Политика конфиденциальности


1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в ООО «Медицинский центр «Здоровье Плюс» (далее Общество) с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Политика обработки персональных данных в Обществе разработана в соответствии с Федеральным законом от 27.07.2006 г. №152-ФЗ «О персональных данных».
1.3. В настоящей Политике используются следующие термины и определения:

1.4. Действие Политики распространяется на все персональные данные субъектов, обрабатываемые в Обществе с применением средств автоматизации и без применения таких средств.
1.5. К настоящей Политике должен иметь доступ любой субъект персональных данных.
1.6. Настоящая Политика распространяется на деятельность всех подразделений ООО «Медицинский центр «Здоровье Плюс», участвующих в обработке персональных данных.
1.7. Настоящая Политика в соответствии с требованиями п. 2 ст. 18.1 Федерального закона «О персональных данных» подлежит опубликованию на официальном сайте http://www.zdoroveplus.ru. Действующая редакция Политики на бумажном носителе хранится по адресу: 624096, Свердловская область, город Верхняя Пышма, ул. Уральских рабочих, дом 44.

2. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Обработка персональных данных в Обществе осуществляется на основе следующих принципов:

2.2. Общество осуществляет сбор и дальнейшую обработку персональных данных следующих категорий субъектов персональных данных:

2.3. Общество осуществляет сбор и дальнейшую обработку персональных данных в следующих целях:

2.4. Общество обрабатывает персональные данные только при наличии хотя бы одного из следующих условий:

2.5. Общество и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
2.6. В целях информационного обеспечения в Обществе могут создаваться общедоступные источники персональных данных работников, в том числе справочники и адресные книги. В общедоступные источники персональных данных с согласия работника могут включаться его фамилия, имя, отчество, должность, сведения об образовании и квалификации, номера контактных телефонов, адрес электронной почты. Сведения о работнике должны быть в любое время исключены из общедоступных источников персональных данных по требованию работника, либо по решению суда или иных уполномоченных государственных органов.
2.7. Общество вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Общества, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ-152.
2.8. Обработка Обществом специальных категорий персональных данных, касающихся состояния здоровья, обстоятельств частной жизни допускается в случаях, если:

Обработка специальных категорий персональных данных должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась их обработка, если иное не установлено федеральным законом.
2.9. Обработка персональных данных о судимости может осуществляться Обществом исключительно в случаях и в порядке, которые определяются в соответствии с федеральными законами.
2.10. В Обществе установлены следующие условия прекращения обработки персональных данных:

2.11. В Обществе осуществляется обработка биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) с письменного согласия субъектов персональных данных (сотрудников и пациентов).
2.12. В Обществе осуществляется обработка специальных категорий персональных данных о состоянии здоровья в соответствии с требованиями законодательства, а также с письменного согласия субъектов персональных данных (сотрудников и пациентов).
2.13. Обработка персональных данных осуществляется Обществом с использованием средств автоматизации, а также без использования таких средств (на бумажном носителе информации).

3. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Субъект персональных данных принимает решение о предоставлении его персональных данных и даёт согласие на их обработку свободно, своей волей и в своём интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в ФЗ-152, возлагается на Общество.
3.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами. Субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
3.3. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путём осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если Общество не докажет, что такое согласие было получено. Общество обязано немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных в вышеуказанных целях.
3.4. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, или при наличии согласия в письменной форме субъекта персональных данных.
3.5. Если субъект персональных данных считает, что Общество осуществляет обработку его персональных данных с нарушением требований ФЗ-152 или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Общества в Уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
3.6. Для реализации и защиты своих прав и законных интересов субъект персональных данных имеет право обратиться в Общество. Общество (Оператор) рассматривает обращения и запросы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций.

4. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Безопасность персональных данных, обрабатываемых Обществом, обеспечивается реализацией правовых, организационных, технических и программных мер, необходимых и достаточных для обеспечения требований федерального законодательства в области защиты персональных данных.
4.2. Для целенаправленного создания в Обществе неблагоприятных условий и труднопреодолимых препятствий для нарушителей, пытающихся осуществить несанкционированный доступ к персональным данным в целях овладения ими, их видоизменения, уничтожения, заражения вредоносной компьютерной программой, подмены и совершения иных несанкционированных действий Обществом применяются следующие организационно-технические меры:

5. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Политика Оператора в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами РФ:
5.1.1. Конституцией Российской Федерации.
5.1.2. Трудовым кодексом Российской Федерации.
5.1.3. Гражданским кодексом Российской Федерации.
5.1.4. Федеральным законом от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».
5.1.5. Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
5.1.6. Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
5.1.7. Федеральным законом от 21.11.2011 N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
5.1.8. Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
5.1.9. Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
5.1.10. Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
5.2. Во исполнение настоящей Политики Оператором утверждены следующие локальные акты:
5.2.1. Приказ о назначении ответственных лиц за работу с персональными данными сотрудников, за компьютерную обработку персональных данных пациентов, за обеспечением информационной безопасности.
5.2.2. Порядок доступа работников Оператора к сведениям конфиденциального характера.
5.2.3. Перечень обрабатываемых персональных данных.
5.2.4. Перечень должностей, работников, допущенных к обработке персональных данных.
5.2.5. Регламенты взаимодействия с субъектами персональных данных (запросы).
5.2.6. Модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных.

6. ОТВЕТСТВЕННОСТЬ
6.1. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут дисциплинарную, материальную, гражданско-правовую, административную и уголовную ответственность в порядке, установленном федеральными законами, локальными актами Общества и договорами, регламентирующими правоотношения с третьими лицами.

7. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
7.1. Настоящая Политика утверждается единоличным исполнительным органом юридического лица.
7.2. Оператор имеет право вносить изменения в настоящую Политику.
7.3. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее утверждения и размещения на сайте Оператора, если иное не предусмотрено новой редакцией Политики.
7.4. Настоящая Политика обязательна для соблюдения и ознакомления всех сотрудников Оператора.