ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ.
1.ОБЩИЕ ПОЛОЖЕНИЯ.
1.1. Настоящий документ определяет политику ООО «Бавария Реха» (далее – Компания) в отношении обработки и обеспечения безопасности персональных данных.
1.2. Настоящая политика конфиденциальности (далее - Политика) разработана в целях реализации требований законодательства в области обработки и обеспечения безопасности персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных в Клинике.
1.3. Положения настоящей Политики являются основой для организации всех процессов в Клинике, связанных с обработкой и защитой персональных данных.
1.4. Настоящая Политика разработана в соответствии с Гражданским кодексом Российской Федерации, Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных", Постановлением Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановлением Правительства Российской Федерации от 15.09.2008г. «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств авто- матизации», Федеральным законом от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации" и иных нормативных правовых актов Российской Федерации и нормативных документов уполномоченных органов государственной власти.
1.5 Действие Политики распространяется на любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, в отношении персональных данных пациентов, потребителей, заказчиков медицинских услуг и информации, отнесенной к врачебной тайне, в соответствии со статьей 13 Федерального закона от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации",, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Положения настоящей Политики действуют бессрочно, подлежат пересмотру и, принеобходимости, актуализации в случае изменений законодательства Российской Федерации о персональных данных. Текущая редакция Политики размещается на сайте ООО «Бавария Реха» в общем доступе.
2. ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ:
В настоящей Политике конфиденциальности используются следующие термины:
2.1. «Администрация Компании», – уполномоченные сотрудники, действующие от имени ООО «Бавария Реха» далее также «Компания», которые организуют и (или) осуществляет обработку Конфиденциальной информации, а также определяют цели обработки данных, состав данных, подлежащих обработке, действия (операции), совершаемые с этими данными.
2.2. «Конфиденциальная информация» - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому, или юридическому лицу (субъекту данных), в том числе отнесенная к врачебной тайне.
2.3. «Обработка Конфиденциальной информации» - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с данными полученными от пациентов, заказчиков, потребителей медицинских услуг, включая сбор, запись, хранение, уточнение (обновление, изменение), использование в интересах лица оставившего данные, удаление, уничтожение данных.
3. ПРЕДМЕТ ПОЛИТИКИ КОНФИДЕНЦИАЛЬНОСТИ.
3.1. Настоящая Политика конфиденциальности устанавливает обязательства Администрации Компании по неразглашению и обеспечению режима защиты Конфиденциальной информации, которую пациенты, заказчики, потребители медицинских услуг предоставляют Компании.
3.2. Компанией осуществляется обработка полученных в установленном законом порядке персональных данных принадлежащих:
- работникам и родственникам работников ООО «Бавария Реха»;
- кандидатам на прием на работу;
- пациентам, заказчикам, потребителям медицинских услуг ООО «Бавария Реха»
– физическим лицам, в том числе потенциальным клиентам, представителям клиентов,
уполномоченным представлять клиентов в том числе пользователям сайта Компании;
- контрагентам ООО «Бавария Реха» (физическим и юридическим лицам, их руководителям, работникам партнеров Компании) и другим лицам, имеющим договорные отношения с Компанией, с которыми взаимодействуют работники Компании в рамках своей деятельности.
3.2.1. Данные могут включать в себя следующую информацию в отношении пациентов, заказчиков, потребителей медицинских услуг:
- Фамилия имя, отчество, год, месяц и число рождения, адрес регистрации;
- гражданство, пол; семейное положение;
- данные об общегражданском паспорте Российской Федерации:- Серия и номер общероссийского паспорта;
- Дата выдачи;
- Наименование органа, выдавшего паспорт;
- свидетельство о рождении;
- Серия и номер свидетельства;
- Дата выдачи;
- Наименование органа, выдавшего свидетельство;
- адрес электронной почты, домашний и контактный (мобильный) телефоны;
- данные о работодателе и работе:
- наименование, адрес и телефон работодателя;
- должность в настоящее время;
- данные об учебном заведении (для школьников и студентов):
- наименование, адрес учебного заведения;
- биометрические персональные данные, полис ДМС (серия и номер, срок действия, дата выдачи);
- сведения составляющие врачебную тайну;
- сведения о кредитных картах пациента – номер карты, информация о банке выдавшем карту.
