Политика по обработке персональных данных

1. Термины и определения

1.1. В настоящей Политике обработки персональных данных в ООО МЦ «Академический» используются следующие основные понятия:

- Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

- Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

- Договор ПМУ – договор на оказание платных медицинских услуг, заключенный Пациентом (Заказчиком / Законным представителем) с медицинской организацией;

- Доменное имя - обозначение символами https://academ-zdrav.ru, предназначенное для адресации сайта в сети "Интернет" в целях обеспечения доступа к информации, размещенной на сайте;

- Заказчик – физическое лицо, заказавшее и оплатившее оказание платных медицинских услуг в Медицинской организации в пользу пациента в соответствии с договором на оказание платных медицинских услуг в медицинской организации;

- Законный представитель - представитель Пациента: для несовершеннолетних, не достигших 14 лет – родители, усыновители, опекуны; для несовершеннолетних от 14 до 18 лет – родители, усыновители, попечители; для граждан, ограниченных в дееспособности – попечители; для недееспособных граждан – опекуны;

- ИДС – информированное добровольное согласие Пациента (Законного представителя) на медицинское вмешательство;

- Информационная система персональных данных (ИСПД) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

- Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

- Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

- Оператор/медицинская организация/организация/работодатель – ООО МЦ «Академический»;

- Пациент - физическое лицо, получившее (получающее) медицинские услуги в соответствии с договором на оказание медицинских услуг в Медицинской организации;

- Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

- Персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения;

- Политика - Политика обработки персональных данных в ООО МЦ «Академический»;

- Пользователь сайта – физическое лицо, зарегистрировавшееся на сайте https://academ-zdrav.ru в сети Интернет с целью использования предоставляемых этим сайтом онлайн-сервисов и получающее доступ к страницам и сервисам сайта;

- Посетитель сайта – физическое лицо, получающее информацию и документацию, размещенную на сайте Медицинской организации в информационно-телекоммуникационной сети Интернет;

- Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

- Работник - физическое лицо, вступившее в трудовые отношения с работодателем, на основании заключенного ими трудового договора;

- Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

- Сайт в сети "Интернет" - совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством информационно-телекоммуникационной сети "Интернет" по доменным именам и (или) по сетевым адресам, позволяющим идентифицировать сайты в сети "Интернет";

- Страница сайта в сети "Интернет" - часть сайта в сети "Интернет", доступ к которой осуществляется по указателю, состоящему из доменного имени и символов, определенных владельцем сайта в сети "Интернет";

- Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

- Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2. Общие положения

2.1. Настоящая Политика разработана на основании Трудового Кодекса Российской Федерации, Федерального закона от 27.07.2006г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федерального закона от 21.11.2011г. № 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации", Федерального закона от 27.07.2006г. № 152-ФЗ "О персональных данных" (далее - Закон о персональных данных); Постановления Правительства РФ от 01.11.2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", Постановления Правительства РФ от 15.09.2008г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", Приказа Министерства здравоохранения РФ от 03.07.2023г. № 340н "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых в сферах деятельности, нормативно-правовое регулирование которых осуществляется Министерством здравоохранения Российской Федерации", Приказа Федеральной службы по техническому и экспортному контролю от 18.02.2013г. № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"; Методических рекомендаций для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости (утв. Министерством здравоохранения и социального развития РФ 23.12.2009г.) и иными нормативными правовыми актами в области обработки и защиты персональных данных.

2.2. Оператор обрабатывает персональные данные, принадлежащие следующим категориям субъектов персональных данных:

- Работникам Оператора;

- Пациентам (Заказчикам, Законным представителям);

- Пользователям и Посетителям сайта.

2.3. Персональные данные Работника - информация, необходимая Работодателю в связи с трудовыми отношениями и касающаяся конкретного Работника.

2.4. Персональные данные Пациента (Заказчика, Законного представителя) - информация, полученная медицинской организацией при первоначальном поступлении Пациента, при заключении с Пациентом (Заказчиком, Законным представителем) договора на ПМУ, а также информация, полученная в процессе оказания медицинской помощи Пациенту.

2.5. Персональные данные Посетителя (Пользователя) Сайта – информация, полученная Оператором от Посетителя (Пользователя) Сайта. 

