Пожалуйста, позвоните мне!
Или Вы можете позвонить сами
8(3822)-51-63-75
«Нажимая на кнопку Вы даете согласие на обработку персональных данных в порядке, указанном в Политике обработки персональных данных.»
ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
в обществе с ограниченной ответственностью
«Медицинский лечебно-диагностический центр «БИОН»
«Медицинский лечебно-диагностический центр «БИОН»
1. Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных (далее — Политика) разработана во исполнение требований пункта 2 статьи 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — 152-ФЗ). Политика является основополагающим внутренним документом Общества с ограниченной ответственностью «Медицинский лечебно-диагностический центр «БИОН» (ОГРН 1047000057060 / ИНН 7014041923) (далее — Оператор), определяющим принципы, цели, условия и способы обработки персональных данных (далее — ПД), а также перечень мер по защите прав субъектов ПД.
1.2. Политика разработана в целях реализации положений 152-ФЗ и иных нормативных правовых актов, регулирующих отношения в области персональных данных. Документ направлен на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных Оператором, в том числе на защиту прав на неприкосновенность частной жизни, личную, семейную тайну, а также соблюдение режима врачебной тайны в соответствии с Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».
1.3. Положения настоящей Политики обязательны для исполнения всеми работниками (сотрудниками) Оператора, имеющими доступ к персональным данным, и распространяются на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению (обновлению, изменению), извлечению, использованию, передаче (распространению, предоставлению, доступу), обезличиванию, блокированию, удалению и уничтожению персональных данных, осуществляемые как с использованием средств автоматизации, так и без их использования.
1.4. Правовые основания обработки персональных данных.
Обработка персональных данных Оператором осуществляется на основании и во исполнение совокупности нормативных правовых актов, учредительных документов и договоров, а именно:
1.4.1. В связи с осуществлением медицинской деятельности и оказанием услуг пациентам:
Конституция Российской Федерации;
Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Гражданский кодекс Российской Федерации (в части заключения и исполнения договоров об оказании платных медицинских услуг);
лицензия на осуществление медицинской деятельности № Л041-01043-70/00294548, выданная 05.09.2014 Федеральной службой по надзору в сфере здравоохранения;
договоры, заключаемые между Оператором и пациентами (законными представителями), а также согласия на обработку персональных данных.
1.4.2. В связи с реализацией трудовых и иных непосредственно связанных с ними отношений (в качестве работодателя):
Трудовой кодекс Российской Федерации;
Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системах обязательного пенсионного страхования и обязательного социального страхования»;
Федеральный закон от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;
Налоговый кодекс Российской Федерации;
трудовые договоры, соглашения, локальные нормативные акты Оператора.
1.4.3. В связи с реализацией Оператором прав и законных интересов как субъекта экономической деятельности (выполнение требований налогового, бухгалтерского учета, обеспечение безопасности, арендные отношения и т.д.):
Гражданский кодекс Российской Федерации;
Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
иные федеральные законы и подзаконные акты, регламентирующие деятельность юридических лиц.
1.5. Порядок утверждения и изменения Политики.
1.5.1. Настоящая Политика утверждается Генеральным директором ООО «Медицинский лечебно-диагностический центр «БИОН».
1.5.2. Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции.
1.5.3. Новая редакция Политики вступает в силу с момента ее размещения на Сайте Оператора, если иное не предусмотрено самой новой редакцией.
1.6. Доступ к Политике.
1.6.1. Действующая редакция Политики на бумажном носителе хранится по месту нахождения Оператора по адресу: г. Томск, ул. Розы Люксембург, д. 39 а.
1.6.2. Неограниченный доступ к электронной версии Политики обеспечивается на Сайте Оператора в информационно-телекоммуникационной сети Интернет по адресу: https://bion.tomsk.ru/ и (или) http://www.bion.tomsk.ru.
1.7. Локальные акты Оператора в области обработки персональных данных.
1.7.1. В дополнение к настоящей Политике Оператором утверждены и действуют следующие локальные нормативные акты, регламентирующие для каждой цели обработки категории и перечень обрабатываемых персональных данных, категории субъектов, способы, сроки обработки и хранения, порядок уничтожения, а также процедуры, направленные на предотвращение и выявление нарушений законодательства:
Положение об обработке персональных данных работников и кандидатов на работу (цель: реализация трудовых отношений);
Регламент обработки персональных данных пациентов и иных получателей медицинских услуг (цель: оказание медицинской помощи, ведение медицинской документации, взаимодействие со страховыми организациями);
Регламент обработки персональных данных контрагентов и представителей юридических лиц (цель: заключение и исполнение договоров);
Инструкция по обеспечению безопасности персональных данных при их обработке в информационных системах и без использования средств автоматизации;
Перечень мер, направленных на обеспечение выполнения обязанностей оператора, предусмотренных ФЗ-152 (включая порядок внутреннего контроля, оценки вреда, действий при инцидентах).
1.7.2. Указанные локальные акты обязательны для исполнения всеми работниками Оператора, допущенными к обработке персональных данных. С текстами локальных актов можно ознакомиться у лица, ответственного за организацию обработки персональных данных, а также на внутреннем информационном ресурсе Оператора (при его наличии).
2. Термины и принятые сокращения
2.1. Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2.2. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
2.3. Оператор – Общество с ограниченной ответственностью «Медицинский лечебно-диагностический центр «БИОН» (ООО «МЛДЦ «БИОН»), самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.4. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.5. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.6. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.7. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.8. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.9. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
2.10. Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.11. Сайт – официальный сайт Оператора в информационно-телекоммуникационной сети Интернет, расположенный по адресу: https://bion.tomsk.ru/ (а также http://www.bion.tomsk.ru), включая все его поддомены и зеркала.
2.12. Пациент – физическое лицо, которому оказывается медицинская помощь или которое обратилось за оказанием медицинской помощи независимо от наличия у него заболевания и от его состояния.
