Политика обработки персональных данных Общества с ограниченной ответственностью «ЭпиЦентр»
1. Общие положения.
1.1. Настоящая Политика обработки персональных данных (далее — Политика) определяет позицию Общества с ограниченной ответственностью «ЭпиЦентр» (ООО «ЭпиЦентр», ИНН 3444184235, ОГРН 1113444015123, адрес: 400005, г. Волгоград, пр-кт им. В.И. Ленина, д. 92, помещ. 1) (далее — Оператор) в отношении обработки и защиты персональных данных.
1.2. Политика разработана в соответствии с:
— Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее -152-ФЗ);
— Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
— Трудовым кодексом Российской Федерации;
— Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
— иными нормативными правовыми актами в области обработки и защиты персональных данных.
1.3. Политика является публичным документом и подлежит размещению на официальном сайте Оператора в сети Интернет (при наличии) либо на информационном стенде в помещении Оператора, обеспечивающем неограниченный доступ к нему.
1.4. Действие Политики распространяется на все персональные данные субъектов, обрабатываемые Оператором как с использованием средств автоматизации (компьютеры, информационные системы, базы данных), так и без их использования (на бумажных носителях).
2. Основные понятия.
В настоящей Политике используются следующие основные понятия (в значении, определённом статьёй 3 152-ФЗ):
Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
Оператор — ООО «ЭпиЦентр», самостоятельно организующее и осуществляющее обработку персональных данных, определяющее цели обработки, состав персональных данных, действия (операции), совершаемые с персональными данными.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Субъект персональных данных — физическое лицо, к которому относятся обрабатываемые Оператором персональные данные. К субъектам персональных данных в ООО «ЭпиЦентр» относятся: работники, бывшие работники, кандидаты на трудоустройство, члены семей работников, пациенты (в том числе несовершеннолетние), законные представители пациентов, контрагенты (физические лица), представители контрагентов (юридических лиц).
3. Цели обработки персональных данных.
Оператор обрабатывает персональные данные в следующих целях:
1. Оформление трудовых отношений, ведение кадрового делопроизводства, исчисление и выплата заработной платы, представление установленной отчётности в государственные органы (ИФНС, Социальный фонд России, Росстат, военные комиссариаты). Субъекты персональных данных: работники, бывшие работники, кандидаты на трудоустройство.
2. Оказание платных медицинских услуг (амбулаторные приёмы врачей-неврологов, нейрохирурга, диагностические исследования — ЭЭГ, ЭЭГ-видеомониторинг, полисомнография, ЭКГ, процедуры). Субъекты персональных данных: пациенты, законные представители пациентов.
3. Ведение медицинской документации (медицинские карты форма № 025/у, протоколы исследований, направления, выписки, заключения). Субъекты персональных данных: пациенты, законные представители пациентов.
4. Оформление информированного добровольного согласия (ИДС) на медицинские вмешательства и отказов от медицинских вмешательств. Субъекты персональных данных: пациенты, законные представители пациентов.
5. Осуществление внутреннего контроля качества и безопасности медицинской деятельности. Субъекты персональных данных: пациенты.
6. Выдача по запросу пациента (его законного представителя) копий медицинских документов, выписок, справок. Субъекты персональных данных: пациенты, законные представители.
7. Рассмотрение обращений (жалоб, заявлений) пациентов и их законных представителей. Субъекты персональных данных: пациенты, законные представители.
8. Заключение, исполнение и прекращение гражданско-правовых договоров (в том числе с контрагентами — физическими лицами). Субъекты персональных данных: контрагенты (физические лица), представители контрагентов (юридических лиц).
9. Обеспечение пропускного режима, сохранности имущества и безопасности в помещениях Оператора. Субъекты персональных данных: работники, посетители.
4. Перечень обрабатываемых персональных данных.
4.1. Работники, бывшие работники, кандидаты на трудоустройство:
— фамилия, имя, отчество (при наличии);
— дата и место рождения;
— пол;
— гражданство;
— адрес места жительства и регистрации;
— контактный телефон, адрес электронной почты;
— серия, номер паспорта, дата выдачи, кем выдан, код подразделения;
— ИНН, СНИЛС;
— образование (наименование учебного заведения, год окончания, специальность, квалификация);
— сведения о трудовой деятельности (предыдущие места работы, должности, стаж);
— занимаемая должность, табельный номер;
— сведения о повышении квалификации, профессиональной переподготовке, наградах, поощрениях;
— семейное положение, наличие детей (в объёме, необходимом для предоставления гарантий и компенсаций);
— сведения о состоянии здоровья, влияющие на выполнение трудовой функции (по результатам обязательных медицинских осмотров);
— реквизиты банковской карты (счёта) для перечисления заработной платы;
— сведения о воинском учёте (для военнообязанных);
— фотография (при необходимости — с отдельного согласия).
4.2. Члены семей работников (для предоставления гарантий и компенсаций):
— фамилия, имя, отчество;
— степень родства;
— дата рождения;
— серия и номер свидетельства о рождении (для детей);
— данные документа, подтверждающего инвалидность (при наличии).