2.6. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

2.7. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

2.8. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

2.9. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

2.10. К персональным данным Работника относятся:

- фамилия, имя, отчество;

- пол;

- дата и место рождения;

- гражданство;

- данные документа, удостоверяющего личность;

- место жительства;

- место регистрации;

- дата регистрации;

- страховой номер индивидуального лицевого счета (СНИЛС);

- сведения об образовании;

- номер контактного телефона, адрес электронной почты;

- семейное положение;

- сведения о воинской обязанности;

- сведения о трудовом стаже;

- сведения о предыдущих местах работы;

- сведения о доходах с предыдущих мест работы;

- информация о приеме, переводе, увольнении и иных событиях трудовой деятельности;

- индивидуальный номер налогоплательщика (ИНН);

- сведения о расчетном счете в кредитной организации для перечисления заработной платы;

- сведения о состоянии здоровья (справки, наличие инвалидности, результаты медицинских осмотров, медицинская книжка, прививочный сертификат и т.п.)

2.11. Все персональные данные работника организация получает у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

2.12. К персональным данным Пациента относятся:

- фамилия, имя, отчество; 

- пол;

- дата рождения;

- место рождения;

- гражданство;

- данные документа, удостоверяющего личность;

- место жительства;

- место регистрации;

- дата регистрации;

- страховой номер индивидуального лицевого счета (СНИЛС);

- номер полиса обязательного медицинского страхования застрахованного лица;

- индивидуальный номер налогоплательщика (ИНН);

- анамнез;

- диагноз;

- сведения об организации, осуществляющей медицинскую деятельность;

- вид оказанной медицинской помощи;

- условия оказания медицинской помощи;

- сроки оказания медицинской помощи;

- объем оказанной медицинской помощи, включая сведения об оказанных медицинских услугах;

- результат обращения за медицинской помощью;

- серия и номер выданного листка нетрудоспособности (при наличии);

- сведения о проведенных медицинских экспертизах, медицинских осмотрах и медицинских освидетельствованиях и их результаты;

- примененные клинические рекомендации;

- сведения о медицинском работниках (работнике), оказавших медицинскую помощь, проводивших медицинские экспертизы, медицинские осмотры и медицинские освидетельствования;

- номер контактного телефона, адрес электронной почты.

2.13. К персональным данным Заказчика (Законного представителя) относятся:

- фамилия, имя, отчество;

- пол;

- гражданство;

- данные документа, удостоверяющего личность;

- место жительства;

- место регистрации;

- индивидуальный номер налогоплательщика (ИНН);

- степень родства с Пациентом (супруг/родитель/ребенок/подопечный);

- номер контактного телефона, адрес электронной почты.

2.14. К персональным данным Посетителя (Пользователя) Сайта относятся:

- фамилия, имя, отчество;

- номер контактного телефона;

- адрес электронной почты;

- пользовательские данные (cookie, IP-адрес, MAC-адрес, тип и версия ОС, тип и версия браузера, тип устройства и разрешение экрана и т. д).

2.15. К обработке персональных данных Заказчика и Законного представителя применяются положения и требования, предъявляемые к обработке персональных данных Пациента.

2.16. Персональные данные являются конфиденциальной информацией и не могут быть использованы медицинской организацией или любым иным лицом в личных целях.

2.17. Медицинская организация разрабатывает и внедряет меры защиты персональных данных.

2.18. Организация при обработке персональных данных в информационных системах обеспечивает 3-й уровень защищенности персональных данных. Расчет необходимого уровня защищенности приведен в Приложении № 1 к настоящей Политике.

3. Правовые основания обработки персональных данных

3.1. Правовыми основаниями обработки персональных данных является совокупность нормативных правовых актов во исполнение и в соответствии с которыми Оператор осуществляет обработку персональных данных. Перечень правовых актов приведен в пункте 2.1. настоящей Политики.

3.2. Правовыми основаниями также являются:

- согласие субъекта персональных данных на обработку его персональных данных в том числе отметка, проставленная Посетителем (Пользователем) сайта о согласии на обработку персональных данных в чекбоксе на Сайте Оператора;

- договор, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также договора, заключенный по инициативе субъекта персональных данных или договор, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем; 

- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.

