Политика обработки и защиты персональных данных в ООО  «Стоматология  МАРИНА»

1. Термины и определения

Информационная безопасность — свойство информации сохранять конфиденциальность, целостность и доступность (в некоторых случаях, также свойство сохранять аутентичность, подотчетность, неотказуемость и надежность).

Информационная система персональных данных (ИСПДн) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Материальный носитель — бумажные носители (оригиналы документов, содержащие персональные данные; документы в печатной форме, полученные на основе информации, хранимой в информационных системах — выписки, отчеты, и т.п.), а также электронные носители информации, в том числе, отчуждаемые (USB flash, CD диски, и т.п.).

Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Субъект ПДн — физическое лицо, персональные данные которого обрабатываются в ООО «Стоматология МАРИНА».

Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2. Общие положения

Политика обработки и защиты персональных данных в ООО «Стоматология МАРИНА» (далее — «Политика») определяет принципы, цели и условия обработки персональных данных (далее — ПДн), а также стратегию их защиты в ООО «Стоматология МАРИНА».

Настоящая Политика является основным руководящим внутренним документом ООО «Стоматология МАРИНА», определяющим требования, предъявляемые в отношении обработки и обеспечения безопасности ПДн.

Внутренние документы ООО «Стоматология МАРИНА», регламентирующие вопросы, рассматриваемые в настоящей Политике, должны разрабатываться с учетом положений настоящей Политики и не противоречить им.

Политика разработана в целях реализации положений законодательства Российской Федерации в отношении обработки ПДн, а также требований нормативных и методических документов по защите ПДн.

3. Принципы обработки персональных данных в Медицинском центре

Обработка ПДн в ООО «Стоматология МАРИНА» осуществляется на основе принципов:

• законности и справедливости целей и способов обработки ПДн;
• соответствия целей обработки ПДн законным целям, заранее определенным и заявленным при сборе ПДн, а также полномочиям ООО «Стоматология МАРИНА» ;
• соответствия объема и содержания обрабатываемых ПДн, способов обработки ПДн целям обработки ПДн;
• точности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн;
• недопустимости объединения созданных для несовместимых между собой целей баз данных, содержа­щих ПДн;
• хранения ПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, или устанавливающий срок хранения федеральный закон, договор, стороной которого, выго­доприобретателем или поручителем по которому является субъект ПДн;
• уничтожения ПДн по достижении целей их обработки, в случае утраты необходимости в достижении целей обработки или по окончании срока хранения ПДн, установленного федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн.

Обработка ПДн в ООО «Стоматология МАРИНА» осуществляется путем сбора, записи, систематиза­ции, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (предо­ставления, доступа), обезличивания, блокирования, удаления, уничтожения ПДн.

4. Цели и правовые основания обработки персональных данных

ООО «Стоматология МАРИНА» осуществляет обработку ПДн в целях:

• принятия решения о трудоустройстве;
• обеспечения соблюдения законов и иных нормативных правовых актов, содействия сотрудникам в тру­доустройстве, получении образования и продвижении по службе, обеспечения личной безопасности сотрудни­ков, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
• принятия решения о заключении договора на оказание медицинских услуг, заключение и исполнение такого договора).

Правовыми основаниями для обработки ПДн являются, в том числе:

Федеральный закон Российской Федерации от 30 ноября 1994 г. № 51-ФЗ «Гражданский кодекс Российской Федерации (часть первая)»;

• Федеральный закон Российской Федерации от 26 января 1996 г. № 14-ФЗ «Гражданский кодекс Российской Федерации (часть вторая)»;
• Федеральный закон Российской Федерации от 31 июля 1998 года № 146-ФЗ «Налоговый кодекс Российской Федерации»;
• Федеральный закон Российской Федерации от 30 декабря 2001 г. № 197-ФЗ «Трудовой кодекс Российской Федерации»;
• Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации»;
• Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — «ФЗ «О персональных данных»);
• Федеральный закон от 1 апреля 1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
• Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Постановление правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Устав ООО «Стоматология МАРИНА».

