1. ВВЕДЕНИЕ
Настоящая Политика обработки персональных данных в ООО «Диагноз+» (далее Политика) разработана в соответствии с требованиями нормативных правовых актов Российской Федерации, регулирующих процессы обработки персональных данных (далее ПДн). Политика определяет принципы обработки (сбора, хранения, передачи, уничтожения) и защиты, ПДн пациентов и работников ООО «Диагноз+» (далее субъекты ПДн) реализуемые в ООО «Диагноз+» (далее Общество). Настоящая Политика разработана в соответствии с Конституцией Российской Федерации от 12 декабря 1993 года и международными договорами Российской Федерации, Федеральным законом «О персональных данных» от 27 июля 2006 года №152-ФЗ, Гражданским кодексом Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации» от 27.08.2006 №149-ФЗ, и другими нормативными правовыми актами, регламентирующим процессы обработки персональных данных. Действие настоящей Политики распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению (обновлению, изменению), извлечению, использованию, передаче (распространению, предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению ПДн, осуществляемые как с использованием средств автоматизации, так и без использования таких средств. В дополнение к настоящей Политике разработаны другие локальные нормативные акты, регламентирующие процессы обработки ПДн. Положения настоящей Политики действуют бессрочно, до их замены. Политика подлежит изменению, дополнению в случае появления новых и изменения существующих законодательных актов и специальных нормативных документов об обработке и защите персональных данных. Новая редакция Политики вступает в силу с момента ее опубликования или обеспечения неограниченного доступа к ней иным образом, если иное не предусмотрено новой редакцией Политики.
2. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1 Принципы и цели обработки ПД
Обработка ПДн осуществляется на основе следующих принципов:
2.2 Сбор персональных данных
Сбор, накопление, хранение, изменение, использование и передача ПДн осуществляется при условии наличия согласия субъекта ПДн, за исключением случаев, когда в соответствии с действующим законодательством допускается обработка ПДн без получения согласия субъекта ПДн, а именно:
2.3 Хранение персональных данных
Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют соответствующие цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки, или в случае утраты необходимости в достижении этих целей.ПДн субъектов могут обрабатываться как на бумажных носителях, так и в электронном виде.ПДн на бумажных носителях хранятся в запираемых шкафах или сейфах. ПДн субъектов в электронном виде обрабатываются в компьютерных сетях Общества и аффилированных с Обществом организаций.
2.4 Передача персональных данных третьим лицам
Общество вправе поручить обработку ПДн третьему лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. При этом Общество в договоре обязует третье лицо, осуществляющее обработку ПДн по поручению Общества, соблюдать принципы и правила обработки ПДн, предусмотренные федеральным законом №152-ФЗ «О персональных данных» и другими нормативными правовыми актами, регламентирующим процессы обработки ПДн.В случае если Общество поручает обработку ПДн третьему лицу, ответственность перед субъектом ПДн за действия указанного лица несет Общество. Лицо, осуществляющее обработку ПДн по поручению Общества, несет ответственность перед Обществом.Общество обязуется и обязует третьих лиц, получивших доступ к ПДн, не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено законом.
2.5 Трансграничная передача персональных данных
Трансграничная передача ПДн Обществом не осуществляется.