4. Цели обработки персональных данных 

4.1. Обработка персональных данных Работников осуществляется исключительно в целях:

- обеспечения соблюдения законов и иных нормативных правовых актов;

- содействия работнику в трудоустройстве;

- обучения и продвижения по службе;

- обеспечения личной безопасности работника;

- контроля количества и качества выполняемой работы;

- своевременного начисления и выплаты заработной платы;

- обеспечения сохранности имущества работодателя.

4.2. Обработка персональных данных Пациентов осуществляется исключительно в целях:

- соблюдения законов иных нормативных правовых актов;

- охраны здоровья;

- профилактики заболеваний;

- сохранения и укрепления физического и психического здоровья;

- предоставления медицинской помощи;

- медицинской диагностики;

- установление диагноза;

- выбора мероприятий по лечению пациента и контроля за осуществлением этих мероприятий;

- лечения заболеваний;

- восстановления здоровья;

- медицинской реабилитации.

4.3. Обработка персональных данных Посетителей (Пользователей) Сайта осуществляется в целях:

- улучшения качества оказываемых услуг;

- проведения статистических и иных исследований на основе обезличенных данных;

- обеспечения возможности обратной связи по запросам и отзывам Посетителей (Пользователей);

- получение информации об услугах и деятельности медицинского центра.

5. Обработка, хранение и передача персональных данных

5.1. Организация обрабатывает персональные данные после получения от них согласия на обработку персональных данных (Приложения №№ 2,3,10 отметка о согласии на обработку персональных данных в чекбоксе на Сайте, ).

5.2. Организация обрабатывает персональные данные и обеспечивает их защиту с учетом определенного типа угроз безопасности и уровня защищенности персональных данных: 

5.3. При 3-м уровне защищенности персональных данных организация:

- обеспечивает режим безопасности помещения, в котором размещена информационная система, препятствующий возможности неконтролируемого проникновения или пребывания в этом помещениях лиц, не имеющих права доступа в эти помещения;

- обеспечивает сохранность носителей персональных данных;

- утверждает перечень работников, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей (Приложение № 4);

- использует средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;

- назначает должностное лицо (работника), ответственного за обеспечение безопасности персональных данных в информационной системе (Приложение № 4).

- ограничивает допуск в помещения, в которых хранятся документы, содержащие персональные данные работников;

- ограничивает допуск в помещения, в которых хранятся документы, содержащие персональные данные пациентов;

- хранит персональные данные работников в металлическом сейфе в помещении кадровой службы; 

- хранит персональные данные пациентов в отдельном помещении, исключающем доступ лиц, не допущенных к работе с персональными данными.

5.4. В целях обеспечения конфиденциальности документы, содержащие персональные данные работников, оформляются, ведутся и хранятся только работниками кадровой службы, бухгалтерии и службы охраны труда медицинской организации, а документы, содержащие персональные данные пациентов, оформляются, ведутся и хранятся лечащими врачами и старшим администратором.

5.5. Работники организации, допущенные к персональным данным, подписывают обязательства о неразглашении персональных данных (Приложение № 5, Приложение № 6). В противном случае до обработки персональных сотрудники не допускаются.

5.6. Сотрудники кадровой службы вправе передавать персональные данные работника в бухгалтерию организации в случаях и объёме необходимых для исполнения обязанностей работников бухгалтерии.

5.7. Руководитель организации может передавать персональные данные работника третьим лицам, только если это необходимо в целях предупреждения угрозы жизни и здоровья работника, а также в случаях, установленных законодательством.

5.8. Передача персональных данных по запросам третьих лиц, если такая передача прямо не предусмотрена законодательством Российской Федерации, допускается исключительно с согласия работника на обработку его персональных данных в части их предоставления или согласия на распространение персональных данных.

5.9. Передача информации, содержащей сведения о персональных данных, по телефону, электронной почте, посредством других электронных средств связи возможна только при однозначной идентификации лица, запрашивающего информацию, и у этого лица есть право на получение информации.

5.10. Право доступа к персональным данным работников имеют:

- руководитель организации и его заместители;

- сотрудники кадровой службы;

- сотрудники службы охраны труда;

- сотрудники бухгалтерии в объёме необходимом для выполнения своих обязанностей;

- другие сотрудники – при обязательном согласовании руководителем организации.

5.11. Медицинская организация осуществляет распространение персональных данных субъектов персональных данных только при наличии их согласия на обработку персональных данных, разрешенных ими для распространения. 

