ООО «Клиника психотерапии и восстановительной медицины»

Политика защиты личных данных в компании

О защите персональных данных пользователей Cайта, работников и пациентов ООО «Клиника психотерапии и восстановительной медицины» (Политика защиты персональных данных субъектов персональных данных)
1. Общие положения
1.1. Настоящее Положение определяет порядок создания, обработки (получения, использования, хранения, уточнения (обновления, изменения), распространения (в том числе передачи), обезличивания, блокирования, уничтожения, защиты) персональных данных пользователей Cайта, работников и пациентов ООО "Клиника Психотерапии и Восстановительной Медицины" (394036, Воронежская область, город Воронеж, Кольцовская ул., д. 9, неж. пом. XXIV, офис 215 ), ИНН 3666163300, ОГРН 1103668004164, далее — Клиника), а также гарантии обеспечения конфиденциальности сведений о них.

1.2. Настоящее Положение разработано на основании: Конституции Российской Федерации, Гражданского кодекса Российской Федерации, Трудового кодекса Российской Федерации, Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных», Федерального закона Российской Федерации от 21 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»; Указа Президента РФ от 06 марта 1997 г. № 188 (ред. от 23 сентября 2005 г.) «Об утверждении перечня сведений конфиденциального характера»; Постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», и иных нормативных правовых актов Российской Федерации.

1.3. Требования настоящего Положения распространяются на всех работников и пациентов Клиники, а также пользователей Сайта, оставляющих на нем свои персональные данные.



2. Основные понятия, обозначения
В настоящем Положении используются следующие понятия и термины:
Пользователь Cайта– физическое лицо, посетитель Сайта, принимающий условия настоящей Политики и передающий Оператору персональные данные посредством Сайта;
Сайт – https://clinicpvm.ru/
Работник— физическое лицо, вступившее в трудовые отношения с работодателем;
Работодатель ООО «Клиника психотерапии и восстановительной медицины»;
Пациенты — лица, обратившиеся за медицинской помощью, лица – получатели платных медицинских, психологических или иных услуг, состоящие в договорных отношениях с Клиникой.
Субъекты персональных данных — работники и пациенты Клиники, пользователи Сайта.
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Оператор – Клиника и должностные лица Клиники, организующие и (или) осуществляющие обработку персональных данных;
Обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
Использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающие права и свободы субъекта персональных данных или других лиц;
Блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
Безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.
Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;
Обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
Конфиденциальность персональных данных — обязательное для соблюдения должностным лицом Клиники, иным получившим доступ к персональным данным лицом требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных или наличия иного законного основания;
Информация — сведения (сообщения, данные) независимо от формы их представления;
Доступ к информации — возможность получения информации и ее использования.



3. Цели и задачи

3.1. Целями настоящего Положения выступают:

3.1.1. обеспечение соответствия законодательству Российской Федерации действий работников Клиники, направленных на обработку персональных данных в Клинике;

3.1.2. обеспечение защиты персональных данных от несанкционированного доступа, утраты, неправомерного их использования или распространения.

3.2. Задачами настоящего Положения являются:

3.2.1. определение состава и категории обрабатываемых персональных данных в Клинике.

3.2.2. определение принципов, порядка обработки персональных данных;

3.2.3. определение условий обработки персональных данных, способов защиты персональных данных;

3.2.4. определение прав и обязанностей Клиники и субъектов персональных данных при обработке персональных данных.



4. Понятие и состав персональных данных

4.1. Клиника осуществляет обработку следующих персональных данных: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; адрес; семейное положение; образование; профессия; доходы; пол; гражданство; паспортные данные; стаж работы; сведения о воинском учете; сведения об аттестации, повышении квалификации, профессиональной переподготовке; сведения о наградах, почетных званиях; сведения о социальных гарантиях; сведения о состоянии здоровья; контактные телефоны и адреса электронной почты; СНИЛС; ИНН; место работы; полис ДМС либо номер договора; другие данные, которые субъект персональных данных предоставил Клинике.