4.3. Пациенты (совершеннолетние):
— фамилия, имя, отчество (при наличии);
— дата и место рождения;
— пол;
— гражданство;
— адрес места жительства (регистрации) и фактического проживания;
— контактный телефон, адрес электронной почты (при наличии);
— серия, номер паспорта, дата выдачи, кем выдан;
— СНИЛС, ИНН (при наличии);
— сведения о состоянии здоровья (диагнозы, жалобы, анамнез, результаты инструментальных и лабораторных исследований, назначения, заключения врачей) — специальная категория персональных данных;
— данные об инвалидности (при наличии);
— место работы, должность (при наличии);
— сведения о законном представителе (если требуется по состоянию здоровья).
4.4. Законные представители пациентов:
— фамилия, имя, отчество;
— дата рождения;
— контактный телефон, адрес электронной почты;
— адрес места жительства;
— серия, номер паспорта, дата выдачи, кем выдан;
— сведения о документе, подтверждающем полномочия (свидетельство о рождении ребёнка, акт органа опеки и попечительства).
4.5. Контрагенты (физические лица) и представители юридических лиц:
— фамилия, имя, отчество;
— контактный телефон, адрес электронной почты;
— серия, номер паспорта, дата выдачи, кем выдан (при заключении договора);
— ИНН (при необходимости);
— реквизиты банковского счёта (при необходимости);
— должность (для представителей юридических лиц);
— реквизиты доверенности (при наличии).
5. Правовые основания обработки персональных данных.
Обработка персональных данных Оператором осуществляется на следующих правовых основаниях:
5.1. Согласие субъекта персональных данных.
5.2. Трудовой договор — в отношении обработки персональных данных работников.
5.3. Гражданско-правовой договор — в отношении обработки персональных данных пациентов и контрагентов.
5.4. Федеральные законы и иные нормативные правовые акты, обязывающие Оператора осуществлять обработку персональных данных:
— Трудовой кодекс РФ (ведение кадрового учёта, табелей рабочего времени);
— Налоговый кодекс РФ (исчисление и уплата налогов);
— Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учёте в системах обязательного пенсионного страхования»;
— Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» (ведение медицинской документации, врачебная тайна).
6. Принципы обработки персональных данных.
Обработка персональных данных в ООО «ЭпиЦентр» осуществляется на основе следующих принципов:
— законность и справедливость — обработка осуществляется в строгом соответствии с законом, на справедливой основе, без дискриминации;
— ограничение целями — обработка ограничивается достижением конкретных, заранее определённых и законных целей; не допускается обработка, несовместимая с целями сбора;
— соответствие содержания и объёма — обрабатываются только те персональные данные, которые отвечают целям их обработки; не допускается избыточность;
— точность и актуальность — принимаются меры по удалению или уточнению неполных или неточных данных;
— ограничение хранения — персональные данные хранятся не дольше, чем этого требуют цели их обработки (по достижении целей или утрате необходимости подлежат уничтожению);
— безопасность — при обработке обеспечивается безопасность и конфиденциальность персональных данных.
7. Порядок и условия обработки персональных данных.
7.1. Обработка персональных данных с использованием средств автоматизации осуществляется с соблюдением требований о защите информации, установленных Постановлением Правительства РФ от 01.11.2012 № 1119 и Приказом ФСТЭК России от 18.02.2013 № 21.
7.2. Обработка персональных данных без использования средств автоматизации (на бумажных носителях) осуществляется с соблюдением требований Постановления Правительства РФ от 15.09.2008 № 687, в том числе:
— раздельное хранение персональных данных, обрабатываемых в разных целях;
— хранение бумажных носителей в запираемых шкафах (сейфах);
— ограничение доступа уполномоченных лиц в помещения хранения.
7.3. Передача персональных данных третьим лицам осуществляется только:
— с письменного согласия субъекта персональных данных (отдельным документом);
— в случаях, прямо предусмотренных федеральным законом (по запросу суда, прокуратуры, следственных органов, ИФНС, Социального фонда России, военных комиссариатов).
7.4. Трансграничная передача персональных данных (передача на территорию иностранных государств) Оператором не осуществляется.
7.5. Обработка специальных категорий персональных данных (сведения о состоянии здоровья) осуществляется на основании статьи 10 152-ФЗ (в связи с оказанием медицинской помощи) и письменного согласия субъекта.
8. Права субъектов персональных данных.
Субъект персональных данных имеет право:
1. Получать информацию, касающуюся обработки его персональных данных (подтверждение факта обработки, цели, правовые основания, перечень обрабатываемых данных, источники их получения, сроки обработки и т.д.) В течение 10 рабочих дней с даты обращения (может быть продлено до 15 рабочих дней).
2. Требовать уточнения (изменения, дополнения) персональных данных, если они являются неполными, устаревшими или неточными. В течение 7 рабочих дней с даты представления подтверждающих документов.
3. Требовать блокирования или уничтожения персональных данных, если они являются незаконно полученными или не являются необходимыми для заявленной цели обработки. В течение 3 рабочих дней — блокирование, 10 рабочих дней — уничтожение (при невозможности устранения неправомерности).