5.12. Согласие работника или пациента на обработку персональных данных, разрешенных ими для распространения, оформляется отдельно от иных согласий указанного лица на обработку его персональных данных (Приложение № 7).

5.13. Медицинская организация обеспечивает работникам и пациентам возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных этими лицами для распространения.

5.14. Молчание или бездействие работника или пациента ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных им для распространения.

5.15. В согласии субъекта персональных данных на обработку персональных данных, разрешенных им для распространения, он вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных медицинской организацией неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц.

Отказ медицинской организации в установлении работником или пациентом запретов и условий, предусмотренных в настоящем пункте, не допускается.

5.16. Медицинская организация в срок не позднее трех рабочих дней с момента получения соответствующего согласия работника или пациента публикует информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных этим работником или пациентом для распространения.

5.17. Установленные работником или пациентом запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных им для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.

5.18. Все сведения о передаче персональных данных учитываются для контроля правомерности использования данной информации лицами, ее получившими.

5.19. Обработка специальных категорий персональных данных Работников, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни не допускается, за исключением случаев, предусмотренных законодательством.

5.20. Сведения о факте обращения Пациента за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну.

5.21. Разглашение сведений, составляющих врачебную тайну допускается с письменного согласия Пациента или его законного представителя.

Согласие на разглашение сведений, составляющих врачебную тайну, может быть выражено Пациентом (Законным представителем) в согласии на обработку персональных данных, а также в ИДС (Приложение № 8).

5.22. После смерти гражданина допускается разглашение сведений, составляющих врачебную, супругу (супруге), близким родственникам (детям, родителям, усыновленным, усыновителям, родным братьям и родным сестрам, внукам, дедушкам, бабушкам) либо иным лицам, указанным гражданином или его законным представителем в письменном согласии на разглашение сведений, составляющих врачебную тайну, или информированном добровольном согласии на медицинское вмешательство, по их запросу, если гражданин или его законный представитель не запретил разглашение сведений, составляющих врачебную тайну.

5.23. Предоставление сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя допускается:

- в целях проведения медицинского обследования и лечения гражданина, который в результате своего состояния не способен выразить свою волю и если медицинское вмешательство необходимо по экстренным показаниям для устранения угрозы жизни человека и если его состояние не позволяет выразить свою волю; 

- при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;

- по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органов прокуратуры в связи с осуществлением ими прокурорского надзора, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля за поведением условно осужденного, осужденного, в отношении которого отбывание наказания отсрочено, и лица, освобожденного условно-досрочно, а также в связи с исполнением осужденным обязанности пройти лечение от наркомании и медицинскую и (или) социальную реабилитацию;

- в целях осуществления уполномоченными федеральными органами исполнительной власти контроля за исполнением лицами, признанными больными наркоманией либо потребляющими наркотические средства или психотропные вещества без назначения врача либо новые потенциально опасные психоактивные вещества, возложенной на них при назначении административного наказания судом обязанности пройти лечение от наркомании, диагностику, профилактические мероприятия и (или) медицинскую реабилитацию;

- в случае оказания медицинской помощи несовершеннолетнему больного наркоманией при оказании ему наркологической помощи или при медицинском освидетельствовании несовершеннолетнего в целях установления состояния наркотического либо иного токсического опьянения (за исключением случаев приобретения несовершеннолетними полной дееспособности до достижения ими восемнадцатилетнего возраста);

- в целях информирования органов внутренних дел:

            а) о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий;

            б) о поступлении пациента, который по состоянию здоровья, возрасту или иным причинам не может сообщить данные о своей личности;

            в) о смерти пациента, личность которого не установлена;

- в целях проведения военно-врачебной экспертизы по запросам военных комиссариатов, кадровых служб и военно-врачебных (врачебно-летных) комиссий федеральных органов исполнительной власти и федеральных государственных органов, в которых предусмотрена военная и приравненная к ней служба;

- в целях расследования несчастного случая на производстве и профессионального заболевания, а также несчастного случая с обучающимся во время пребывания в организации, осуществляющей образовательную деятельность, и несчастного случая с лицом, проходящим спортивную подготовку и не состоящим в трудовых отношениях с физкультурно-спортивной организацией, не осуществляющей спортивной подготовки и являющейся заказчиком услуг по спортивной подготовке, во время прохождения таким лицом спортивной подготовки в организации, осуществляющей спортивную подготовку, в том числе во время его участия в спортивных соревнованиях, предусмотренных реализуемыми программами спортивной подготовки;

- при обмене информацией медицинскими организациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи;

- в целях осуществления учета и контроля в системе обязательного социального страхования;

- в целях осуществления контроля качества и безопасности медицинской деятельности; 

- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;

- обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну.