3.2.2. В отношении контрагентов Компании к Конфиденциальной информации может относится следующая информация:
- фамилия, имя, отчество физического лица;
- наименование юридического лица;
- идентификационный номер налогоплательщика (ИНН); государственный регистра-
ционный номер (ОГРН, ОГРНИП);
- адрес; контактный телефон, адрес электронной почты;
- номер банковского счета;
- сведения о заключаемом с контрагентом договоре.
4. ЦЕЛИ ПОЛИТИКИ КОНФИДИЦИАЛЬНОСТИ.
4.1. Целью настоящей Политики является установление основных принципов и подходов к обработке и обеспечению защиты персональных данных в Компании, являющейся оператором персональных данных.
4.2. Политика обязательна для ознакомления и исполнения всеми лицами, допущенными к обработке персональных данных в информационной системе персональных данных ООО «Бавария Реха».
4.3. Сотрудники ООО «Бавария Реха», допущенные к обработке персональных данных работников, контрагентов и клиентов, несут персональную ответственность за нарушение положений настоящей Политики, иных локальных нормативных актов Компании по вопросам обработки персональных данных, а также законодательства Российской Федерации по вопросам обработки и защиты персональных данных.
4.4. ООО «Бавария Реха», являясь оператором персональных данных, осуществляет обработку персональных данных работников, контрагентов Компании (сотрудничающих в рамках гражданско правовых договоров), пациентов, заказчиков, потребителей медицинских услуг, обратившихся в Компанию.4.5. Обработка персональных данных Компании осуществляется с учетом необходимости обеспечения защиты прав и свобод работников Компании, пациентов, заказчиков, потребителей медицинских услуг ООО «Бавария Реха» и других субъектов Конфиденциальной информации, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, врачебную тайну на основе следующих принципов:
- обработка Конфиденциальной информации осуществляется на законной и справедливой основе;
- обработка Конфиденциальной информации ограничивается достижением конкретных, заранее определенных и законных целей;
- не допускается обработка Конфиденциальной информации, несовместимая с целями сбора Конфиденциальной информации;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только персональные данные, которые отвечают целям их обработки;
- содержание и объем обрабатываемых Конфиденциальной информации соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых Конфиденциальной информации по отношению к заявленным целям их обработки;
- при обработке Конфиденциальной информации обеспечиваются точность Конфиденциальной информации, ее достаточность, а в необходимых случаях и актуальность по отношению к целям обработки Конфиденциальной информации. Компанией принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполной, или неточной Конфиденциальной информации;
- хранение Конфиденциальной информации осуществляется в форме, позволяющей определить субъекта Конфиденциальной информации, не дольше, чем того требуют цели обработки Конфиденциальной информации, если срок хранения Конфиденциальной информации не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект Конфиденциальной информации;
- обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5. ЦЕЛИ ОБРАБОТКИ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ.
5.1. Конфиденциальная информация обрабатывается ООО «Бавария Реха» в следующих целях:
- обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Компании;
- осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на ООО «Бавария Реха», в том числе по предоставлению персональных данных в органы государственной власти, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, вФедеральный фонд обязательного медицинского страхования, в органы статистики, а также в иные государственные органы;
- выполнения требований законодательства Российской Федерации о труде, налогообложении, бухгалтерском учете;
- ведения текущего бухгалтерского, налогового, управленческого, финансового, кадрового, статистического учета;
- формирования и представления отчетности в соответствующие контролирующие органы;
- регулирования трудовых отношений с работниками Компании;
- защиты жизни, здоровья или иных жизненно важных интересов субъектов Конфиденциальной информации;
- подготовки, заключения, исполнения и прекращения договоров с контрагентами, пациентами, заказчиками, потребителями медицинских услуг ООО «Бавария Реха»;
- исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
- осуществления прав и законных интересов Компании в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Компании;
- в иных законных целях.
5.2. Обработка Компанией Конфиденциальной информации необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект Конфиденциальной информации, а также для заключения договора по инициативе субъекта Конфиденциальной информации или договора, по которому субъект Конфиденциальной информации будет являться выгодоприобретателем или поручителем.
5.3. Обработка Конфиденциальной информации необходима для информационного обеспечения пациентов, заказчиков, потребителей медицинских услуг.
5.4. Обработка Конфиденциальной информации осуществляется в медикопрофилак тических целях, в целях установления медицинского диагноза, оказания медицинских и медикосоциальных услуг при условии, что обработка Конфиденциальной информации осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну.
5.5. ООО «Бавария Реха» осуществляется, в том числе, и обработка Конфиденциальной информации, доступ к которой предоставлен субъектом Конфиденциальной информации неограниченному кругу лиц, либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом Конфиденциальной информации), включая размещение на корпоративном сайте Компании.
6. ХРАНЕНИЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ.
6.1. Хранение Конфиденциальной информации осуществляется в форме, позволяющей определить субъекта Конфиденциальной информации не дольше, чем этого требуют соответствующие цели их обработки, если срок хранения Конфиденциальной информации не установлен федеральным законом, договором, стороной которого,выгодоприобретателем или поручителем, по которому является субъект Конфиденциальной информации. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки, или в случае утраты необходимости в достижении этих целей.
6.2. Конфиденциальная информация субъектов обрабатывается как на бумажных носителях, так и/или в электронном виде.
7. ОБЕСПЕЧЕНИЕ ЗАЩИТЫ КОНФИДЕЦИАЛЬНОЙ ИНФОРМАЦИИ
7.1. Компания принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 №152 «О персональных данных» и Федеральным законом от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации", принятыми в соответствии с ними нормативными правовыми актами. ООО «Бавария Реха» самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 №152 «О персональных данных», Постановлением Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Приказом ФСТЭК от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и техниче-ских мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», Постановлением Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", Постановлением Правительства РФ от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" и другими нормативными правовыми актами, если иное не предусмотрено федеральными законами.
К таким мерам могут, в частности, относиться:
– назначение ООО «Бавария Реха» ответственного за организацию обработки Конфиденциальной информации;
– издание Компанией документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки Конфиденциальной информации, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
– применение правовых, организационных и технических мер по обеспечению безопасности Конфиденциальной информации;
– осуществление внутреннего контроля и (или) аудита соответствия обработки Конфиденциальной информации Федеральному закону 27.07.2006 №152 «О персональных данных» и Федеральному закону от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации" и принятым в соответствии с ними нормативным правовым актам, требованиям к защите Конфиденциальной информации, политике Компании в отношении обработки Конфиденциальной информации, локальным актам оператора;
– оценка вреда, который может быть причинен субъектам персональных данных вслучае нарушения Федерального закона от 27.07.2006 №152 «О персональных данных», соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом 27.07.2006 №152 «О персональных данных»;
– ознакомление работников Компании, непосредственно осуществляющих обработку Конфиденциальной информации, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Компании в отношении обработки Конфиденциальной информации, локальными актами по вопросам Конфиденциальной информации, и (или) обучение указанных работников;
7.2. Компания при обработке Конфиденциальной информации принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты Конфиденциальной информации от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения Конфиденциальной информации, а также от иных неправомерных действий;
7.3 Обеспечение безопасности Конфиденциальной информации достигается, в частности:
- определением угроз безопасности Конфиденциальной информации при ее обработке в информационных системах персональных данных;
- применением организационных и технических мер по обеспечению безопасности Конфиденциальной информации при ее обработке в информационных системах персональных данных, необходимых для выполнения требований к защите Конфиденциальной информации, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- учетом машинных носителей Конфиденциальной информации;
- обнаружением фактов несанкционированного доступа к Конфиденциальной информации и принятием необходимых мер;
- восстановлением Конфиденциальной информации, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к Конфиденциальной информации, обрабатываемой в информационных системах персональных данных;
- контролем за принимаемыми мерами по обеспечению безопасности Конфиденциальной информации и уровня защищенности в информационных системах персональных данных.
8. ПРАВА СУБЪЕКТА КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
8.1. Субъект персональных данных вправе требовать от ООО «Бавария Реха» уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.8.2. Сведения предоставляются субъекту Конфиденциальной информации или его представителю Компанией при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с ООО «Бавария Реха» (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Компанией, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
8.3. Компания вправе отказать субъекту Конфиденциальной информации в выполнении повторного запроса. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Компании.
8.4. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
– подтверждение факта обработки персональных данных Компанией;
– правовые основания и цели обработки персональных данных;
– цели и применяемые Компанией способы обработки Конфиденциальной информации;
– наименование и место нахождения Компании, сведения о лицах (за исключением работников Компании), которые имеют доступ к Конфиденциальной информации или которым могут быть раскрыты персональные данные на основании договора с Компанией или на основании федерального закона;
– обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
– сроки обработки Конфиденциальной информации, в том числе сроки ее хранения;
– порядок осуществления субъектом Конфиденциальной информации прав, предусмотренных Федеральным законом от 27.07.2006 №152 «О персональных данных» и Федеральному закону от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации"
– информацию об осуществленной или о предполагаемой трансграничной передаче данных;
– наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Компании, если обработка поручена или будет поручена такому лицу.