2.13. Законный представитель пациента – родитель, усыновитель, опекун или попечитель, действующий от имени пациента в случаях, установленных законодательством Российской Федерации.
2.14. Медицинская деятельность – профессиональная деятельность по оказанию медицинской помощи, проведению медицинских экспертиз, медицинских осмотров и медицинских освидетельствований, санитарно-противоэпидемических (профилактических) мероприятий и профессиональная деятельность, связанная с трансплантацией (пересадкой) органов и (или) тканей, обращением донорской крови и (или) ее компонентов в медицинских целях.
2.15. Лечащий врач – врач, на которого возложены функции по организации и непосредственному оказанию пациенту медицинской помощи в период наблюдения за ним и его лечения.
3. Принципы обработки и защиты персональных данных
3.1. Обработка персональных данных Оператором осуществляется в соответствии с принципами, установленными статьей 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», а также на основе совокупности организационных и технических мер, направленных на обеспечение безопасности ПД.
3.2. При обработке ПД Оператор руководствуется следующими основными принципами:
законность и справедливая основа – обработка ПД осуществляется на законной и справедливой основе;
ограничение целями – обработка ПД ограничивается достижением конкретных, заранее определенных и законных целей; не допускается обработка ПД, несовместимая с целями их сбора;
соответствие содержания и объема целям – содержание и объем обрабатываемых ПД соответствуют заявленным целям обработки; обрабатываемые ПД не являются избыточными по отношению к заявленным целям;
достоверность и достаточность – при обработке ПД обеспечиваются их достоверность, достаточность для целей обработки, а в необходимых случаях и актуальность по отношению к указанным целям; Оператор принимает разумные меры по удалению или уточнению неполных или неточных ПД;
сроки хранения – хранение ПД осуществляется в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели обработки, если срок хранения не установлен федеральным законом, договором, стороной которого является субъект ПД; обрабатываемые ПД по достижении целей обработки или в случае утраты необходимости в их достижении подлежат уничтожению или обезличиванию, если иное не предусмотрено федеральным законом.
3.3. Для обеспечения безопасности ПД при их обработке Оператор реализует комплекс мер, основанных на следующих принципах:
законность мер защиты – применение мер защиты ПД основывается на требованиях 152-ФЗ, принимаемых в соответствии с ним нормативных правовых актов и методических документов уполномоченных органов в области обработки и защиты ПД;
системность – защита ПД обеспечивается путем согласованного применения взаимосвязанных организационных и технических мер на всех этапах обработки и во всех используемых информационных системах;
комплексность – использование разнообразных средств и способов защиты информации (организационных, программно-аппаратных, криптографических) в соответствии с актуальными угрозами безопасности ПД;
уровневый подход — состав и содержание применяемых технических и организационных мер определяются уровнем защищенности ИСПДн, установленным в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119, и типом актуальных угроз безопасности персональных данных;
непрерывность – меры защиты ПД действуют постоянно, в том числе при проведении ремонтных и регламентных работ, изменении конфигурации технических средств и программного обеспечения;
своевременность – меры, направленные на обеспечение безопасности ПД, принимаются до начала их обработки (на этапе проектирования информационных систем);
риск-ориентированный подход — состав и достаточность мер защиты определяются на основе оценки возможного вреда субъектам персональных данных с обязательным соотнесением выявленных рисков и принимаемых мер, при этом приоритетной является защита от нарушений, влекущих высокий и критический вред;
персональная ответственность – работники Оператора, допущенные к обработке ПД, несут дисциплинарную и иную предусмотренную законодательством ответственность за соблюдение конфиденциальности и требований безопасности в пределах своих должностных обязанностей;
минимизация доступа – доступ к ПД предоставляется только работникам, которым он необходим для выполнения трудовых функций, и только в объеме, необходимом для выполнения этих функций;
адаптивность и контроль – организация защиты ПД предусматривает возможность совершенствования мер защиты при изменении условий функционирования информационных систем, состава обрабатываемых ПД или угроз безопасности, а также осуществление постоянного контроля эффективности принятых мер.
3.4. Основной целью принимаемых Оператором мер является предотвращение несанкционированного, в том числе случайного, доступа к ПД, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также иных неправомерных действий в отношении ПД.
4. Обработка персональных данных
4.1. Условия и порядок получения ПД
4.1.1. Получение ПД осуществляется, как правило, непосредственно от субъекта ПД (пациента, работника, кандидата на работу, представителя). Если ПД возможно получить только от третьей стороны, субъект ПД должен быть предварительно уведомлен об этом, и от него должно быть получено письменное согласие на такие действия, за исключением случаев, предусмотренных федеральным законом.
4.1.2. При получении ПД от субъекта (его представителя) Оператор разъясняет юридические последствия отказа предоставить ПД, если предоставление является обязательным в силу закона или необходимо для исполнения договора.
4.1.3. Документы, содержащие ПД, формируются путем:
копирования оригиналов документов (паспорт, СНИЛС, ИНН, документы об образовании, полис ОМС и др.);
внесения сведений в учетные формы на бумажных и электронных носителях (медицинские карты, регистрационные журналы, кадровые анкеты);
получения оригиналов необходимых документов (трудовые книжки, медицинские заключения и др.) с последующим возвратом (при необходимости) или помещением в личное дело.
4.2. Правовые основания обработки ПД
4.2.1. В соответствии с частью 1 статьи 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (в редакции Федерального закона от 24.06.2025 № 156-ФЗ) согласие субъекта персональных данных на обработку его персональных данных должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект персональных данных. В связи с этим Оператор получает согласие на обработку персональных данных только в виде отдельного документа, не входящего в состав договоров, заявлений, анкет или пользовательских соглашений. Получение согласия путем совершения конклюдентных действий (включая использование Сайта) не допускается.
