стационарного больного (№ 003/у) - 25 лет;
- медицинская карта прерывания беременности (№ 003-1/у) - 5 лет;
- статистическая карга выбывшего из стационара круглосуточного пребывания, дневного стационара при больничном учреждении, дневного стационара при амбулаторно- поликлиническом учреждении, стационара на дому (№066/у-02) - 10 лет;
- медицинская карта пациента, получающего медицинскую помощь в амбулаторный условиях (№025/у) - 25 лет;
- медицинская карта ребенка (№026/у) - 10 лет;
- контрольная карта диспансерного наблюдения (№>03 0/у) - 5 лет.
При этом на организацию архивного хранения, комплектования, учет и использование архивных документов, содержащих персональные данные абитуриента, действие ФЗ-152 не распространяется.
Правовыми основаниями обработки персональных данных пациентов являются:
- Федеральный закон №323-Ф3 «Об основах охраны здоровья граждан в РФ»;
- Устав и иные документы Общества;
- Договор возмездного оказания медицинских услуг.
- Конфиденциальность персональных данных
Общество и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законодательством Российской Федерации.
- Общедоступные источники персональных данных
В целях информационного обеспечения в Общества создаются общедоступные источники персональных данных, включающие сведения:
- о руководстве Общества,
- о врачах и их квалификации.
Сведения о субъекте персональных данных должны быть исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.
- Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации Обществом, а обработка должна быть прекращена.
При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку, персональные данные подлежат уничтожению, если:
- иное не предусмотрено договором, стороной которого является субъект персональных данных;
- оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или иными федеральными законами;
- иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.
Оператор обязан сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего. Правила работы с обращениями/запросами описаны в п.10 настоящей Политики.
- Поручение обработки персональных данных другому лицу
Общество вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом от 27.07.2006 № 152ФЗ «О персональных данных», на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Общества, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 № 152ФЗ «О персональных данных». В поручении на обработку определяются перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, устанавливается обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также указываются требования к защите обрабатываемых персональных данных.
- Трансграничная передача персональных данных
Общество не осуществляет трансграничную передачу персональных данных.
- Права субъекта персональных данных
1 9.1 Согласие субъекта персональных данных на обработку его персональных
данных
Субъект персональных данных принимает решение о предоставлении своих персональных данных и даёт согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено Федеральным законом от 27.07.2006 № 152ФЗ «О персональных данных».
Обязанность предоставить доказательство получения согласия субъекта на обработку его персональных данных или доказательство наличия оснований, указанных в Федеральном законе от 27.07.2006 № 152ФЗ «О персональных данных», возлагается на Общество.
Обработка персональных данных осуществляется без согласия субъекта в случаях, предусмотренных гл.6 Федерального закона от 27.07.2006 № 152ФЗ «О персональных данных».
Лицо, осуществляющее обработку персональных данных по поручению Общества, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
9.2 Права субъекта персональных данных
Во исполнение требований Федерального закона № 152-ФЗ «О персональных данных», обеспечивающего соблюдение прав субъекта персональных данных на доступ к персональным данным, Обществом разработана и введена процедура работы с запросами и обращениями субъектов персональных данных. Данная процедура обеспечивает соблюдение следующих прав субъектов персональных данных:
- субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в сроки, предусмотренные Федеральным законом № 152-ФЗ «О персональных данных»;
- субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные Федеральным законом № 152-ФЗ «О персональных данных» меры по защите своих прав;
- субъект персональных данных вправе требовать разъяснения от Общества о порядке принятия решения на основании исключительно автоматизированной обработки персональных данных субъекта персональных данных и возможные юридические последствия такого решения;
- субъект персональных данных вправе обжаловать действия или бездействие Общества в Уполномоченный орган по защите прав субъектов персональных данных (далее - Роскомнадзор) или в судебном порядке;
- субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами РФ.
- Организация обработки обращений и запросов
10.1 Перечень обращений и запросов
При осуществлении деятельности Общества по обработке персональных данных возможны следующие запросы и обращения субъекта персональных данных или его законного представителя:
- запрос о предоставлении сведений об обработке персональных данных субъекта
персональных данных;
- запрос о предоставлении сведений об обработке персональных данных субъекта
персональных данных с принятием решений на основании исключительно автоматизированной обработки персональных данных;
- запрос о предоставлении сведений об обработке персональных данных субъекта
персональных данных в общедоступных источниках;
- запрос о предоставлении сведений о передаче персональных данных субъекта
персональных данных третьим лицам;
- запрос о предоставлении сведений о трансграничной передаче персональных данных субъекта персональных данных;
- обращение об отзыве согласия субъекта персональных данных на обработку его персональных данных;
- требование об уточнении персональных данных субъекта персональных данных;
- требование субъекта персональных данных о блокировании его персональных данных;
- требование субъекта персональных данных об уничтожении его персональных данных.
- Прием запросов и обращений
Организация обработки обращений и запросов субъектов персональных данных или их представителей осуществляется Ответственным за организацию обработки персональных данных (далее - Ответственный).
Ответственный назначается приказом руководителя Общества.
С целью регистрации обращений и запросов по вопросам обработки персональных данных, а также ответов на них, Ответственным ведется Журнал учета запросов и обращений по вопросам персональных данных.
Запрос (обращение) субъекта персональных данных должен содержать:
- фамилию, имя и отчество субъекта персональных данных;
- паспортные данные субъекта персональных данных (его представителя);
- текст содержания запроса (обращения);
- адрес для получения ответа на запрос (обращение);
- подпись субъекта персональных данных (его представителя).