6. Требования к помещению, в котором размещено оборудование ИСПД.

6.1. Помещение (серверная), в котором размещено оборудование информационных систем персональных данных, охрана этого помещения должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

6.2. Помещение серверной должно быть оборудовано металлической дверью, оконные проемы, при их наличии, оборудуются металлическими решетками или металлическими рольставнями.

6.3. Помещение серверной должно быть оборудовано пожарно-охранной сигнализацией и средствами пожаротушения (огнетушителями).

6.4. В нерабочее время помещение серверной должно сдаваться под охрану.

6.5. Вход в помещение серверной разрешается лицам, уполномоченным приказом руководителя медицинской организации (Приложение № 4). Лицам, привлекаемым к проведению технического обслуживания, ремонтным и наладочным работам, уборке помещения разрешается находится в помещении серверной только под контролем уполномоченного лица.

6.6. По фактам и попыткам несанкционированного доступа в помещение серверной проводятся служебные расследования.

7. Обязанности медицинской организации по обработке, хранению и защите персональных данных 

7.1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе следующую информацию:

- подтверждение факта обработки персональных данных оператором;

- правовые основания и цели обработки персональных данных;

- цели и применяемые оператором способы обработки персональных данных;

- наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

- сроки обработки персональных данных, в том числе сроки их хранения;

- порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

- об осуществленной или о предполагаемой трансграничной передаче данных;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу.

7.2. Медицинская организация за свой счет обеспечивает защиту персональных данных от неправомерного их использования или утраты в порядке, установленном законодательством Российской Федерации.

7.3. Медицинская организация принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами. Медицинская организация самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам относятся:

- назначение ответственного за организацию обработки персональных данных;

- издание документов, определяющих политику медицинской организации в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на медицинскую организацию не предусмотренные законодательством Российской Федерации полномочия и обязанности;

- применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;

- осуществление внутреннего контроля соответствия обработки персональных данных Закону о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, требованиями к защите персональных данных, политике медицинской организации в отношении обработки персональных данных, ее локальным актам;

- оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона о персональных данных, соотношение указанного вреда и принимаемых медицинской организацией мер, направленных на обеспечение выполнения обязанностей, предусмотренных названным Федеральным законом;

- ознакомление работников медицинской организации, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику медицинской организации в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

7.4. Медицинская организация знакомит работников и их представителей с настоящей Политикой и их правами в области защиты персональных данных под расписку.

7.5. Медицинская организация осуществляет передачу персональных данных только в соответствии с настоящей Политикой и законодательством Российской Федерации.

7.6. Медицинская организация предоставляет персональные данные только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей, в соответствии с настоящей Политикой и законодательством Российской Федерации.

7.7. Медицинская организация обеспечивает работникам и пациентам свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных законодательством.

7.8. Медицинская организация по требованию работника или пациента предоставляет ему полную информацию о его персональных данных и обработке этих данных.

8. Права субъектов персональных данных на защиту их персональных данных

8.1. Субъекты персональных данных в целях обеспечения защиты своих персональных данных, хранящихся в медицинской организации, имеют право:

- получать полную информацию о своих персональных данных, их обработке, хранении и передаче;

- определять своих представителей для защиты своих персональных данных;

- на доступ к относящимся к нему медицинским данным с помощью медицинского специалиста по их выбору;

- требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушениями настоящей Политики и законодательства Российской Федерации.

При отказе медицинской организации исключить или исправить его персональные данные субъект вправе заявить в письменном виде о своем несогласии с соответствующим обоснованием;

- требовать от медицинской организации извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника или пациента, обо всех произведенных в них исключениях, исправлениях или дополнениях.

8.2. Если субъект персональных данных считает, что медицинская организация осуществляет обработку его персональных данных с нарушением требований Закона о персональных данных или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие медицинской организации в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

8.3. Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных им для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений Закона о персональных данных или обратиться с таким требованием в суд.