4.3. Цели обработки ПД
Оператор осуществляет обработку ПД в следующих целях:
4.3.1. В рамках медицинской деятельности:
ведение персонифицированного учета при оказании медицинской помощи;
ведение медицинской документации (медицинские карты, истории болезни);
организация и оказание платных медицинских услуг, заключение и исполнение соответствующих договоров;
выдача справок, рецептов, направлений;
взаимодействие со страховыми медицинскими организациями и территориальным фондом ОМС;
ведение статистического учета и отчетности.
4.3.2. В рамках трудовых отношений:
обеспечение соблюдения законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, обучении и продвижении по службе;
расчет и начисление заработной платы, пособий, налогов и страховых взносов;
оформление кадровых документов (приказы, трудовые договоры, личные карточки);
предоставление сведений в Социальный фонд России (СФР), налоговые органы;
обеспечение пропускного режима и безопасности.
4.3.3. В рамках договорных отношений с контрагентами и иными лицами:
заключение и исполнение договоров гражданско-правового характера;
защита прав и законных интересов Оператора в судах и государственных органах.
4.4. Категории субъектов ПД
Оператором обрабатываются ПД следующих категорий субъектов:
работники и бывшие работники Оператора;
кандидаты на замещение вакантных должностей (соискатели);
физические лица – пациенты (в том числе законные представители несовершеннолетних пациентов и недееспособных лиц);
физические лица – заказчики платных медицинских услуг (если они не являются пациентами);
физические лица – представители контрагентов (поставщиков, подрядчиков);
физические лица, чьи ПД необходимы в связи с осуществлением функций, возложенных на Оператора законодательством (например, близкие родственники работников в связи с предоставлением гарантий и компенсаций).
4.5. Состав (категории) обрабатываемых ПД
4.5.1. В отношении работников и кандидатов на работу обрабатываются: фамилия, имя, отчество; дата и место рождения; паспортные данные; адрес регистрации и фактического проживания; СНИЛС; ИНН; контактные телефоны; сведения об образовании, квалификации, стаже работы; сведения о семейном положении, составе семьи; сведения о доходах; сведения о состоянии здоровья (в объеме, необходимом для выполнения трудовой функции, например, для прохождения медосмотров); иные сведения, предусмотренные Трудовым кодексом РФ.
4.5.2. В отношении пациентов и заказчиков медицинских услуг обрабатываются: фамилия, имя, отчество; дата рождения; паспортные данные; полис ОМС/ДМС; СНИЛС; адрес места жительства; контактные телефоны, адрес электронной почты; данные о состоянии здоровья, включая диагнозы, результаты обследований, анамнез (специальная категория ПД); иные сведения, необходимые для оказания медицинской помощи и ведения медицинской документации.
4.5.3. В отношении иных лиц (представители, контрагенты) обрабатываются: фамилия, имя, отчество; контактные данные (телефон, e-mail); паспортные данные (при необходимости); должность; иные сведения, необходимые для заключения и исполнения договоров.
4.6. Обработка ПД в информационных системах
4.6.1. Обработка ПД осуществляется Оператором:
с использованием средств автоматизации (в информационных системах персональных данных – ИСПДн);
без использования средств автоматизации (на бумажных носителях).
4.6.2. Хранение ПД осуществляется в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели обработки, если иное не установлено федеральным законом (например, сроки хранения медицинской документации установлены приказами Минздрава).
4.6.3. Не допускается хранение и размещение документов, содержащих ПД, в открытых электронных каталогах (файлообменниках, общедоступных папках), к которым имеют доступ лица, не допущенные к обработке ПД.
4.6.4. Оператором обеспечивается раздельное хранение ПД, обрабатываемых в разных целях (например, кадровая база данных и медицинская информационная система).
4.6.5. Для анализа и улучшения работы Сайта, сбора статистики посещаемости и технической оптимизации Оператор использует сервисы веб-аналитики (в частности, Яндекс.Метрика). В процессе использования Сайта осуществляется автоматический сбор технических данных: IP-адрес, информация о браузере, типе операционной системы, времени доступа, посещенных страницах, а также данные файлов cookie.
4.6.6. Для определения требований к защите персональных данных при их обработке в информационных системах Оператора все используемые информационные системы персональных данных (ИСПДн) классифицированы в соответствии с требованиями Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Классификация произведена на основании:
типа актуальных угроз безопасности персональных данных (угрозы 1-го, 2-го или 3-го типа);
уровня защищенности персональных данных (1, 2, 3 или 4), определяемого в зависимости от типа угроз и категории обрабатываемых персональных данных.
4.6.7. При сборе, записи, систематизации, накоплении, хранении, уточнении и извлечении персональных данных граждан Российской Федерации Оператор использует исключительно базы данных, находящиеся на территории Российской Федерации. Адрес места нахождения таких баз данных: 634021, г. Томск, ул. Розы Люксембург, д. 39 а.
4.7. Уничтожение ПД
4.7.1. По достижении целей обработки или в случае утраты необходимости в их достижении ПД подлежат уничтожению, если иное не предусмотрено федеральным законом.
4.7.2. Уничтожение документов (носителей), содержащих ПД, производится способом, исключающим возможность дальнейшего восстановления и ознакомления с ними неуполномоченных лиц (например, с использованием шредера для бумажных документов, программно-аппаратными средствами гарантированного удаления для электронных носителей).
4.7.3. Уничтожение ПД оформляется актом, подписываемым комиссией, созданной приказом руководителя Оператора. В акте фиксируются факт и способ уничтожения, перечень уничтоженных носителей (документов).
4.8. Передача ПД третьим лицам
4.8.1. Оператор передает ПД третьим лицам только в следующих случаях:
субъект ПД выразил свое согласие на такие действия;
передача предусмотрена федеральным законом (обязательная передача) в рамках установленной процедуры;
передача осуществляется на основании договора с третьим лицом, при условии соблюдения конфиденциальности и принятия этим лицом обязательств по защите ПД.