4.2. Клиника осуществляет обработку персональных данных следующих категорий субъектов: работников, состоящих в трудовых отношениях с Клиникой; пациентов Клиники и их ближайших родственников (при предоставлении пациентами данных о них); физических лиц – пользователей Сайта Клиники.

4.3. Информация о персональных данных может содержаться: на бумажных носителях; на электронных носителях; в информационно-телекоммуникационных сетях и иных информационных системах Клиники.

4.4. Обработка персональных данных в Клинике происходит как неавтоматизированным, так и автоматизированным способом. Клиника самостоятельно устанавливает способы обработки персональных данных в зависимости от целей такой обработки и материально-технических возможностей Клиники.

4.5. Персональные данные работников Клиники содержатся в следующих документах (копиях указанных документов): заявления работников (о принятии на работу, об увольнении и т.п.); паспорт (или иной документ, удостоверяющий личность); трудовая книжка; страховое свидетельство государственного пенсионного страхования; свидетельство о постановке на учёт в налоговый орган и присвоении ИНН; документы воинского учёта; документы об образовании, о квалификации или наличии специальных знаний, специальной подготовки; карточка Т-2; медицинское заключение о состоянии здоровья, медицинская справка о прохождении медицинских осмотров; документы, содержащие сведения об оплате труда; другие документы, содержащие персональные данные и предназначенные для использования в служебных целях.

4.6. Персональные данные пациентов Клиники содержатся в следующих документах: Медицинская карта амбулаторного больного; Договоры на оказание платных услуг (с приложениями, дополнительными соглашениями); Заявления и другие документы, поступающие в Клинику от пациентов.

4.7. Персональные данные пользователей Сайта могут включать в себя: фамилию, имя, отчество, e-mail и номер телефона Пользователей Сайта. Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан пользователей сайта в отчетах в бумажном и электронном виде. Предоставляя Оператору свои персональные данные, Пользователь Сайта дает согласие на обработку Оператором персональных данных в соответствии с настоящей Политикой, на использование указанных Пользователем Сайта персональных данных для связи с Пользователем Сайта, в том числе для осуществления рассылок рекламного и информационного характера, содержащих информацию о скидках, предстоящих и действующих акциях и других мероприятиях Оператора.



5. Создание и обработка персональных данных

5.1. Создание/получение персональных данных
Документы, содержащие персональные данные, создаются/получают в Клинике путём:
· копирования оригиналов (паспорт, свидетельство ИНН, свидетельство государственного пенсионного страхования и др.);
· внесения сведений в учётные формы (на бумажных и электронных носителях);
· получения оригиналов необходимых документов (трудовая книжка, личный листок по учёту кадров, др.).
· Внесения в информационные системы Клиники.

5.2. Основы организации обработки персональных данных в Клинике (цели, принципы, правовые основы, права и обязанности субъектов персональных данных)
5.2.1. Обработка персональных данных физических лиц в Клинике осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, федеральных законов, иных нормативных правовых актов Российской Федерации и реализации уставных задач Клиники.

5.2.2.Принципы обработки персональных данных:
· законность целей и способов обработки персональных данных;
· соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Клиники;
· соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
· достоверность персональных данных, их достаточность для целей обработки, недопустимость обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
· недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем, содержащих персональные данные.

5.2.3. Правовыми основаниями обработки персональных данных работников Клиники выступают трудовое законодательство РФ и иные нормативные правовые акты, содержащие нормы трудового права; пациентов — законодательство РФ, лицензия на осуществление медицинской деятельности, гражданско-правовые договоры, также согласие субъекта персональных данных; пользователей Сайта – законодательство РФ, согласие пользователя Сайта.

