ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. ОБЩИЕ ПОЛОЖЕНИЯ

ЦЕЛИ И ОБЛАСТЬ ПРИМЕНЕНИЯ

1.1. Настоящая Политика обработки персональных данных разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

1.2. Политика определяет порядок обработки персональных данных и защиты законных интересов субъектов персональных данных в ООО «ДЭМА», ООО «Центр красоты и здоровья «Версаль», ООО «ЦЕНТР ДЭМА», ООО «ДЭМА-Ногинск», ООО «ДЭМА-Реабилитация» (далее - центры ДЭМА, Операторы/Оператор).

1.3. Политика имеет целью закрепить принципы защиты персональных данных субъектов персональных данных Операторов, обеспечить их права и свободы, установить правила обработки персональных данных и их защиты.

1.4. Политика действует в отношении всех персональных данных, которые обрабатывают Операторы.

1.5. Политика распространяется на отношения в области обработки персональных данных, возникшие у Операторов как до, так и после утверждения настоящей Политики.

1.6. Политика разработана с учетом требований законодательных и иных нормативных правовых актов Российской Федерации в области обработки персональных данных.

1.7. Положения Политики служат основой для разработки правовых и организационно-распорядительных документов Операторов, регламентирующих процессы обработки персональных данных, а также меры по обеспечению безопасности персональных данных при их обработке.

 

ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

Врачебная тайна — сведения о факте обращения пациента за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении.

Персональные данные (ПД) — любая информация, в том числе, если применимо, составляющая врачебную тайну, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Оператор — юридическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

 

2. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Операторы осуществляет обработку персональных данных субъектов персональных данных на основе следующих принципов:

2.2. Обработка персональных данных в центрах ДЭМА осуществляется в следующих целях:

2.3. В отдельных случаях, Операторы вправе осуществлять обработку персональных данных субъекта персональных данных без получения его согласия, если такие действия необходимы для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных.

2.4. Персональные данные специальной категории обрабатываются Операторами только при наличии согласия субъекта в письменной форме.

2.5. Операторы не осуществляют обработку иных персональных данных, которые не отвечают целям такой обработки, а также законным правам и интересам субъекта персональных данных.

2.6. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Операторы осуществляют обработку персональных данных, в том числе:

2.7. Правовым основанием обработки персональных данных также являются:

2.8. Операторы самостоятельно и за свой счет обеспечивают организационно—технические мероприятия, а также принимают меры по обеспечению защиты персональных данных субъектов персональных данных.

 

3. ПОРЯДОК ПОЛУЧЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Субъект персональных данных предоставляет персональные данные, а Оператор осуществляет их дальнейшую обработку на основании письменного согласия за исключением случаев, предусмотренных законодательством.

3.2. Оператор гарантирует, что субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных», возлагается на Оператора.

 

3.3. Письменное согласие:

3.3.1. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным.

3.3.2. Форма письменного согласия на обработку персональных данных определяется Оператором, и утверждается руководителем Оператора.

3.3.3. Форма письменного согласия в обязательном порядке включает в себя следующее:

3.3.4. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе является согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

3.3.5. Субъект персональных данных вправе дать отдельное предварительное согласие на обработку персональных данных в целях продвижения товаров, работ, услуг Оператора на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи.

3.3.6. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

 

4. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Порядок обработки персональных данных субъектов определяется должностными инструкциями Операторов, приказами и иными локальными нормативными актами.

4.2. Обработка Операторами персональных данных субъектов персональных данных осуществляется автоматизированным и неавтоматизированным способами (смешанный тип).

4.3. Обработка персональных данных – общие положения:

 

4.3.1. Правом обработки персональных данных субъекта наделяются работники Операторов, допущенных к работе с теми или иными персональными данными, а также третьи лица, которые имеют доступ к персональным данным субъекта в силу договорных отношений с Операторами при условии соблюдения условия о конфиденциальности персональных данных.

4.3.2. Работнику Оператора предоставляется право использовать только те персональные данные, использование которых необходимо для реализации, закрепленной за ним трудовой функции, и возложенных на него трудовых обязанностей.

4.3.3. Перечень лиц, имеющих доступ к тем или иным персональным данным, устанавливается руководителем Оператора, путем подписания соответствующего приказа, если иное не вытекает из другого локального нормативного акта, утвержденного Оператором в установленном порядке.

 

4.4. Хранение носителей персональных данных:

4.4.1. Хранение носителей персональных данных осуществляется в соответствии с условиями настоящей Политики, должностными инструкциями и иными локальными нормативными актами, утвержденными Операторами.

4.4.2. Хранение бумажных носителей персональных данных (медицинские карты, распечатки и иные документы), а также цифровых носителей (жесткие диски, CD, флеш–карты и др.) осуществляется в специально предназначенных для этого шкафах или иных местах хранения, установленных Операторами.

4.4.3. Доступ к таким помещениям, в которых хранятся шкафы, содержащие носители персональных данных субъектов персональных данных, имеют лишь уполномоченные сотрудники.

4.4.4. В случае возникновения необходимости доступа в такое помещение лицом, доступ которого к персональным данным должен быть ограничен (уборка, ремонтные работы и др.), необходимо обеспечить достаточные меры, которые позволят не допустить реализации актуальных угроз персональных данных.

 

4.5 Актуализация, исправление, удаление и уничтожение персональных данных:

4.5.1. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

4.5.2. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

4.5.3. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.

4.5.4. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

4.5.5. При обращении субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных в срок, не превышающий 10 рабочих дней с даты получения Оператором соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных Законом о персональных данных. Указанный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока.

 

5. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Защита персональных данных — комплекс мер, направленных на:

5.2. Операторы принимают необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:

5.3. Защита персональных данных субъектов персональных данных осуществляется силами всех сотрудников Операторов на основании комплекса утвержденных документов и мер, регламентирующих правила обработки персональных данных, а также может осуществляться путем привлечения специализированных организаций.

5.4. Защита персональных данных в информационных системах персональных данных, используемых Операторами, осуществляется в соответствии с данной Политикой, должностными инструкциями и иными локальными нормативными актами, принятыми Операторами.

 

6. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

6.2. Сведения, указанные в п. 6.1 Политики, должны быть предоставлены субъектам персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

6.3. Сведения, указанные п. 6.1 Политики, предоставляются субъекту персональных данных или его представителю Операторами при обращении либо при получении Запроса субъекта персональных данных или его представителя в течение 10 (десяти) рабочих дней с даты получения соответствующего запроса.

6.4. Запрос, указанный в п. 6.3 Политики, должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, номер амбулаторной карты и др.), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

6.5. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если такие данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

6.6. В отдельных случаях, предусмотренных законодательством, право субъекта персональных данных на доступ к его персональным данным может быть ограничено.

 

6.7. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований законодательства или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

6.8. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

 

7. ОТВЕТСТВЕННОСТЬ РАБОТНИКОВ ОПЕРАТОРОВ

7.1. Лица, виновные в нарушении норм, устанавливающих, обработку и защиту персональных данных субъектов персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством Российской Федерации.