Пожалуйста, позвоните мне!
Или Вы можете позвонить сами
8(3822)-51-63-75
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности

ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
МЕДИЦИНСКОГО ЛЕЧЕБНО-ДИАГНОСТИЧЕСКОГО ЦЕНТРА БИОН

Настоящая Политика конфиденциальности персональных данных (далее — Политика конфиденциальности) действует в отношении всей информации, которую ООО Медицинский лечебно-диагностический центр «БИОН» (далее — Медицинский центр), может получить о Пользователе во время использования сайта, расположенном на доменном имени http://www.bion.tomsk.ru, страниц в социальных сетях и оказания медицинских услуг.
Политика обработки и защиты персональных данных

1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных (далее — Политика) составлена в соответствии с п. 2 ст. 18.1 Федерального закона № 152-ФЗ от 27 июля 2006 года «О персональных данных» и является основополагающим внутренним регулятивным документом Медицинского центра (далее — Оператор), определяющим ключевые направления его деятельности в области обработки и защиты персональных данных (далее — ПД), оператором которых является Медицинский центр.

1.2. Политика разработана в целях реализации требований законодательства в области обработки и защиты ПД и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его П Д Оператором, в том числе защиты прав на неприкосновенность частной жизни, личной, семейной и врачебной тайн.

1.3. Положения Политики распространяются на отношения по обработке и защите ПД, полученных Оператором как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите ПД, полученных до ее утверждения.

1.4. Обработка П Д Оператором осуществляется:

1.4.1. в связи с выполнением Медицинским центром функций, предусмотренных ее учредительными документами, и определяемых:

— Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в РФ»,

— Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»,

— Постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»,

— Постановлением Правительства Р Ф от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»,

— Федеральным законом от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»,

— лицензией № ЛО-70−01−1 410 от 05.09.2014 г., выданной Комитетом по лицензированию Томской области,

— Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»

1.4.2. в ходе трудовых и иных непосредственно связанных с ними отношений, в которых Медицинский центр выступает в качестве работодателя и определяемых:

— Конституции Российской Федерации,

— Трудовым кодексом Российской Федерации,

— Федеральным законом РФ от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете и системе обязательного пенсионного страхования».

1.4.3. в связи с реализацией Организацией своих прав и обязанностей как юридического лица.

1.5. Медицинский центр имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.

1.6. Действующая редакция хранится в месте нахождения Медицинского центра по адресу: г. Томск, ул. Розы Люксембург, д. 39 а, электронная версия Политики — на сайте по адресу: http://www.biontomsk.ru.

2. Термины и принятые сокращения

2.1. Персональные данные (ПД) — любая информация, относящаяся прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

2.2. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.

2.3. Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.4. Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

2.5. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.6. Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.7. Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2.8. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

2.9. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

2.10. Информационная система персональных данных (ИСПД) — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку с помощью информационных технологий и технических средств.

2.11. Пациент — физическое лицо, которому оказывается медицинская помощь или которое обратилось за оказанием медицинской помощи независимо от наличия у него заболевания и от его состояния.

2.12. Медицинская деятельность — профессиональная деятельность по оказанию медицинской помощи, проведению медицинских экспертиз, медицинских осмотров и медицинских освидетельствований, санитарно-противоэпидемических (профилактических) мероприятий и профессиональная деятельность, связанная с трансплантацией (пересадкой) органов и (или) тканей, обращением донорской крови и (или) ее компонентов в медицинских целях.

2.13. Лечащий врач — врач, на которого возложены функции по организации и непосредственному оказанию пациенту медицинской помощи в период наблюдения за ним и его лечения.

3. Принципы обеспечения безопасности персональных данных

3.1. Основной задачей обеспечения безопасности ПД при их обработке Оператором является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения ПД, разрушения (уничтожения) или искажения их в процессе обработки.

3.2. Для обеспечения безопасности П Д Оператор руководствуется следующими принципами:

— законность: защита ПД основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты ПД;

— системность: обработка ПД осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности ПД;

— комплексность: защита ПД строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах Оператора и других имеющихся у Оператора систем и средств защиты;

— непрерывность: защита ПД обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки ПД, в том числе при проведении ремонтных и регламентных работ;

— своевременность: меры, обеспечивающие надлежащий уровень безопасности ПД, принимаются до начала их обработки;

— персональная ответственность: ответственность за обеспечение безопасности ПД возлагается на Работников в пределах их обязанностей, связанных с обработкой и защитой ПД;

— ограничения прав доступа: доступ к ПД предоставляется Работникам только в объеме, необходимом для выполнения их должностных обязанностей;

— актуальность: обеспечение выполнения функций защиты ПД при изменении характеристик функционирования, модернизации информационных систем для обработки персональных данных, а также изменение объема и состава обрабатываемых ПД;

— контроль и аналитика: устанавливаются процедуры постоянного контроля использования систем обработки и защиты ПД, а результаты контроля регулярно анализируются.

3.3. Оператором не производится обработка ПД, несовместимая с целями их сбора. Если иное не предусмотрено федеральным законом, по окончании обработки ПД, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, обрабатывавшиеся ПД уничтожатся или обезличиваются.

4. Обработка персональных данных.

4.1. Получение П Д:

— Все П Д следует получать от самого субъекта. Если П Д субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено согласие.

— Оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения ПД, характере подлежащих получению ПД, перечне действий с ПД, сроке, в течение которого действует согласие и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение.

— Документы, содержащие ПД создаются путем: копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство и др.); внесения сведений в учетные формы; получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.).