9. Порядок уничтожения, блокирования персональных данных

9.1. В случае выявления неправомерной обработки персональных данных при обращении работника или пациента медицинская организация осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому работнику или пациенту, с момента такого обращения на период проверки.

9.2. В случае выявления неточных персональных данных при обращении работника или пациента медицинская организация осуществляет блокирование персональных данных, относящихся к этому работнику или пациенту, с момента такого обращения на период проверки, если блокирование персональных данных не нарушает права и законные интересы работника или пациента, или третьих лиц.

9.3. В случае подтверждения факта неточности персональных данных медицинская организация на основании сведений, представленных работником или пациентом, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

9.4. В случае поступления требования работника или пациента о прекращении распространения его персональных данных передача (распространение, предоставление, доступ) персональных данных, разрешенных таким работником или пациентом для распространения, должна быть прекращена в течение трех рабочих дней с момента получения такого требования.

        Действие согласия работника или пациента на обработку персональных данных, разрешенных им для распространения, прекращается с момента поступления в медицинскую организацию указанного требования.

9.5. В случае выявления неправомерной обработки персональных данных, осуществляемой медицинской организацией, медицинская организация в срок, не превышающий трех рабочих дней с даты этого выявления, прекращает неправомерную обработку персональных данных.

9.6. В случае если обеспечить правомерность обработки персональных данных невозможно, медицинская организация в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожает такие персональные данные.

9.7. Об устранении допущенных нарушений или об уничтожении персональных данных медицинская организация уведомляет работника или пациента.

9.8. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав работника или пациента, медицинская организация с момента выявления такого инцидента медицинской организацией, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомляет уполномоченный орган по защите прав субъектов персональных данных:

- в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав работника или пациента, и предполагаемом вреде, нанесенном правам работника или пациента, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставляет сведения о лице, уполномоченном медицинской организацией на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;

- в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставляет сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

9.9. В случае достижения цели обработки персональных данных медицинская организация прекращает обработку персональных данных и уничтожает персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено трудовым договором или договором на оказание медицинских услуг.

9.10. В случае отзыва работником или пациентом согласия на обработку его персональных данных медицинская организация прекращает их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено законодательством, трудовым договором или договором на оказание медицинских услуг.

9.11. В случае обращения работника или пациента в медицинскую организацию с требованием о прекращении обработки персональных данных медицинская организация в срок, не превышающий десяти рабочих дней с даты получения ей соответствующего требования, прекращает их обработку, за исключением случаев, предусмотренных законодательством.

         Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления медицинской организацией в адрес работника или пациента мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

 В случае отсутствия возможности уничтожения персональных данных в течение указанного срока, медицинская организация осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

9.12. Организация обязана хранить документы, содержащие персональные данные, в течение срока установленного Налоговым кодексом Российской Федерации, Приказом Федерального архивного агентства от 20 декабря 2019 г. № 236 "Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения" и Приказом Министерства здравоохранения РФ от 3 августа 2023 г. № 408 "Об утверждении Перечня документов, образующихся в деятельности Министерства здравоохранения Российской Федерации и подведомственных ему организаций, с указанием сроков хранения". Сроки хранения персональных данных приведены в Приложении № 9 к настоящей Политике.

9.13. После истечения срока нормативного хранения документов, содержащих персональные данные, или при наступлении иных законных оснований документы подлежат уничтожению.

9.14. Документы, содержащие персональные данные и подлежащие уничтожению уничтожаются путем:

- на бумажном носителе - уничтожаются путем сжигания;

- в электронном виде - стираются с информационных носителей либо физически уничтожаются сами носители, на которых хранится информация.

10. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

10.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном действующим законодательством Российской Федерации.

10.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Законом о персональных данных, а также требований к защите персональных данных, установленных в соответствии с названным Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных работником или пациентом убытков.

11. Заключительные положения

11.1. Настоящая Политика вступает в силу с момента её утверждения.

11.2. Медицинская организация обеспечивает неограниченный доступ к настоящему документу.

11.3. Настоящая Политика доводится до сведения всех работников персонально под подпись (Приложение № 11)

Политика по обработке персональных данных в ООО МЦ Академический

Приказ по ПД Академический