5.2.4. В отношениях по обработке персональных данных субъекты персональных данных имеют право:
· получать полную информацию о своих персональных данных и об обработке этих данных (в том числе автоматизированной);
· знакомиться со сведениями, содержащими свои персональные данные, включая право получать копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законом;
· выбирать представителей для защиты своих персональных данных;
· получать доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
· требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением федерального закона; при отказе оператора исключить или исправить персональные данные субъект персональных данных имеет право заявить об этом в письменной форме администрации Клиники;
· дополнить персональные данные оценочного характера путем выражения в письменном заявлении собственного мнения;
· требовать от администрации Клиники предоставления информации обо всех изменениях персональных данных, произведенных Клиникой, а также уведомления всех лиц, которым по вине должностных лиц Клиники были сообщены неверные или неполные персональные данные субъекта;
· обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в суд любые неправомерные действия или бездействие администрации Клиники при обработке его персональных данных.

5.2.5. При обращении субъекта персональных данных или его законного представителя по вопросам предоставления информации о персональных данных, относящихся к соответствующему субъекту, Клиника обязана сообщить данному субъекту информацию о наличии персональных данных, предоставить возможность ознакомления с ней.

5.2.6. В отношениях, связанных с обработкой персональных данных, субъекты персональных данных обязаны:
· передавать Клинике достоверные персональные данные;
· своевременно в срок, не превышающий 14 дней, сообщать Клинике об изменении своих персональных данных.



5.3. Сроки обработки персональных данных

5.3.1. Общий срок обработки персональных данных определяется периодом времени, в течение которого Клиника осуществляет действия (операции) в отношении персональных данных, обусловленные заявленными целями их обработки, в том числе хранение персональных данных.

5.3.2. Обработка персональных данных начинается с момента их получения Клиникой и заканчивается:
· по достижении заранее заявленных целей обработки;
· по факту утраты необходимости в достижении заранее заявленных целей обработки.

5.3.3. Клиника осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.

5.3.4. Персональные данные субъектов хранятся в бумажном и электронном виде. В электронном виде персональные данные хранятся в базах данных на персональных компьютерах и серверах Клиники, а так же в архивных копиях баз данных.



5.4. Условия обработки персональных данных

5.4.1. Общим условием обработки персональных данных является наличие согласия субъектов персональных данных на осуществление такой обработки.
Персональные данные Клиника получает непосредственно от работника, пациента, пользователя Сайта либо их представителя.
Федеральными законами могут предусматриваться случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

5.4.2. Обработка персональных данных субъекта персональных данных без получения его согласия осуществляется в следующих случаях:
1) для осуществления и выполнения возложенных законодательством РФ на Клинику функций, полномочий и обязанностей;
2) при поступлении официальных запросов с указанием правового основания (письменного запроса на бланке организации с печатью и росписью руководителя) из надзорно-контрольных или правоохранительных органов (суд, органы прокуратуры, ФСБ, МВД и т.п.);
3) при непосредственном обращении сотрудников правоохранительных или надзорно-контрольных органов при предъявлении ими служебного удостоверения и соответствующих документов о получении персональных данных (запрос, постановление и т.п.), а также в иных случаях, предусмотренных федеральным законом;
4) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
5) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.

5.4.3. Клиника не имеет права получать и обрабатывать персональные данные работника, пациентов, пользователей Сайта о религиозных и иных убеждениях и частной жизни, а равно об их членстве в общественных объединениях или профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.

5.4.4. При принятии решений, затрагивающих интересы субъекта персональных данных, Клиника не имеет права основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.

5.4.5. Обработка персональных данных осуществляется только должностными лицами (операторами) Клиники, непосредственно использующими их в служебных целях. Уполномоченные администрацией Клиники на обработку персональных данных лица (операторы) имеют право получать только те персональные данные, которые необходимы для выполнения своих должностных обязанностей. Все остальные работники и пациенты Клиники имеют право на полную информацию, касающуюся только собственных персональных данных.

5.5. Уточнение, блокирование и уничтожение персональных данных

5.5.1. Уточнение персональных данных, в том числе их обновление и изменение, имеет своей целью обеспечение достоверности, полноты и актуальности персональных данных, обрабатываемых Клиникой.