4.8.2. Перечень лиц (получателей), которым ПД передаются на законном основании:
Фонд пенсионного и социального страхования Российской Федерации – в рамках персонифицированного учета и социального страхования;
налоговые органы РФ;
Территориальный фонд обязательного медицинского страхования;
страховые медицинские организации (по обязательному и добровольному медицинскому страхованию);
кредитные организации (банки) для начисления заработной платы и иных выплат – на основании договора;
судебные и правоохранительные органы – в случаях, установленных законодательством РФ;
организации, осуществляющие техническое обслуживание информационных систем Оператора (при условии подписания соглашения о конфиденциальности);
бюро кредитных историй – только с письменного согласия субъекта ПД.
4.8.3. При передаче ПД третьим лицам Оператор уведомляет субъектов ПД или получает их согласие в случаях, предусмотренных 152-ФЗ.
4.8.4. Оператор не осуществляет трансграничную передачу персональных данных (т.е. передачу персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу). Вся обработка персональных данных ведется с использованием технических средств, находящихся под юрисдикцией и на территории Российской Федерации.
4.9. Обработка файлов cookie
4.9.1. На Сайте Оператора используются файлы cookie и аналогичные технологии для обеспечения работоспособности, сбора статистики посещаемости и улучшения качества услуг.
4.9.2. Информация, получаемая с помощью файлов cookie (IP-адрес, сведения о браузере, операционной системе, посещенных страницах и время доступа), обрабатывается Оператором в обезличенном виде в статистических и иных исследовательских целях в соответствии со статьей 6 Федерального закона № 152-ФЗ.
4.9.3. Подробные условия обработки файлов cookie, включая их виды, цели обработки, способы предоставления согласия и отказа от них, а также сведения о методах обезличивания, содержатся в отдельном документе — «Политике обработки файлов cookie», размещенном в свободном доступе по адресу: https://bion.tomsk.ru/cookies.»
1.1. Настоящая Политика в отношении обработки персональных данных (далее — Политика) разработана во исполнение требований пункта 2 статьи 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — 152-ФЗ). Политика является основополагающим внутренним документом Общества с ограниченной ответственностью «Медицинский лечебно-диагностический центр «БИОН» (ОГРН 1047000057060 / ИНН 7014041923) (далее — Оператор), определяющим принципы, цели, условия и способы обработки персональных данных (далее — ПД), а также перечень мер по защите прав субъектов ПД.
1.2. Политика разработана в целях реализации положений 152-ФЗ и иных нормативных правовых актов, регулирующих отношения в области персональных данных. Документ направлен на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных Оператором, в том числе на защиту прав на неприкосновенность частной жизни, личную, семейную тайну, а также соблюдение режима врачебной тайны в соответствии с Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».
1.3. Положения настоящей Политики обязательны для исполнения всеми работниками (сотрудниками) Оператора, имеющими доступ к персональным данным, и распространяются на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению (обновлению, изменению), извлечению, использованию, передаче (распространению, предоставлению, доступу), обезличиванию, блокированию, удалению и уничтожению персональных данных, осуществляемые как с использованием средств автоматизации, так и без их использования.
1.4. Правовые основания обработки персональных данных.
Обработка персональных данных Оператором осуществляется на основании и во исполнение совокупности нормативных правовых актов, учредительных документов и договоров, а именно:
1.4.1. В связи с осуществлением медицинской деятельности и оказанием услуг пациентам:
Конституция Российской Федерации;
Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Гражданский кодекс Российской Федерации (в части заключения и исполнения договоров об оказании платных медицинских услуг);
лицензия на осуществление медицинской деятельности № Л041-01043-70/00294548, выданная 05.09.2014 Федеральной службой по надзору в сфере здравоохранения;
договоры, заключаемые между Оператором и пациентами (законными представителями), а также согласия на обработку персональных данных.
1.4.2. В связи с реализацией трудовых и иных непосредственно связанных с ними отношений (в качестве работодателя):
Трудовой кодекс Российской Федерации;
Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системах обязательного пенсионного страхования и обязательного социального страхования»;
Федеральный закон от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;
Налоговый кодекс Российской Федерации;
трудовые договоры, соглашения, локальные нормативные акты Оператора.
1.4.3. В связи с реализацией Оператором прав и законных интересов как субъекта экономической деятельности (выполнение требований налогового, бухгалтерского учета, обеспечение безопасности, арендные отношения и т.д.):
Гражданский кодекс Российской Федерации;
Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
иные федеральные законы и подзаконные акты, регламентирующие деятельность юридических лиц.
1.5. Порядок утверждения и изменения Политики.
1.5.1. Настоящая Политика утверждается Генеральным директором ООО «Медицинский лечебно-диагностический центр «БИОН».
1.5.2. Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции.
1.5.3. Новая редакция Политики вступает в силу с момента ее размещения на Сайте Оператора, если иное не предусмотрено самой новой редакцией.
1.6. Доступ к Политике.
1.6.1. Действующая редакция Политики на бумажном носителе хранится по месту нахождения Оператора по адресу: г. Томск, ул. Розы Люксембург, д. 39 а.
1.6.2. Неограниченный доступ к электронной версии Политики обеспечивается на Сайте Оператора в информационно-телекоммуникационной сети Интернет по адресу: https://bion.tomsk.ru/ и (или) http://www.bion.tomsk.ru.
1.7. Локальные акты Оператора в области обработки персональных данных.