2.6 Уничтожение персональных данных
В случае достижения целей обработки ПДн – Общество прекращает обработку ПДн и уничтожает ПДн, в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено соглашением между Обществом и субъектом персональных данных.В случае отзыва субъектом ПДн согласия на обработку своих ПДн Обществом прекращает их обработку, если иное не предусмотрено соглашением между Обществом и субъектом ПДн, либо если Общество вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных действующим законодательством, регулирующим процессы обработки ПДн.В случае выявления неправомерной обработки ПДн – Общество предпринимает меры по уничтожению этих ПДн в срок, не превышающий трех рабочих дней со дня выявления неправомерной обработки ПДн. В случае, если обеспечить правомерность обработки персональных данных невозможно, Общество в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязано уничтожить такие персональные данные или обеспечить их уничтожение.В случае отсутствия возможности уничтожения ПДн в течение указанного срока, Общество осуществляет блокирование таких ПДн и обеспечивает уничтожение ПДн в срок, не превышающий 6 месяцев со дня выявления неправомерной обработки ПДн, если иной срок не установлен действующим законодательством или иными нормативными правовыми актами, регулирующими процессы обработки ПДн.В случае обращения субъекта ПДн с заявлением об уничтожении его персональных данных, Общество обязано прекратить обработку или обеспечить прекращение обработки персональных данных данного субъекта и уничтожить указанные в заявлении персональные данные в срок, не превышающий тридцати дней с момента подачи субъектом ПДн заявления, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Обществом и субъектом ПДн. ПДн на бумажных носителях уничтожаются с помощью средств, гарантирующих невозможность восстановления носителя.Уничтожение информации с машиночитаемых носителей ПДн, производится способом, исключающим возможность использования и восстановления информации.Уничтожение ПДн производится в соответствии с актуальными внутренними процессами Общества.
2.7. Защита персональных данных
При обработке ПДн Общество принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.Обеспечение безопасности ПДн достигается, в частности:
3. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
Общество обеспечивает конфиденциальность ПДн, то есть не допускает их распространения без согласия субъекта ПДн или наличия иного законного основания. Обеспечение конфиденциальности обезличенных и общедоступных ПДн осуществляется аналогично обеспечению конфиденциальности иных данных, обрабатываемых в Обществе.
3.1. Организация внутреннего доступа сотрудников к информации, содержащей персональные данные
В рамках настоящей Политики под внутренним доступом понимается доступ к ПДн, предоставляемый работникам Общества. Доступ к ПДн предоставляется только тем работникам Общества, которым он необходим для исполнения их непосредственных должностных обязанностей.Допуск работников Общества к обработке ПДн осуществляется на основании утвержденного Перечня должностей работников, допущенных к обработке ПДн, обрабатываемых в Обществе. Работник Общества допускается к обработке ПДн после ознакомления его с Перечнем должностей работников, только в том случае, если занимаемая им должность указана в Перечне и только в рамках тех задач, которые он обязан осуществлять для выполнения своих служебных обязанностей.Работник Общества допускается к обработке ПДн только после ознакомления с действующими нормативными правовыми актами, регламентирующими обработку ПДн, локальными нормативными актами Общества, регламентирующими обработку ПДн, и после подписания обязательства о неразглашении информации, содержащей ПДн.
3.2. Организация доступа субъектов персональных данных к своим персональным данным
Общество обеспечивает доступ субъектов ПДн к принадлежащим им ПДн. Для получения такого доступа субъекту ПДн необходимо направить в Общество письменный запрос по форме, приведенной в Приложении 1. Общество осуществляет предоставление ПДн обратившегося субъекта в доступной для субъекта форме, и с обеспечением отсутствия в них ПДн, относящихся к другим субъектам.В соответствии с Федеральным законом № 152-ФЗ «О персональных данных» субъект ПДн имеет право:1. Получить сведения касающиеся обработки ПДн Обществом, а именно:
2. Потребовать от Общества уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
3. Заявить возражение против принятия в отношении себя решений, порождающих юридические последствия на основе исключительно автоматизированной обработки ПДн;
4. Отозвать согласие на обработку ПДн в предусмотренных действующим законодательством случаях.Право субъекта ПДн на доступ к своим данным ограничивается в случае, если предоставление ПДн нарушает права и законные интересы третьих лиц.
4. ОТВЕТСТВЕННОСТЬ
Работники Общества, виновные в нарушении нормативных правовых актов и локальных нормативных актов Общества, регулирующих процессы обработки и защиты ПДн, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной, уголовной ответственности в порядке, установленном действующим законодательством.