5.5.2. Уточнение персональных данных осуществляется Клиникой по собственной инициативе, по требованию субъекта персональных данных или его законного представителя, по требованию уполномоченного органа по защите прав субъектов персональных данных в случае, когда установлено, что персональные данные являются неполными, устаревшими, недостоверными.
Об уточнении персональных данных Клиника обязана уведомить субъекта персональных данных или его законного представителя.

5.5.3. Блокирование персональных данных осуществляется Клиникой по требованию субъекта персональных данных или его законного представителя, а также по требованию уполномоченного органа по защите прав субъектов персональных данных в случае выявления недостоверных персональных данных или неправомерных действий с ними.
О блокировании персональных данных Клиника обязана уведомить субъект персональных данных или его законного представителя.

5.5.4. Уничтожение персональных данных осуществляется:
· по достижении цели обработки персональных данных;
· в случае утраты необходимости в достижении целей обработки персональных данных;
· по требованию субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных в случае выявления фактов совершения Клиникой неправомерных действий с персональными данными, когда устранить соответствующие нарушения не представляется возможным.

5.5.5. В целях обеспечения законности при обработке персональных данных и устранения факторов, влекущих или могущих повлечь неправомерные действия с персональными данными, Клиника вправе по собственной инициативе осуществить блокирование и (или) уничтожение персональных данных.
О блокировании и (или) уничтожении персональных данных Клиника обязана уведомить субъекта персональных данных или его законного представителя.



6. Доступ к персональным данным

6.1. Внутренний доступ (работники Клиники)
Доступ к персональным данным работников, пациентов и пользователей Сайта имеют должностные лица Клиники, непосредственно использующие эти данные в рамках выполнения своих должностных обязанностей: генеральный директор Клиники, его заместители; главный бухгалтер; руководители всех подразделений; врачи; средний медицинский персонал; консультанты; психологи-консультанты; администраторы-кассиры; юрист; сотрудники отдела кадров; сотрудники бухгалтерии; маркетологи; системный администратор; иные лица в соответствии с Приказами по Клинике.

6.2. Условия обеспечения конфиденциальности информации
6.2.1. Должностные лица Клиники, имеющие в силу исполнения ими своих должностных обязанностей доступ к персональным данным, при их обработке должны обеспечивать конфиденциальность этих данных.
6.2.2. Обеспечение конфиденциальности персональных данных не требуется:
1) в случае обезличивания персональных данных;
2) для общедоступных персональных данных, т.е. данных включенных в справочники, адресные книги и т.п.

6.3. Внешний доступ (другие организации и граждане)
6.3.1. Внешний доступ к персональным данным разрешается только с письменного согласия работника, пациента, пользователя Сайта, данные которого затребованы, при наличии заявления запросившего их лица с указанием правового основания, перечня необходимой информации, целей для которых она будет использована.
При отсутствии согласия субъекта персональных данных доступ к персональным данным возможен только при наличии законного основания.
6.3.2. Сообщение сведений о персональных данных работника его родственникам, членам семьи, иным близким ему людям также производится только при получении письменного согласия субъекта персональных данных.
6.3.3. Субъект персональных данных, о котором запрашиваются сведения, относящиеся к персональным данным, должен быть уведомлён о передаче его персональных данных третьим лицам.
6.3.4. Запрещается передача персональных данных в коммерческих целях без согласия субъекта персональных данных, а также иное использование персональных данных в неслужебных целях.



7. Защита персональных данных

7.1. Клиника при обработке персональных данных принимает необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

7.2. Защита персональных данных от неправомерного их использования или утраты обеспечивается за счёт средств Клиники в порядке, установленном законодательством РФ.

7.3. В случае выявления неправомерных действий с персональными данными Клиника обязана устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений Клиника обязана уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Клиника обязана уведомить субъекта персональных данных или его законного представителя.