1.7.1. В дополнение к настоящей Политике Оператором утверждены и действуют следующие локальные нормативные акты, регламентирующие для каждой цели обработки категории и перечень обрабатываемых персональных данных, категории субъектов, способы, сроки обработки и хранения, порядок уничтожения, а также процедуры, направленные на предотвращение и выявление нарушений законодательства:
Положение об обработке персональных данных работников и кандидатов на работу (цель: реализация трудовых отношений);
Регламент обработки персональных данных пациентов и иных получателей медицинских услуг (цель: оказание медицинской помощи, ведение медицинской документации, взаимодействие со страховыми организациями);
Регламент обработки персональных данных контрагентов и представителей юридических лиц (цель: заключение и исполнение договоров);
Инструкция по обеспечению безопасности персональных данных при их обработке в информационных системах и без использования средств автоматизации;
Перечень мер, направленных на обеспечение выполнения обязанностей оператора, предусмотренных ФЗ-152 (включая порядок внутреннего контроля, оценки вреда, действий при инцидентах).
1.7.2. Указанные локальные акты обязательны для исполнения всеми работниками Оператора, допущенными к обработке персональных данных. С текстами локальных актов можно ознакомиться у лица, ответственного за организацию обработки персональных данных, а также на внутреннем информационном ресурсе Оператора (при его наличии).
2. Термины и принятые сокращения
2.1. Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2.2. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
2.3. Оператор – Общество с ограниченной ответственностью «Медицинский лечебно-диагностический центр «БИОН» (ООО «МЛДЦ «БИОН»), самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.4. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.5. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2.6. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.7. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.8. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.9. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
2.10. Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.11. Сайт – официальный сайт Оператора в информационно-телекоммуникационной сети Интернет, расположенный по адресу: https://bion.tomsk.ru/ (а также http://www.bion.tomsk.ru), включая все его поддомены и зеркала.
2.12. Пациент – физическое лицо, которому оказывается медицинская помощь или которое обратилось за оказанием медицинской помощи независимо от наличия у него заболевания и от его состояния.
2.13. Законный представитель пациента – родитель, усыновитель, опекун или попечитель, действующий от имени пациента в случаях, установленных законодательством Российской Федерации.
2.14. Медицинская деятельность – профессиональная деятельность по оказанию медицинской помощи, проведению медицинских экспертиз, медицинских осмотров и медицинских освидетельствований, санитарно-противоэпидемических (профилактических) мероприятий и профессиональная деятельность, связанная с трансплантацией (пересадкой) органов и (или) тканей, обращением донорской крови и (или) ее компонентов в медицинских целях.
2.15. Лечащий врач – врач, на которого возложены функции по организации и непосредственному оказанию пациенту медицинской помощи в период наблюдения за ним и его лечения.
3. Принципы обработки и защиты персональных данных
3.1. Обработка персональных данных Оператором осуществляется в соответствии с принципами, установленными статьей 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», а также на основе совокупности организационных и технических мер, направленных на обеспечение безопасности ПД.
3.2. При обработке ПД Оператор руководствуется следующими основными принципами:
законность и справедливая основа – обработка ПД осуществляется на законной и справедливой основе;
ограничение целями – обработка ПД ограничивается достижением конкретных, заранее определенных и законных целей; не допускается обработка ПД, несовместимая с целями их сбора;
соответствие содержания и объема целям – содержание и объем обрабатываемых ПД соответствуют заявленным целям обработки; обрабатываемые ПД не являются избыточными по отношению к заявленным целям;
достоверность и достаточность – при обработке ПД обеспечиваются их достоверность, достаточность для целей обработки, а в необходимых случаях и актуальность по отношению к указанным целям; Оператор принимает разумные меры по удалению или уточнению неполных или неточных ПД;
сроки хранения – хранение ПД осуществляется в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели обработки, если срок хранения не установлен федеральным законом, договором, стороной которого является субъект ПД; обрабатываемые ПД по достижении целей обработки или в случае утраты необходимости в их достижении подлежат уничтожению или обезличиванию, если иное не предусмотрено федеральным законом.
3.3. Для обеспечения безопасности ПД при их обработке Оператор реализует комплекс мер, основанных на следующих принципах:
законность мер защиты – применение мер защиты ПД основывается на требованиях 152-ФЗ, принимаемых в соответствии с ним нормативных правовых актов и методических документов уполномоченных органов в области обработки и защиты ПД;
системность – защита ПД обеспечивается путем согласованного применения взаимосвязанных организационных и технических мер на всех этапах обработки и во всех используемых информационных системах;
комплексность – использование разнообразных средств и способов защиты информации (организационных, программно-аппаратных, криптографических) в соответствии с актуальными угрозами безопасности ПД;
уровневый подход — состав и содержание применяемых технических и организационных мер определяются уровнем защищенности ИСПДн, установленным в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119, и типом актуальных угроз безопасности персональных данных;
непрерывность – меры защиты ПД действуют постоянно, в том числе при проведении ремонтных и регламентных работ, изменении конфигурации технических средств и программного обеспечения;
своевременность – меры, направленные на обеспечение безопасности ПД, принимаются до начала их обработки (на этапе проектирования информационных систем);
риск-ориентированный подход — состав и достаточность мер защиты определяются на основе оценки возможного вреда субъектам персональных данных с обязательным соотнесением выявленных рисков и принимаемых мер, при этом приоритетной является защита от нарушений, влекущих высокий и критический вред;
персональная ответственность – работники Оператора, допущенные к обработке ПД, несут дисциплинарную и иную предусмотренную законодательством ответственность за соблюдение конфиденциальности и требований безопасности в пределах своих должностных обязанностей;
минимизация доступа – доступ к ПД предоставляется только работникам, которым он необходим для выполнения трудовых функций, и только в объеме, необходимом для выполнения этих функций;
адаптивность и контроль – организация защиты ПД предусматривает возможность совершенствования мер защиты при изменении условий функционирования информационных систем, состава обрабатываемых ПД или угроз безопасности, а также осуществление постоянного контроля эффективности принятых мер.
