Политика в отношении обработки и защиты персональных данных в ООО «КДЦ «Консилиум» (далее - Политика).
1.Общие положения
1. ООО «КДЦ «Консилиум» (далее- Центр) при осуществлении своей деятельности по достижению Уставных целей обеспечивает выполнение комплекса правовых, организационных и технических мер, направленных на защиту персональных данных физических лиц, в соответствии с требованиями законодательства Российской Федерации по защите информации.
1.1. Настоящая Политика определяет основные положения обработки и защиты персональных данных, реализуемые при обработке персональных данных в Центре.
1.2. Целью принятия Политики является выполнение требований законодательства в области защиты персональных данных.
1.3. Целью обеспечения защиты персональных данных является обеспечение защиты прав и свобод субъекта персональных данных, в том числе минимизация ущерба, возникающего вследствие возможной реализации угроз безопасности персональных данных.
1.4. Действие настоящей Политики распространяется на персональные данные, обрабатываемые в Центре с применением средств автоматизации и без применения таких средств.
1.5. Понятия, связанные с обработкой персональных данных, используются в том значении, в котором они приведены в Федеральном законе от 27 июля 2006 года № 152-ФЗ «О персональных данных».
2. Принципы и цели обработки персональных данных
2.1. Обработка персональных данных в Центре осуществляется на основе принципов законности и справедливости и ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.2. Персональные данные, цели обработки которых несовместимы между собой, обрабатываются Центром в различных базах данных, содержание и объем персональных данных соответствуют заявленным целям обработки.
2.3. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Должностные лица Центра должны принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
2.4. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели обработки, если срок хранения персональных данных не установлен действующим законодательством. Обрабатываемые персональные данные подлежат уничтожению или обезличиванию по достижению целей обработки, если иное не предусмотрено действующим законодательством.
2.5. Учреждение и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
2.6. Обработке в Центре подлежат только те персональные данные, которые отвечают нижеследующим целям обработки:
- обеспечение соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;
- обеспечение соблюдения законодательства в области здравоохранения;
- обеспечение соблюдения трудового законодательства;
- статистическим целям;
- исполнение договоров, стороной которого является субъект персональных данных.
3. Категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения
3.1. К категориям субъектов, персональные данные которых обрабатываются в Центре, относятся:
- работники Центра, а также члены их семей;
- лица, состоящие с Центром в гражданско - правовых отношениях;
- кандидаты на замещение вакантных должностей;
- граждане, обратившиеся в Центр (жалоба, заявление, предложение, запрос и т.п.), в том числе по вопросам предоставления услуг;
- граждане, состоящие в договорных отношениях с Центром (клиенты);
- законные представители несовершеннолетних граждан.
3.2. Документы, содержащие персональные данные обрабатываются в сроки, обусловленные заявленными целями их обработки.
3.3. Использование персональных данных осуществляется с момента их получения оператором и прекращается:
- по достижению целей обработки персональных данных;
- в связи с отсутствием необходимости в достижении заранее заявленных целей обработки персональных данных;
- в связи с отзывом согласия на обработку персональных данных.
3.4. Сроки хранения персональных данных устанавливаются в соответствии с требованиями законодательства РФ.
4. Права и обязанности субъекта персональных данных
4.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных;
- правовые основания и цели обработки персональных данных;
- цели и применяемые оператором способы обработки персональных данных;
- наименование и место нахождения Центра, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Центром или на основании законодательства;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных законодательством;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных.
4.2. Право субъекта персональных данных на доступ к его персональным данным ограничивается в соответствии с частью 8 статьи 14 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
4.3. Субъект персональных данных вправе требовать от Центра уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
4.4. Сведения, указанные в пункте 4.1. раздела 4 Политики, должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
4.5. Если субъект персональных данных считает, что Центр осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Центра в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.
4.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
4.7. Субъект персональных данных обязан:
- передавать Учреждению достоверные, документированные персональные данные, состав которых установлен законодательством;
- своевременно сообщать работникам Центра, уполномоченным на получение, обработку, хранение, передачу и любое другое использование персональных данных, об изменении своих персональных данных.
5. Права и обязанности работников Центра, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных при обработке персональных данных:
5.1. Работники Центра, уполномоченные на получение, обработку, хранение, передачу и любое другое использование персональных данных обязаны:
- знать и выполнять требования законодательства в области обеспечения защиты персональных данных;
- хранить в тайне известные им персональные данные, информировать о фактах нарушения порядка обращения с персональными данными, о попытках несанкционированного доступа к ним;
- соблюдать правила использования персональных данных, порядок их учета и хранения, исключить доступ к ним посторонних лиц;
- обрабатывать только те персональные данные, к которым получен доступ в силу исполнения служебных обязанностей.
5.2. При обработке персональных данных работниками Центра, уполномоченным на получение, обработку, хранение, передачу и любое другое использование персональных данных запрещается:
- использовать сведения, содержащие персональные данные, в неслужебных целях, а также в служебных целях – при ведении переговоров по телефонной сети, в открытой переписке, статьях и выступлениях;
- передавать персональные данные по незащищенным каналам связи (телетайп, факсимильная связь, электронная почта) без использования сертифицированных средств криптографической защиты информации.
5.3. Работники Центра, уполномоченные на получение, обработку, хранение, передачу и любое другое использование персональных данных имеют право:
- предоставлять персональные данные третьим лицам при наличии согласия на это субъекта персональных данных, а также в других случаях предусмотренных действующим законодательством;
- продолжать обработку персональных данных после отзыва согласия субъектом персональных данных в случаях, предусмотренных законодательством;
- мотивированно отказать субъекту персональных данных (его представителю) в удовлетворении запроса о предоставлении информации, касающейся обработки персональных данных субъекта, при наличии оснований, предусмотренных законодательством Российской Федерации.
5.4. Ответственность работников Центра, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных:
- виновные в нарушении требований законодательства в области защиты персональных данных, в том числе допустившие разглашение персональных данных, несут персональную гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством ответственность.
6. Меры, принимаемые для защиты персональных данных
6. Центр для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных принимает следующие меры:
- назначение лиц, ответственных за организацию обработки персональных данных в Центре;
- издание настоящей Политики, а также разработки иной документации с учетом требований законодательства в области защиты персональных данных;
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения законодательства в области защиты информации;
- учет машинных носителей персональных данных;
- обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
- восстановление персональных данных, модифицированных и уничтоженных вследствие несанкционированного доступа к ним;
- разграничением доступа работников к информации, содержащей персональные данные субъектов персональных данных, в соответствии с их должностными обязанностями;
- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных;
- ограничение доступа в помещения, где размещены технические средства, осуществляющие обработку персональных данных, а также где хранятся носители информации;
- соблюдение работниками, допущенных к обработке персональных данных субъектов, требований, установленных законодательством Российской Федерации в области персональных данных и локальными нормативными актами Центра.
7. Заключительные положения
7.1. Во исполнение части 2 статьи 18.1. Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» настоящая Политика опубликована на сайте Центра www.uralclinic.ru
7.2. Учреждение оставляет за собой право вносить изменения в настоящую Политику (во все ее разделы и преамбулу, а также в наименование).
7.3. Иные локальные нормативные акты Центра должны издаваться в соответствии с настоящей Политикой и законодательством в области персональных данных.