При наличии вышеуказанных обязательных реквизитов запрос (обращение) должен быть зафиксирован в Журнале учета запросов и обращений по вопросам персональных данных (далее - Журнал). Если реквизиты, указанные в запросе (обращении) неполные или содержат неверную информацию, в ответе на данный запрос (обращение) необходимо указать, какие данные нуждаются в уточнении.
Примерная форма запросов (обращений) представлена в Приложении №1 к настоящей Политике.
10.3 Реагирование на запросы, обращения и предписания
Ответственный для формирования ответа на запрос (обращение) об обработке персональных данных субъектов персональных данных обязан запросить и получить необходимую информацию в соответствующем подразделении Общества, осуществляющем обработку персональных данных субъекта персональных данных. Структурные подразделения, в которых обрабатываются указанные в запросе (обращении) персональные данные, обеспечивают предоставление информации Ответственному в течение 3 (трех) рабочих дней.
В процессе реагирования на запросы (обращения) субъекта персональных данных (его представителя) Ответственный организует и обеспечивает выполнение следующих мероприятий:
- сбор, анализ и фиксацию информации о наличии, основании, условиях обработки персональных данных, относящихся к субъекту персональных данных, в том числе общедоступных персональных данных;
- сбор, анализ и фиксацию сведений о передаче персональных данных субъекта персональных данных сторонним организациям;
- сбор, анализ и фиксацию сведений о принятии решений, порождающих юридические последствия в отношении субъекта персональных данных, на основании исключительно автоматизированной обработки персональных данных;
- предоставление субъекту персональных данных возможности ознакомления с его персональных данных, а также внесение в них необходимых изменений, уничтожение или блокировку соответствующих персональных данных по предоставлении субъектом персональных данных сведений, подтверждающих, что его персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- разработку указаний сторонним организациям, которым были переданы персональные данные субъекта персональных данных, о необходимости внесения изменений и принятия мер в отношении персональных данных субъекта персональных данных;
- в случае отказа в предоставлении субъекту персональных данных (его представителю) по его запросу (обращению) сведений об обработке персональных данных - разработка мотивированного ответа, содержащего ссылку на соответствующую норму Федерального закона от 27.07.2006 № 152ФЗ «О персональных данных».
Для реагирования на запросы (обращения) субъекта персональных данных (его представителя) предусмотрены следующие сроки:
- предоставление (отказ в предоставлении) информации субъекту персональных данных (его представителю) об обработке персональных данных, а также предоставление возможности ознакомления с персональными данными - в течение 30 (тридцати) дней с даты получения запроса (обращения);
- внесение изменений в персональные данные в случае, если они являются неполными, неточными или неактуальными - не более 7 (семи) рабочих дней с даты получения запроса (обращения);
- уничтожение персональных данных в случае, когда они получены незаконно или не являются необходимыми для заявленной цели обработки - не более 7 (семи) рабочих дней с даты получения запроса (обращения).
Получаемые запросы (обращения, предписания) по вопросам персональных данных, а также ответы на них не должны нарушать конституционные права и свободы других лиц.
- Обеспечение безопасности персональных данных
Безопасность персональных данных, обрабатываемых Обществом, обеспечивается реализацией правовых, организационных и технических мер, необходимых для обеспечения требований федерального законодательства в области защиты персональных данных.
Для предотвращения несанкционированного доступа к персональным данным Обществом применяются следующие организационно-технические меры:
- назначение должностного лица, ответственного за организацию обработки персональных данных;
- назначение должностного лица, ответственного за обеспечение безопасности персональных данных;
- осуществляется учет работников Общества, допущенных к обработке персональных данных;
- ознакомление работников Общества с требованиями федерального законодательства РФ и внутренних нормативных документов Общества по обработке и обеспечению безопасности персональных данных;
- организация учёта, хранения и контроля обращения носителей персональных данных;
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных, формирование на их основе Модели угроз и нарушителя безопасности персональных данных; применение необходимых для обеспечения безопасности персональных данных средств защиты информации, в том числе средств криптографической защиты информации;
- обеспечение восстановления персональных данных, уничтоженных или модифицированных вследствие несанкционированного доступа к ним;
- определение мест хранения персональных данных;
- оценка эффективности принятых мер по обеспечению безопасности персональных данных;
- обеспечение контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищённости персональных данных;
- организация пропускного режима на территорию Общества, охраны помещений с техническими средствами обработки персональных данных.
- Заключительные положения
Настоящая Политика должна пересматриваться по мере необходимости или в случае изменений требований законодательства Российской Федерации в области обработки и защиты персональных данных.
Все изменения в настоящую Политику утверждаются приказом Главного врача Общества.
Общество обязана обеспечить неограниченный доступ к настоящей Политике путем публикации настоящей Политики на официальном сайте Общества, расположенном по адресу: Ьйр5://тс2с1огоУ1е.сот/.
Иные права и обязанности Общества определяются законодательством Российской Федерации в области персональных данных.
Приложение № 1
Форма запроса / обращения субъекта на доступ к своим персональным данным
ЗАПРОС / ОБРАЩЕНИЕ
субъекта персональных данных
на доступ к своим персональным данным
Я,________________________________________________________
__________________________________ (Ф.И.О.)________________
в соответствие с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», прошу разрешить мне доступ к своим персональным данным, а именно:___________________
СОГЛАСОВАНО: ответственный за организацию работ по
обеспечению безопасности персональных данных