3.4. Основной целью принимаемых Оператором мер является предотвращение несанкционированного, в том числе случайного, доступа к ПД, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также иных неправомерных действий в отношении ПД.
4. Обработка персональных данных
4.1. Условия и порядок получения ПД
4.1.1. Получение ПД осуществляется, как правило, непосредственно от субъекта ПД (пациента, работника, кандидата на работу, представителя). Если ПД возможно получить только от третьей стороны, субъект ПД должен быть предварительно уведомлен об этом, и от него должно быть получено письменное согласие на такие действия, за исключением случаев, предусмотренных федеральным законом.
4.1.2. При получении ПД от субъекта (его представителя) Оператор разъясняет юридические последствия отказа предоставить ПД, если предоставление является обязательным в силу закона или необходимо для исполнения договора.
4.1.3. Документы, содержащие ПД, формируются путем:
копирования оригиналов документов (паспорт, СНИЛС, ИНН, документы об образовании, полис ОМС и др.);
внесения сведений в учетные формы на бумажных и электронных носителях (медицинские карты, регистрационные журналы, кадровые анкеты);
получения оригиналов необходимых документов (трудовые книжки, медицинские заключения и др.) с последующим возвратом (при необходимости) или помещением в личное дело.
4.2. Правовые основания обработки ПД
4.2.1. В соответствии с частью 1 статьи 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (в редакции Федерального закона от 24.06.2025 № 156-ФЗ) согласие субъекта персональных данных на обработку его персональных данных должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект персональных данных. В связи с этим Оператор получает согласие на обработку персональных данных только в виде отдельного документа, не входящего в состав договоров, заявлений, анкет или пользовательских соглашений. Получение согласия путем совершения конклюдентных действий (включая использование Сайта) не допускается.
4.3. Цели обработки ПД
Оператор осуществляет обработку ПД в следующих целях:
4.3.1. В рамках медицинской деятельности:
ведение персонифицированного учета при оказании медицинской помощи;
ведение медицинской документации (медицинские карты, истории болезни);
организация и оказание платных медицинских услуг, заключение и исполнение соответствующих договоров;
выдача справок, рецептов, направлений;
взаимодействие со страховыми медицинскими организациями и территориальным фондом ОМС;
ведение статистического учета и отчетности.
4.3.2. В рамках трудовых отношений:
обеспечение соблюдения законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, обучении и продвижении по службе;
расчет и начисление заработной платы, пособий, налогов и страховых взносов;
оформление кадровых документов (приказы, трудовые договоры, личные карточки);
предоставление сведений в Социальный фонд России (СФР), налоговые органы;
обеспечение пропускного режима и безопасности.
4.3.3. В рамках договорных отношений с контрагентами и иными лицами:
заключение и исполнение договоров гражданско-правового характера;
защита прав и законных интересов Оператора в судах и государственных органах.
4.4. Категории субъектов ПД
Оператором обрабатываются ПД следующих категорий субъектов:
работники и бывшие работники Оператора;
кандидаты на замещение вакантных должностей (соискатели);
физические лица – пациенты (в том числе законные представители несовершеннолетних пациентов и недееспособных лиц);
физические лица – заказчики платных медицинских услуг (если они не являются пациентами);
физические лица – представители контрагентов (поставщиков, подрядчиков);
физические лица, чьи ПД необходимы в связи с осуществлением функций, возложенных на Оператора законодательством (например, близкие родственники работников в связи с предоставлением гарантий и компенсаций).
4.5. Состав (категории) обрабатываемых ПД
4.5.1. В отношении работников и кандидатов на работу обрабатываются: фамилия, имя, отчество; дата и место рождения; паспортные данные; адрес регистрации и фактического проживания; СНИЛС; ИНН; контактные телефоны; сведения об образовании, квалификации, стаже работы; сведения о семейном положении, составе семьи; сведения о доходах; сведения о состоянии здоровья (в объеме, необходимом для выполнения трудовой функции, например, для прохождения медосмотров); иные сведения, предусмотренные Трудовым кодексом РФ.
4.5.2. В отношении пациентов и заказчиков медицинских услуг обрабатываются: фамилия, имя, отчество; дата рождения; паспортные данные; полис ОМС/ДМС; СНИЛС; адрес места жительства; контактные телефоны, адрес электронной почты; данные о состоянии здоровья, включая диагнозы, результаты обследований, анамнез (специальная категория ПД); иные сведения, необходимые для оказания медицинской помощи и ведения медицинской документации.
4.5.3. В отношении иных лиц (представители, контрагенты) обрабатываются: фамилия, имя, отчество; контактные данные (телефон, e-mail); паспортные данные (при необходимости); должность; иные сведения, необходимые для заключения и исполнения договоров.
4.6. Обработка ПД в информационных системах
4.6.1. Обработка ПД осуществляется Оператором:
с использованием средств автоматизации (в информационных системах персональных данных – ИСПДн);
без использования средств автоматизации (на бумажных носителях).
4.6.2. Хранение ПД осуществляется в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели обработки, если иное не установлено федеральным законом (например, сроки хранения медицинской документации установлены приказами Минздрава).
4.6.3. Не допускается хранение и размещение документов, содержащих ПД, в открытых электронных каталогах (файлообменниках, общедоступных папках), к которым имеют доступ лица, не допущенные к обработке ПД.
4.6.4. Оператором обеспечивается раздельное хранение ПД, обрабатываемых в разных целях (например, кадровая база данных и медицинская информационная система).
4.6.5. Для анализа и улучшения работы Сайта, сбора статистики посещаемости и технической оптимизации Оператор использует сервисы веб-аналитики (в частности, Яндекс.Метрика). В процессе использования Сайта осуществляется автоматический сбор технических данных: IP-адрес, информация о браузере, типе операционной системы, времени доступа, посещенных страницах, а также данные файлов cookie.