 ООО «Стоматология МАРИНА» обрабатывает ПДн, ставшие известными ему в связи с реализацией задач и целей деятельности, а также в результате, но не ограничиваясь:

• заключения трудовых или гражданско-правовых договоров (договоров об оказании услуг, договор подряда и др.);
• поступления в ООО «Стоматология МАРИНА» письменных, в том числе электронных, обращений, за­просов, заявлений, жалоб, ходатайств;
• заключения соглашений о сотрудничестве;
• заключения соглашений о конфиденциальности;
• получения учредительных документов юридических лиц, доверенностей, уполномочивающих физических лиц представлять интересы юридического или физического лица в его отношениях с Медицинским цен­тром, иных документов для последующего заключения с Медицинским центром граж­данско-правовых договоров и договоров оказания услуг;
• получения любых иных документов от Контрагентов, необходимых для заключения ООО «Стоматология МАРИНА» договоров с такими лицами;
• осуществления иных действий, предусмотренных действующим законодательством Российской Федерации или внутренними политиками Медицинского центра.

5. Обрабатываемые персональные данные

ООО «Стоматология МАРИНА» обрабатывает ПДн следующих субъектов ПДн:

• соискатели вакантной должности;
• сотрудник/бывший сотрудник;
• клиент (пациент);
• законный представитель пациента;
• третье лицо, которому пациент/законный представитель пациента предоставил право запроса и получения сведений;
• представитель контрагента.

В соответствии с положениями Постановления Правительства РФ от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» в  ООО «Стоматология МАРИНА» обрабатываются следующие ПДн:

• специальные категории персональных данных — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;
• общедоступные персональные данные — персональные данные, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Закона о персональных данных;
• иные категории персональных данных — персональные данные, не отнесенные к категориям: специальные, биометрические и общедоступные персональные данные.

ООО «Стоматология МАРИНА» может разместить в сервисах счетчики, которые используются для ана­лиза cookie файлов, для сбора и обработки статистических данных об использовании сервисов, обеспечения работоспособности сервисов в целом или их отдельных функций в частности.

ООО «Стоматология МАРИНА» определяет структуру файла cookie, параметры работы счетчиков.

Полный перечень ПДн, обрабатываемых в ООО «Стоматология МАРИНА», определяется отдельным документом «Перечень персональных данных», утверждаемым директором  ООО «Стоматология МАРИНА».

6. Условия обработки персональных данных

Обработка ПДн  ООО «Стоматология МАРИНА» допускается в следующих случаях:

• обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;
• обработка ПДн необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации;
• обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн;
• обработка ПДн осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания ПДн;
• осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

ООО «Стоматология МАРИНА» вправе поручить обработку ПДн ООО «ХХХ» с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с ООО «ХХХ» договора (по­ручения на обработку ПДн). Лицо, осуществляющее обработку ПДн по поручению ООО «Стоматология МАРИНА», обязано соблюдать принципы и правила обработки ПДн, предусмотренные ФЗ «О персональных данных».

В поручении третьему лицу ООО «Стоматология МАРИНА» должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 ФЗ «О персональных данных», обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 ФЗ «О персональных данных», в том числе требование об уведомлении оператора о случаях, предусмотренных частью 3.1 статьи 21 ФЗ «О персональных данных».

ООО «Стоматология МАРИНА» не осуществляет трансграничную передачу ПДн.

Обработка ПДн прекращается ООО «Стоматология МАРИНА» в следующих случаях:

• при выявлении неправомерных действий с ПДн в срок, не превышающий трех рабочих дней с даты такого выявления, ООО «Стоматология МАРИНА» устраняет допущенные нарушения. В случае невозможности устранения допущенных нарушений ООО «Стоматология МАРИНА» в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с ПДн, уничтожает ПДн. Об устранении допущенных нару­шений или об уничтожении ПДн ООО «Стоматология МАРИНА» уведомляет субъекта ПДн или его законного представителя, а в случае, если обращение или запрос были направлены в уполномоченный орган по защите прав субъектов ПДн, также этот орган;
• при достижении цели обработки ПДн ООО «Стоматология МАРИНА» незамедлительно прекращает об­работку ПДн и уничтожает соответствующие ПДн в срок, не превышающий тридцати рабочих дней с даты достижения цели обработки ПДн;
• при отзыве субъектом ПДн согласия на обработку своих ПДн ООО «Стоматология МАРИНА» прекра­щает обработку ПДн и уничтожает (за исключением ПДн, которые хранятся в соответствии с действующим законодательством) ПДн в срок, не превышающий тридцати рабочих дней с даты поступления указанного от­зыва. Об уничтожении ПДн ООО «Стоматология МАРИНА» уведомляет субъекта ПДн.