Порядок доступа субъекта ПД к его ПД, обрабатываемым Оператором, определяется в соответствии с законодательством и определяется внутренними регулятивными документами Медицинского центра.

4.2. Обработка П Д:

Обработка персональных данных осуществляется:

— с согласия субъекта персональных данных на обработку его персональных данных;

— в случаях, когда обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации функций, полномочий и обязанностей;

— в случаях, когда осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее — персональные данные, сделанные общедоступными субъектом персональных данных).

4.3. Доступ Работников к обрабатываемым ПД:

Доступ Работников к обрабатываемым ПД осуществляется:

— в соответствии с их должностными обязанностями и требованиями внутренних регулятивных документов Медицинского центра.

— Допущенные к обработке П Д Работники под роспись знакомятся с документами Медицинского центра, устанавливающими порядок обработки ПД, включая документы, устанавливающие права и обязанности конкретных Работников.

4.4. Цели обработки ПД:

— обеспечение оказания медицинской помощи населению, а также наиболее полного исполнения обязательств и компетенций в соответствии с Федеральными законами от 21 ноября 2011 г № 323-ФЗ «Об основах охраны здоровья граждан Российской Федерации»,

— Правилами предоставления медицинскими организациями платных медицинских услуг, утвержденными Постановлением Правительства Российской Федерации от 4 октября 2012 г. № 1006;

— осуществление трудовых отношений.

4.5. Категории субъектов персональных данных

Оператором обрабатываются ПД следующих субъектов:

— физические лица, состоящие с учреждением в трудовых отношениях;

— физические лица, являющие близкими родственниками сотрудников учреждения;

— физические лица, уволившиеся из учреждения;

— физические лица, являющиеся кандидатами на работу;

— физические лица, обратившиеся в учреждение за медицинской помощью.

4.6. Категории П Д, обрабатываемые Оператором:

— данные полученные при осуществлении трудовых отношений;

— данные полученные для осуществления отбора кандидатов на работу в организацию;

— данные полученные для оказания медицинской помощи.

4.7. Обработка персональных данных ведется:

— с использованием средств автоматизации,

— без использованием средств автоматизации.

4.8. Хранение П Д:

— ПД субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.

— ПД субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках (вкладках).

— Не допускается хранение и размещение документов, содержащих ПД, в открытых электронных каталогах (файлообменниках) в ИСПД.

— Хранение П Д в форме, позволяющей определить субъекта ПД, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

4.9. Уничтожение П Д:

— Уничтожение документов (носителей), содержащих ПД производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.

— ПД на электронных носителях уничтожаются путем стирания или форматирования носителя.

— Уничтожение производится комиссией. Факт уничтожения ПД подтверждается документально актом об уничтожении носителей, подписанным членами комиссии.

4.10. Передача П Д:

Оператор передает ПД третьим лицам в следующих случаях:

— cубъект выразил свое согласие на такие действия;

— передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры.

4.10.1. Перечень лиц, которым передаются ПД:

— Пенсионный фонд РФ для учета (на законных основаниях);

— Налоговые органы РФ (на законных основаниях);

— Фонд социального страхования (на законных основаниях);

— Территориальный фонд обязательного медицинского страхования (на законных основаниях);

— страховые медицинские организации по обязательному и добровольному медицинскому страхованию (на законных основаниях);

— банки для начисления заработной платы (на основании договора);

— судебные и правоохранительные органы в случаях, установленных законодательством;

— бюро кредитных историй (с согласия субъекта).

5. Защита персональных данных

Основными мерами защиты ПД, используемыми Оператором, являются:

— Назначение лица ответственного за обработку ПД, которое осуществляет организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением работниками требований к защите ПД;

— Определение актуальных угроз безопасности ПД при их обработке в ИСПД, и разработка мер и мероприятий по защите ПД;

— Установление правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечения регистрации и учета всех действий, совершаемых с ПД в ИСПД;

— Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями;

— Применение сертифицированных средств защиты информации (программное обеспечение с регулярно обновляемыми базами — от несанкционированного доступа, антивирусное), учет машинных носителей ПД, обеспечение их сохранности;

— Установление правил доступа к обрабатываемым ПД, обеспечение регистрации и учета действий, совершаемых с ПД, а также обнаружение фактов несанкционированного доступа к персональным данным и принятия мер;

— Ознакомление работников Медицинского центра непосредственно осуществляющих обработку персональных данных, положениям законодательства Российской Федерации о персональных данных, в том числе требованиям к защите персональных данных, документами, определяющими политику Медицинского центра в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных.

6. Основные права субъекта ПД и обязанности Оператора ПД

6.1. Основные права субъекта ПД:

6.1.1. Субъект П Д имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

— подтверждение факта обработки персональных данных оператором;

— правовые основания и цели обработки персональных данных;

— цели и применяемые оператором способы обработки персональных данных;

— наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

— обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

— сроки обработки персональных данных, в том числе сроки их хранения;

— порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;

— наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

— иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

6.1.2. Субъект П Д вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

6.2. Обязанности Организации

Организация обязана:

— при сборе ПД предоставить информацию об обработке его ПД;

— в случаях если ПД были получены не от субъекта ПД уведомить субъекта;

— при отказе в предоставлении ПД субъекту разъясняются последствия такого отказа;

— опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД;

— принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;

— давать ответы на запросы и обращения субъектов ПД, их представителей и уполномоченного органа по защите прав субъектов ПД.