4.6.6. Для определения требований к защите персональных данных при их обработке в информационных системах Оператора все используемые информационные системы персональных данных (ИСПДн) классифицированы в соответствии с требованиями Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Классификация произведена на основании:
типа актуальных угроз безопасности персональных данных (угрозы 1-го, 2-го или 3-го типа);
уровня защищенности персональных данных (1, 2, 3 или 4), определяемого в зависимости от типа угроз и категории обрабатываемых персональных данных.
4.6.7. При сборе, записи, систематизации, накоплении, хранении, уточнении и извлечении персональных данных граждан Российской Федерации Оператор использует исключительно базы данных, находящиеся на территории Российской Федерации. Адрес места нахождения таких баз данных: 634021, г. Томск, ул. Розы Люксембург, д. 39 а.
4.7. Уничтожение ПД
4.7.1. По достижении целей обработки или в случае утраты необходимости в их достижении ПД подлежат уничтожению, если иное не предусмотрено федеральным законом.
4.7.2. Уничтожение документов (носителей), содержащих ПД, производится способом, исключающим возможность дальнейшего восстановления и ознакомления с ними неуполномоченных лиц (например, с использованием шредера для бумажных документов, программно-аппаратными средствами гарантированного удаления для электронных носителей).
4.7.3. Уничтожение ПД оформляется актом, подписываемым комиссией, созданной приказом руководителя Оператора. В акте фиксируются факт и способ уничтожения, перечень уничтоженных носителей (документов).
4.8. Передача ПД третьим лицам
4.8.1. Оператор передает ПД третьим лицам только в следующих случаях:
субъект ПД выразил свое согласие на такие действия;
передача предусмотрена федеральным законом (обязательная передача) в рамках установленной процедуры;
передача осуществляется на основании договора с третьим лицом, при условии соблюдения конфиденциальности и принятия этим лицом обязательств по защите ПД.
4.8.2. Перечень лиц (получателей), которым ПД передаются на законном основании:
Фонд пенсионного и социального страхования Российской Федерации – в рамках персонифицированного учета и социального страхования;
налоговые органы РФ;
Территориальный фонд обязательного медицинского страхования;
страховые медицинские организации (по обязательному и добровольному медицинскому страхованию);
кредитные организации (банки) для начисления заработной платы и иных выплат – на основании договора;
судебные и правоохранительные органы – в случаях, установленных законодательством РФ;
организации, осуществляющие техническое обслуживание информационных систем Оператора (при условии подписания соглашения о конфиденциальности);
бюро кредитных историй – только с письменного согласия субъекта ПД.
4.8.3. При передаче ПД третьим лицам Оператор уведомляет субъектов ПД или получает их согласие в случаях, предусмотренных 152-ФЗ.
4.8.4. Оператор не осуществляет трансграничную передачу персональных данных (т.е. передачу персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу). Вся обработка персональных данных ведется с использованием технических средств, находящихся под юрисдикцией и на территории Российской Федерации.
4.9. Обработка файлов cookie
4.9.1. На Сайте Оператора используются файлы cookie и аналогичные технологии для обеспечения работоспособности, сбора статистики посещаемости и улучшения качества услуг.
4.9.2. Информация, получаемая с помощью файлов cookie (IP-адрес, сведения о браузере, операционной системе, посещенных страницах и время доступа), обрабатывается Оператором в обезличенном виде в статистических и иных исследовательских целях в соответствии со статьей 6 Федерального закона № 152-ФЗ.
4.9.3. Подробные условия обработки файлов cookie, включая их виды, цели обработки, способы предоставления согласия и отказа от них, а также сведения о методах обезличивания, содержатся в отдельном документе — «Политике обработки файлов cookie», размещенном в свободном доступе по адресу: https://bion.tomsk.ru/cookies.»
5. Защита персональных данных
5.1. Организационные и технические меры защиты
Для обеспечения безопасности персональных данных при их обработке Оператор реализует комплекс организационных и технических мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами.
К числу таких мер относятся:
5.1.1. Организационные меры:
б) количества субъектов, персональные данные которых обрабатываются;
в) возможных видов нарушений (несанкционированный доступ, уничтожение, изменение, распространение и т.п.);
г) вероятности реализации каждого вида нарушения с учетом актуальных угроз безопасности;
д) потенциальных негативных последствий для субъекта (материальный ущерб, моральный вред, дискредитация, ущемление прав, нарушение врачебной тайны и т.д.).
Критерии и шкала оценки вреда:
б) выявленный уровень возможного вреда;
в) перечень уже реализованных мер защиты;
г) вывод о достаточности/недостаточности мер;
д) при недостаточности – перечень дополнительных мер, сроки их внедрения и ответственных лиц;
Технические меры по обеспечению безопасности персональных данных определяются Оператором в соответствии с Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (в редакции от 14.05.2020). Перечень и содержание реализуемых мер зависят от уровня защищенности, присвоенного каждой ИСПДн.
В зависимости от уровня защищенности Оператором применяются следующие технические меры (по группам, предусмотренным Приказом ФСТЭК № 21):
Применяемые средства защиты информации (средства антивирусной защиты, средства защиты от несанкционированного доступа, межсетевые экраны, средства обнаружения вторжений и иные) имеют сертификаты соответствия ФСТЭК России (по классам защиты) или сертификаты ФСБ России (для криптографических средств) в соответствии с требованиями, установленными для соответствующего уровня защищенности ИСПДн. Сертификация подтверждает соответствие средств защиты требованиям по безопасности информации и их пригодность для защиты персональных данных в ИСПДн определенного класса. Выбор конкретных средств защиты осуществляется Оператором в соответствии с нормативными правовыми актами, принятыми ФСТЭК России и ФСБ России во исполнение части 4 статьи 19 Федерального закона № 152-ФЗ.