7. Согласие на обработку персональных данных

Получение и обработка ПДн в случаях, предусмотренных ФЗ «О персональных данных», осуществляется в ООО «Стоматология МАРИНА» с согласия субъекта ПДн, в том числе в письменной форме.

Письменное согласие субъекта ПДн должно включать:

• фамилию, имя, отчество, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе:
• наименование и адрес ООО «Стоматология МАРИНА»;
• цель обработки ПДн;
• перечень ПДн, на обработку которых дается согласие субъекта ПДн;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению ООО «Стоматология МАРИНА», если обработка будет поручена такому лицу;
• перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых в ООО «Стоматология МАРИНА» способов обработки ПДн;
• срок, в течение которого действует согласие, а также способ его отзыва;
• подпись субъекта ПДн.

Типовые формы согласий на обработку ПДн утверждаются приказом директором ООО «Стоматология МАРИНА».

Субъект ПДн дает ООО «Стоматология МАРИНА» согласие на обработку своих ПДн свободно, в своей воле и своем интересе. Согласие на обработку ПДн может быть отозвано субъектом ПДн путем направ­ления в ООО «Стоматология МАРИНА» письменного заявления в свободной форме. В этом случае ООО «Стоматология МАРИНА» обязуется прекратить обработку, а также уничтожить все имеющиеся в ООО «Стоматология МАРИНА» ПДн в сроки, установленные ФЗ «О персональных данных».

ООО «Стоматология МАРИНА» вправе обрабатывать ПДн без согласия субъекта ПДн (или при отзыве субъектом ПДн указанного согласия) при наличии оснований, указанных в пп. 2-11 ч. 1 ст. 6, ч. 2. ст. 10 и ч. 2 ст. 11 ФЗ «О персональных данных».

Передача ПДн третьим лицам осуществляется ООО «Стоматология МАРИНА» с согласия субъекта ПДн в соответствии с требованиями действующего законодательства.

8. Права субъектов персональных данных

Субъект ПДн имеет право на получение информации, касающейся обработки в ООО «Стоматология МАРИНА» его ПДн, в том числе содержащей:

• подтверждение факта обработки ПДн ООО «Стоматология МАРИНА»;
• правовые основания и цели обработки ПДн;
• цели и применяемые в ООО «Стоматология МАРИНА» способы обработки ПДн;
• наименование и местонахождение ООО «Стоматология МАРИНА», сведения о лицах (за исключением сотрудников ООО «Стоматология МАРИНА»), которые имеют доступ к ПДн или которым могут быть рас­крыты ПДн на основании договора с ООО «Стоматологии МАРИНА» или на основании федерального закона;
• обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• сроки обработки ПДн, в том числе сроки их хранения;
• порядок осуществления субъектом ПДн прав, предусмотренных ФЗ «О персональных данных»;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поруче­нию ООО «Стоматология МАРИНА», если обработка поручена или будет поручена такому лицу;
• информацию о способах исполнения ООО «Стоматология МАРИНА» обязанностей, установленных статьей 18.1 ФЗ «О персональных данных»;
• иные сведения, предусмотренные ФЗ «О персональных данных» или другими федеральными законами.

ООО «Стоматология МАРИНА»  предоставляет указанную информацию на основании соответствующего письменного заявления субъекта ПДн (далее — Заявление), поданного по адресу места нахождения ООО «Стоматология МАРИНА»: г. Тюмень ул.Широтная д.114 кор2 помещ.114 к.2/2, или направленного на почтовый адрес ООО «Стоматология МАРИНА» : 625046, г. Тюмень, ул.Широтная д.114 кор.2 помещ.114 к2/2. Заявление должно содержать номер основного документа, удостоверяющего личность субъ­екта ПДн, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с ООО «Стоматология МАРИНА»  (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтвержда­ющие факт обработки ПДн в ООО «Стоматология МАРИНА», подпись субъекта ПДн. ООО «Стоматология МАРИНА» обязуется сообщить субъекту ПДн информацию о наличии ПДн, относящихся к соответствующему субъ­екту ПДн в течение десяти рабочих дней с даты получения Заявления субъекта ПДн.