4. Отозвать согласие на обработку персональных данных в любое время (письменное заявление). Уничтожение данных — в течение 30 дней (если иное не предусмотрено законом).
5 Обжаловать действия или бездействие Оператора в Роскомнадзоре или в судебном порядке.
6. Требовать возмещения убытков и компенсации морального вреда, причинённых нарушением его прав, в судебном порядке.
Порядок реализации прав:
Запрос (обращение) направляется в письменной форме по адресу: 400005, г. Волгоград, пр-кт им. В.И. Ленина, д. 92, помещ. 1, либо в форме электронного документа, подписанного электронной подписью. К запросу прилагаются копия основного документа, удостоверяющего личность субъекта, и (при необходимости) сведения, подтверждающие факт обработки данных Оператором. Оператор предоставляет ответ в той же форме, в которой поступил запрос, если иное не указано в запросе.
9. Меры по обеспечению безопасности персональных данных.
Оператор принимает следующие меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения:
1. Назначение лица, ответственного за организацию обработки персональных данных.
2. Утверждение локальных актов по обработке и защите персональных данных.
3. Ознакомление работников под подпись с локальными актами.
4. Организация контроля доступа в помещения, запираемые двери, ключи, ограничение доступа.
5. Хранение бумажных носителей в запираемых металлических шкафах (сейфах).
6. Парольная защита доступа к информационным системам, индивидуальные пароли, периодическая смена.
7. Установка и регулярное обновление антивирусного программного обеспечения на всех ПЭВМ, обрабатывающих ПДн.
8. Регистрация событий безопасности (вход/выход, доступ к файлам), ведение журналов (логов) в ИСПДн.
9. Резервное копирование баз данных, содержащих ПДн.
10. Контроль использования съёмных носителей.
11. Уничтожение персональных данных при достижении целей обработки или отзыве согласия (комиссионно, с составлением Акта).
12. Проведение внутреннего контроля (аудита) соблюдения требований не реже 1 раза в год.
10. Уничтожение персональных данных.
10.1. Персональные данные подлежат уничтожению в следующих случаях:
— достижение цели обработки;
— утрата необходимости в достижении цели;
— отзыв согласия субъектом (если иное не предусмотрено законом);
— выявление неправомерной обработки (если невозможно обеспечить правомерность);
— истечение установленного срока хранения.
10.2. Способы уничтожения:
— бумажные носители — шредирование (измельчение) или сжигание;
— электронные носители — безвозвратное удаление с многократной перезаписью (не менее 7 циклов) либо физическое уничтожение носителя (деформация, дробление).
10.3. Уничтожение оформляется Актом об уничтожении персональных данных, подписываемым комиссией и утверждаемым директором. Акты хранятся не менее 3 лет.
11. Ответственность за нарушение требований.
Оператор и его работники несут ответственность за нарушение законодательства о персональных данных в соответствии с законодательством Российской Федерации:
- Дисциплинарная ответственность: замечание, выговор, увольнение;
- Административная ответственность: штраф на должностных лиц и (или) на юридические лицо;
- Гражданско-правовая ответственность: возмещение убытков, компенсация морального вреда;
- Уголовная ответственность: штраф, обязательные работы, лишение свободы.
12. Порядок внесения изменений в Политику.
12.1. Изменения в настоящую Политику вносятся приказом директора ООО «ЭпиЦентр» в следующих случаях:
— изменение законодательства Российской Федерации о персональных данных;
— изменение организационной структуры, целей, состава или объёма обрабатываемых персональных данных;
— по результатам внутренних проверок или предписаний Роскомнадзора.
12.2. Актуальная версия Политики размещается на официальном сайте Оператора либо на информационном стенде в помещении Оператора. Дата последнего обновления указывается в верхней части документа.
12.3. Работники Оператора, имеющие доступ к персональным данным, ознакамливаются с изменениями под подпись.
13. Контактная информация Оператора.
| Реквизит | Значение |
| Полное наименование | Общество с ограниченной ответственностью «ЭпиЦентр» |
| Сокращённое наименование | ООО «ЭпиЦентр» |
| Юридический и фактический адрес | 400005, г. Волгоград, пр-кт им. В.И. Ленина, д. 92, помещ. 1 |
| ИНН | 3444184235 |
| КПП | 345901001 |
| ОГРН | 1113444015123 |
| Телефон | 88442550011, 89033732373 |
| Адрес электронной почты | epileptic-center@mail.ru |
| Официальный сайт | http://волгоградский-эпилептолог.рф |
| Директор | Беляева Екатерина Николаевна |
| Лицо, ответственное за организацию обработки ПДн | Беляева Екатерина Николаевна, директор |
14. Заключительные положения.
14.1. Настоящая Политика вступает в силу с даты её утверждения приказом директора ООО «ЭпиЦентр» и действует бессрочно до замены новой редакцией.
14.2. Контроль за исполнением Политики возлагается на лицо, ответственное за организацию обработки персональных данных.