7.4. Внутренняя защита персональных данных

7.4.1. Персональные данные, содержащиеся на бумажных носителях, хранятся в запираемых металлических шкафах, в запираемом металлическом сейфе, в запираемых шкафах.

7.4.2. Персональные данные, содержащиеся на бумажных носителях, сдаются в архив Клиники после истечения установленного срока хранения.

7.4.3. Персональные данные, содержащиеся на электронных носителях информации, хранятся в памяти персональных компьютеров операторов и на серверах Клиники. Доступ к указанным персональным компьютерам и серверам строго ограничен кругом лиц, ответственных за обработку персональных данных.
Идентификация и проверка подлинности сотрудников при входе в информационную систему осуществляется по паролю условно-постоянного действия длинной не менее шести буквенно-цифровых символов, который подлежит смене в установленные Клиникой сроки. Оператором используются антивирусные средства защиты информации.

7.4.4. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:
· определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;
· разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;
· проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
· установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
· обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
· контроль за соблюдением условий использования средств защиты информации;
· анализ фактов не соблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, составление заключений по данным фактам, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
· другие мероприятия, определяемые Клиникой.

7.5. Внешняя защита персональных данных

7.5.1. Помещения и территория Клиники охраняются, в том числе с помощью средств визуального наблюдения. В здании Клиники установлены охранная и пожарная сигнализации.

7.5.2. Персональные данные в зависимости от способа их фиксации (бумажный носитель, электронный носитель) подлежат обработке таким образом, чтобы исключить возможность ознакомления с содержанием указанной информации сторонними лицами.



8. Ответственность за разглашение персональных данных

8.1. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с федеральными законами.

8.2. Руководители структурных подразделений, в функции которых входит обработка персональных данных, несут персональную ответственность за нарушение порядка доступа работников данных структурных подразделений Клиники и третьих лиц к информации, содержащей персональные данные.

8.3. Должностные лица Клиники, обрабатывающие персональные данные, несут персональную ответственность за:

8.3.1 не обеспечение конфиденциальности информации, содержащей персональные данные;

8.3.2 неправомерный отказ субъекту персональных данных в предоставлении собранных в установленном порядке персональных данных либо предоставление неполной или заведомо ложной информации.



9. Заключительные положения

9.1. Настоящее Положение вступает в силу с момента его утверждения генеральным директором Клиники и действует бессрочно, до замены его новым Положением.

9.2. Настоящее Положение действует в отношении всех работников Клиники.

9.3 Клиника обеспечивает неограниченный доступ к Политике защиты персональных данных, в том числе размещает ее на своем официальном сайте.

9.4. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.

9.5. Контроль исполнения требований настоящей Политики осуществляется генеральным директором.

9.6. Все предложения или вопросы по поводу настоящей Политики следует сообщать в Администрацию Клиники.
Настоящая Политика обработки персональных данных действует в отношении всей информации, которую Клиника может получить о Пользователе во время использования им сервисов Сайта. Отправляя свои персональные данные, Пользователь однозначно подтверждает, что он ознакомлен и согласен с настоящей Политикой и указанными в ней условиями обработки его персональной информации; в случае несогласия с этими условиями Пользователь должен воздержаться от использования сервисов сайта и предоставления Оператору своих персональных данных. Оператор имеет право отправлять информационные, в том числе рекламные сообщения, на электронную почту и мобильный телефон Пользователя с его согласия, выраженного посредством совершения им действий, однозначно идентифицирующих этого абонента и позволяющих достоверно установить его волеизъявление на получение сообщения (к таким действиям относится, в том числе, предоставление Пользователем своих персональных данных на Сайте). Пользователь имеет право отказаться от получения рекламной и другой информации без объяснения причин путем информирования Оператора о своем отказе по тел.+7 (473) 253-01-11 либо посредством направления соответствующего заявления на электронный адрес Оператора: info@slavklin.ru