Субъект ПДн вправе требовать от ООО «Стоматология МАРИНА» уточнения его ПДн, их блокирова­ния или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно получен­ными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Если субъект ПДн считает, что ООО «Стоматология МАРИНА» осуществляет обработку его ПДн с нару­шением требований ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие ООО «Стоматология МАРИНА» в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке.

Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными зако­нами Российской Федерации.

9. Обеспечение безопасности персональных данных

ООО «Стоматология МАРИНА» не несет ответственности, если ПДн стали известны неограниченному кругу лиц по вине самого субъекта ПДн.

Для обеспечения безопасности ПДн в ООО Стоматология МАРИНА» принимаются организационные и технические меры, включающие в том числе:

• назначение лица, ответственного за организацию обработки ПДн, определение его функций и полномо­чий;
• назначение лица, ответственного за обеспечение безопасности ПДн, определение его функций и полно­мочий;
• разработка и поддержание актуальности комплекта внутренних нормативных документов в отношении обработки и защиты ПДн;
• проведение оценки вреда, который может быть причинен субъектам ПДн в случае нарушения ФЗ «О персональных данных», а также соотношение указанного вреда с принимаемыми мерами по безопасности ПДн;
• ознакомление сотрудников ООО «Стоматология МАРИНА», непосредственно осуществляющих обра­ботку ПДн, с положениями законодательства Российской Федерации и внутренних нормативных документов ООО «Стоматология МАРИНА» в отношении обработки и защиты ПДн, периодическое обучение вопросам обработки и защиты ПДн;
• определение угроз безопасности ПДн при их обработке в ИСПДн;
• учет сотрудников, допущенных к обработке ПДн;
• учет материальных носителей ПДн;
• применение технических средств защиты информации;
• периодический внутренний контроль, а также внешний аудит соответствия обработки ПДн требованиям ФЗ «О персональных данных» и принятым в соответствии с ним нормативно-правовым актам;
• обнаружение фактов несанкционированного доступа к ПДн и принятием мер;
• восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного до­ступа к ним;
• установление правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
• контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.

Комплекс мероприятий и технических средств по обеспечению безопасности ПДн в ООО «Стоматология МАРИНА» формулируется с учетом результатов оценки возможного вреда субъекту ПДн, который может быть нанесен в случае нарушения безопасности его ПДн, актуальности угроз безопасности ПДн, а также уста­новления уровня защищенности ПДн.

10. Контроль за соблюдением законодательства РФ и локальных нормативных актов Медицинского цен­тра в области персональных данных

Контроль за соблюдением подразделениями ООО «Стоматология МАРИНА» локальных нормативных актов ООО «Стоматология МАРИНА» в области ПДн осуществляется с целью проверки соответствия процес­сов обработки и защиты ПДн требованиям законодательства РФ в области ПДн, а также выявления возможных каналов утечки и несанкционированного доступа к ПДн.

Внутренний контроль за соблюдением подразделениями  ООО « Стоматология МАРИНА» требований законодательства РФ и локальных нормативных актов ООО «Стоматология МАРИНА» в области ПДн осу­ществляется лицами, ответственными за обработку и защиту ПДн в ООО «Стоматология МАРИНА».

Сотрудники ООО Стоматология МАРИНА», виновные в нарушении норм, регулирующих обработку и защиту ПДн, установленных в ООО «Стоматология МАРИНА», могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной или уголовной ответственности в соответствии с зако­нодательством РФ.

11. Заключительные положения

Настоящая Политика является публичным, равнодоступным документом и предоставляется для озна­комления неограниченному кругу лиц на сайте ООО «Стоматология МАРИНА»: https://www.stom72.ru/.

Внесение изменений в настоящую Политику может вызвано изменениями в законодательстве Россий­ской Федерации, внутренних документах ООО «Стоматология МАРИНА», информационных системах ПДн, системе защиты ПДн.

Все изменения и дополнения, внесенные в настоящую Политику, утверждаются в порядке, предусмот­ренном в ООО «Стоматология МАРИНА».

Все сотрудники ООО «Стоматология МАРИНА» подлежат обязательному ознакомлению с настоящей Политикой и несут предусмотренную законодательством Российской Федерации ответственность за нарушение её положений.

Вопросы толкования настоящей Политики необходимо адресовать в ООО   «Стоматология МАРИНА».