Политика обработки персональных данных
Политика в области обработки и защиты персональных данных Медицинского центра «ЭмДиСи»
1.1. Настоящий документ определяет политику ООО «ЭмДиСи» (далее – Оператор) в отношении обработки персональных данных (далее – ПДн).
1.2. Настоящая политика в области обработки и защиты ПДн (далее – Политика) разработана в соответствии с п. 2 ст. 18.1 Федерального закона «О персональных данных» №152-ФЗ от 27 июля 2006 года и действует в отношении всех персональных данных, обрабатываемых Оператором.
1.3. Целью настоящей Политики является защита интересов Оператора, его работников, субъектов ПДн, обрабатываемых Оператором, а также исполнение законодательства Российской Федерации о персональных данных.
1.4. Политика распространяется на Данные полученные как до, так и после подписания настоящей Политики.
2. Общие положения
2.1. В целях поддержания деловой репутации и гарантирования выполнения норм федерального законодательства в полном объеме Оператор считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных, а также обеспечение безопасности процессов их обработки.
2.2. Политика характеризуется следующими признаками:
2.2.1. Разработана в целях обеспечения реализации требований законодательства РФ в области обработки ПДн субъектов персональных данных.
2.2.2. Раскрывает основные категории персональных данных, обрабатываемых Оператором, цели, способы и принципы обработки Оператором ПДн, права и обязанности оператора при обработке ПДн, права субъектов ПДн, а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности ПДн при их обработке.
2.2.3. Является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке ПДн.
2.3. Действие настоящего документа распространяется на все процессы, в рамках которых осуществляется обработка персональных данных субъектов ПДн всех категорий.
3. Информация об Операторе
ООО «ЭмДиСи», ИНН 7801327554, КПП 780101001, ОГРН 1177847050633
Юридический адрес 199004, город Санкт-Петербург, лн. 4-я В.О., д. 57 литер а, помещ. 3-н. Телефон: +7 981 276-48-93
4. Правовые основания обработки персональных данных
4.1. Политика Оператора в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами РФ:
4.1.1. Конституцией Российской Федерации.
4.1.2. Трудовым кодексом Российской Федерации.
4.1.3. Гражданским кодексом Российской Федерации.
4.1.4. Федеральным законом от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».
4.1.5. Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
4.1.6. Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
4.1.7. Федеральный закон от 21.11.2011 N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
4.1.8. Постановление Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
4.1.9. Постановление Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
4.1.10. Приказ ФСТЭК России от 18.02.2013 N 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
4.1.11. Приказ ФСТЭК России от 18.02.2013 N 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
4.2. Во исполнение настоящей Политики Оператором утверждены следующие локальные нормативные правовые акты:
4.2.1. Положение о персональных данных в ООО «ЭмДиСи».
4.2.2. Приказ о назначении ответственных лиц за работу с персональными данными сотрудников, за компьютерную обработку персональных данных пациентов, за обеспечением информационной безопасности.
4.2.3. Порядок доступа работников Оператора к сведениям конфиденциального характера.
4.2.3. Перечень обрабатываемых персональных данных.
4.2.4. Перечень должностей, работников, допущенных к обработке персональных данных.
4.2.5. Регламенты взаимодействия с субъектами персональных данных (запросы).
4.2.6. Модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных.
4.2.7. Акты классификации информационных систем персональных данных.
5. Цели обработки персональных данных
5.1. Оператор обрабатывает персональные данные исключительно в следующих целях:
5.1.1. Исполнения положений нормативных актов, указанных в п.4.1. настоящей Политики.
5.1.2. Принятие решения о трудоустройстве соискателя.
5.1.3. Заключения и выполнения обязательств по трудовым договорам, договорам гражданско-правового характера и договорам с контрагентами.
5.1.4. Предоставления субъектам персональных данных квалифицированной медицинской помощи, учета результатов договорных обязательств, а также наиболее полного исполнения учреждением обязательств и компетенций в соответствии с Федеральным законам «Об обязательном медицинском страховании граждан в Российской Федерации» от 29 ноября 2010 года № 326-ФЗ и Федеральным законом «Об основах охраны здоровья граждан в Российской Федерации» от 21.11.2011 № 323-ФЗ.
5.1.5. Сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, передача ПД по системе «VipNet» и «ПроМед». Обработка персональных данных: смешанная; с передачей по внутренней сети Оператора, без передачи по сети Интернет.