8.5. Если субъект персональных данных считает, что Компания осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27.07.2006 №152 «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Компании в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.8.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
9. УНИЧТОЖЕНИЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ.
9.1. В случае достижения целей обработки Конфиденциальной информации Компания прекращает ее обработку и уничтожает Конфиденциальную информацию в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено соглашением между Компанией и субъектом персональных данных.
9.2. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных Компания прекращает их обработку, если иное не предусмотрено соглашением между ООО «Бавария Реха» и субъектом персональных данных, либо если Компания вправе осуществлять обработку Конфиденциальной информации без согласия субъекта персональных данных на основаниях, предусмотренных действующим законодательством, регулирующим процессы обработки Конфиденциальной информации.
9.3. В случае выявления неправомерной обработки Конфиденциальной информации Компания предпринимает меры по уничтожению этих персональных данных в срок, не превышающий трех рабочих дней со дня выявления неправомерной обработки.
9.4. В случае если обеспечить правомерность обработки Конфиденциальной информации невозможно, Компания в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки Конфиденциальной информации, обязана уничтожить такие персональные данные или обеспечить их уничтожение. В случае отсутствия возможности уничтожения Конфиденциальной информации в течение указанного срока, Компания осуществляет блокирование такой Конфиденциальной информации и обеспечивает ее уничтожение в срок, не превышающий 6 месяцев со дня выявления неправомерной обработки, если иной срок не установлен действующим законодательством или иными нормативными правовыми актами, регулирующими процессы обработки Конфиденциальной информации.
9.5. В случае, обращения субъекта персональных данных с заявлением об уничтожении его персональных данных, Компания обязана прекратить обработку или обеспечить прекращение обработки персональных данных данного субъекта и уничтожить указанные в заявлении персональные данные в срок, не превышающий тридцати дней с момента подачи субъектом персональных данных соответствующего заявления, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Компанией и субъектом персональных данных. 9.6. Персональные данные на бумажных носителях уничтожаются с помощью средств, гарантирующих невозможность восстановления носителя.
9.7. Уничтожение информации с машиночитаемых носителей персональных данных производится способом, исключающим возможность использования и восстановления информации.
9.8. Уничтожение персональных данных производится в соответствии с актуальными внутренними процессами Компании.
10. ДОСТУП СОТРУДНИКОВ КОМПАНИИ К КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ.
10.1. Доступ к персональным данным предоставляется только тем работникам ООО «Бавария Реха», которым он необходим для исполнения своих непосредственных должностных обязанностей.
10.2. Работник Компании допускается к обработке персональных данных только после ознакомления с действующими нормативными правовыми актами, регламентирующими обработку персональных данных, локальными нормативными актами Компании, регламентирующими обработку Конфиденциальной информации, и после подписания обязательства о неразглашении информации, содержащей персональные данные.
11. ОТВЕТСТВЕННОСТЬ КОМПАНИИ И СОТРУДНИКОВ.
11.1. Работники Компании, виновные в нарушении нормативных правовых актов и локальных нормативных актов Компании, регулирующих процессы обработки и защиты Конфиденциальной информации, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной, уголовной ответственности в порядке, установленном действующим законодательством Российской Федерации.
12. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ.
12.1. Настоящая Политика является общедоступным документом и размещается на сайте ООО «Бавария Реха» по адресу http://www.bavariareha.ru
12.2. Граждане, чьи персональные данные обрабатываются Компанией, могут направлять вопросы по обработке своих персональных данных по адресу: Россия, 115054, Москва г, вн.тер.г. муниципальный округ Замоскворечье, ул Бахрушина, д. 19, стр. 2, помещ. II тел. +7-495-226-14-22.
При этом в тексте запроса в целях идентификации гражданина необходимо указать:
- фамилию, имя, отчество гражданина или его законного представителя, осуществляющего запрос;
- номер основного документа, удостоверяющего личность гражданина (или его законного представителя), сведения о дате выдачи указанного документа и выдавшем его органе; - сведения, подтверждающие участие в отношениях с Компанией (например, номер договора, фамилию, имя, отчество пациента), либо сведения, иным способом подтверждающие факт обработки персональных данных Компанией;
- подпись гражданина (или его законного представителя). Если запрос отправляется в электронном виде через сайт Компании, то он должен быть оформлен в виде электронного документа и подписан электронной цифровой подписью в соответствии сзаконодательством Российской федерации.