Обработка персональных данных пациентов Оператора осуществляется для решения следующих задач:
- Осуществление расчетов с ФОМС и страховыми организациями за оказание медицинских услуг застрахованным.
- Формирования отчетов по поликлинике и стационару.
- Назначение и начисление счетов на оказание услуг и иных выплат.
-Бухгалтерский учет и контроль финансово-хозяйственной деятельности Оператора и исполнения финансовых обязательств по заключенным договорам.
- Обработка амбулаторных карт (в т.ч. в электронной форме).
- Поддержание контактов с законными представителями субъекта персональных данных.
- Проведение лечебно-профилактических мероприятий.
- Иные задачи, необходимые для повышения качества и эффективности деятельности Оператора.
6. Категории обрабатываемых персональных данных
6.1. В информационных системах персональных данных Оператора обрабатываются следующие категории персональных данных:
6.1.1. Персональные данные сотрудников.
6.1.2. Персональные данные кандидатов на замещение вакантных должностей Оператора.
6.1.3. Персональные данные пациентов — лиц, которым оказываются или уже оказаны медицинские услуги специалистами Оператора.При обращении к Оператору пациент предоставляет следующую информацию:
- ФИО.
- Дата рождения.
- Адрес прописки.
- Адрес фактического проживания.
- Паспортные данные.
- Данные полиса медицинского страхования.
- СНИЛС.
- Рабочее положение, место работы.
- Социальная категория.
- Пол.
- Профессия.
- Данные о состоянии здоровья (история болезни, цель посещения, исход лечения и т.д.).
Данная информация собирается исключительно с письменного согласия на обработку персональных данных субъекта персональных данных или его законного представителя. При отказе субъекта персональных данных дать согласие ему объясняются последствия такого отказа.
В соответствии с ст. 7 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» Учреждение не раскрывает персональные данные третьим лицам и не распространяет их без согласия субъекта персональных данных.
Субъект персональных данных имеет право на доступ к своим персональным данным по письменному запросу на имя Главного врача. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя
7. Принципы обработки персональных данных
7.1. Оператор в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в ст. 5 Федерального закона 152-ФЗ «О персональных данных».
7.2. Оператор не осуществляет обработку биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).
7.3. Оператор не производит трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных.
8. Сведения о третьих лицах, участвующих в обработке персональных данных
8.1. В целях соблюдения законодательства РФ, для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных Оператор в ходе своей деятельности предоставляет персональные данные следующим организациям:
8.1.1. Федеральной налоговой службе.
8.1.2. Пенсионному фонду Российской Федерации.
8.1.3. Фонду медицинского страхования Российской Федерации.
8.1.4. Кредитным организациям.
8.1.5. Организациям в соответствии с заключенными государственными контрактами на поставку технических средств реабилитациии на выполнение работ по обеспечению инвалидов протезно-ортопедическими изделиями.
9. Меры по обеспечению безопасности персональных данных при их обработке
9.1.Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:
9.1.1. Назначением ответственных за организацию обработки персональных данных.
9.1.2. Осуществлением внутреннего контроля и/или аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам.
9.1.3. Ознакомлением работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных, и (или) обучением указанных сотрудников.
9.1.4. Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
9.1.5. Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных.
9.1.6. Учетом машинных носителей персональных данных.
9.1.7. Выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер.
9.1.8. Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
9.1.9. Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
9.1.10. Контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.
9.1.11. Применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
9.2. Обязанности должностных лиц, осуществляющих обработку и защиту ПДн, а также их ответственность, определяются в «Положении о персональных данных».
10. Права субъектов персональных данных
10.1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Оператором.
10.2. Субъект персональных данных вправе требовать от Оператора, который их обрабатывает, уточнения этих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
10.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.
10.4. Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться к Оператору. Тот рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
10.5. Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных (см.п.11.2).
10.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке
11. Контроль и надзор за обработкой персональных данных
11.1. Ответственным за организацию обработки и обеспечения безопасности персональных данных в ООО «ЭмДиСи» назначен заместитель генерального директора Карпенко Сергей Павлович
11.2. Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных», являетсяфедеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
11.2. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.
12. Заключительные положения
12.1. Настоящая политика утверждается главным врачом.
12.2. Оператор имеет право вносить изменения в настоящую Политику.
12.3.При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее утверждения и размещения на сайте Оператора, если иное не предусмотрено новой редакцией Политики.
12.4. Настоящая политика обязательна для соблюдения и ознакомления всех сотрудников Оператора
Комментарии