5.2. Контроль за принимаемыми мерами
Оператор осуществляет постоянный контроль за соблюдением требований к защите ПД, эффективностью принятых мер, а также за состоянием учета и сохранности материальных носителей ПД. Результаты контроля регулярно анализируются, при необходимости в принимаемые меры вносятся коррективы.
Результаты внутреннего контроля (акты, отчеты об устранении нарушений) учитываются при проведении последующих проверок, а также служат основанием для актуализации модели угроз, корректировки локальных актов и дополнительного обучения работников.
6. Права субъектов персональных данных и обязанности Оператора
6.1. Права субъектов персональных данных
6.1.1. Субъект персональных данных (далее – субъект ПД) имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
6.1.3. Субъект ПД имеет право на обжалование действий (бездействия) оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.
6.2. Обязанности Оператора
Оператор обязан:
7.1. Лицо, ответственное за организацию обработки персональных данных, назначается приказом Генерального директора Оператора.
7.1.1. Лицо, ответственное за организацию обработки персональных данных, несет персональную ответственность за проведение внутреннего контроля в установленные сроки, за полноту и достоверность оформляемых актов, а также за контроль устранения выявленных нарушений.
7.1.2. Лицо, ответственное за организацию обработки персональных данных, обеспечивает своевременную актуализацию моделей угроз в установленные сроки, а также контроль применения мер защиты на основе этих моделей.
7.2. Субъект персональных данных может получить разъяснения по вопросам, касающимся обработки его персональных данных, а также направить обращение (запрос) Оператору следующими способами:
7.5. Актуальная версия Политики в свободном доступе размещена в информационно-телекоммуникационной сети Интернет по адресу: https://bion.tomsk.ru/policy.
5.1. Организационные и технические меры защиты
Для обеспечения безопасности персональных данных при их обработке Оператор реализует комплекс организационных и технических мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами.
К числу таких мер относятся:
5.1.1. Организационные меры:
- организация внутреннего контроля (аудита) соответствия обработки персональных данных требованиям Федерального закона № 152-ФЗ, принятых в соответствии с ним нормативных правовых актов, требованиям к защите персональных данных, настоящей Политике и иным локальным актам Оператора, с установлением следующих правил:
- плановый внутренний контроль проводится не реже одного раза в год;
- внеплановый контроль проводится: при изменении законодательства о персональных данных, при внедрении новых информационных систем обработки персональных данных, при выявлении инцидентов (фактов нарушения безопасности), по поручению Генерального директора или требованию уполномоченного органа (Роскомнадзора).
- контроль осуществляется лицом, ответственным за организацию обработки персональных данных, и (или) специально создаваемой приказом Генерального директора комиссией (не менее двух человек);
- в рамках контроля проверяются: наличие и актуальность всех локальных актов, предусмотренных разделом 1.7 Политики; соблюдение порядка получения согласий субъектов на обработку персональных данных; правильность и своевременность выполнения требований по уничтожению и обезличиванию персональных данных; состояние учета и сохранности материальных носителей персональных данных; соблюдение режима доступа к персональным данным работниками; эффективность применяемых технических мер защиты; своевременность ознакомления работников с законодательством и локальными актами;
- методика контроля включает: анализ документов (журналов, актов, согласий, распорядительных документов), выборочную проверку персональных данных на предмет достоверности и актуальности, техническое тестирование (при необходимости), опрос работников.
- результаты оформляются актом (справкой) внутреннего контроля, который должен содержать: дату проведения, состав проверяющих, перечень проверенных направлений, выявленные нарушения (или запись об их отсутствии), ссылки на нарушенные нормы законодательства или локальных актов, выводы и рекомендации;
- акт подписывается всеми членами комиссии (проверяющими) и доводится до сведения Генерального директора в течение 3 рабочих дней после завершения проверки;
- к акту могут прилагаться копии документов, фиксирующих нарушения (при необходимости);
- все акты внутреннего контроля хранятся у лица, ответственного за организацию обработки персональных данных, не менее 5 лет.
- на основании акта внутреннего контроля Генеральный директор издает приказ (или дает письменное поручение) об устранении выявленных нарушений, в котором устанавливаются сроки и назначаются ответственные лица;
- срок устранения нарушений устанавливается в зависимости от их характера, но не может превышать 30 календарных дней со дня подписания акта, если для устранения не требуется более длительного времени (например, изменение программного обеспечения), о чем делается отдельное указание с обоснованием;
- по истечении срока ответственное лицо представляет письменный отчет об устранении нарушений лицу, ответственному за организацию обработки персональных данных, который проверяет фактическое устранение и составляет заключение;
- в случае неустранения нарушений в установленный срок лицо, ответственное за организацию обработки персональных данных, докладывает Генеральному директору для принятия мер дисциплинарного воздействия вплоть до отстранения виновных работников от обработки персональных данных.
- издание и утверждение локальных актов, указанных в пункте 1.7 настоящей Политики, определяющих политику Оператора в отношении обработки персональных данных, устанавливающих для каждой цели обработки категории и перечень персональных данных, категории субъектов, способы, сроки обработки и хранения, порядок уничтожения, а также процедуры, направленные на предотвращение и выявление нарушений законодательства, и порядок доступа к персональным данным;
- ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, с настоящей Политикой и иными локальными актами по вопросам обработки и защиты персональных данных, с установлением следующих правил:
- первичное ознакомление проводится при приеме на работу (до начала выполнения трудовых функций, связанных с обработкой ПД) лицом, ответственным за организацию обработки персональных данных, либо уполномоченным им работником кадровой службы;
- при внесении изменений в законодательство о персональных данных, в настоящую Политику или в иные локальные акты, затрагивающие обработку ПД, ознакомление с изменениями осуществляется в срок не позднее 10 рабочих дней с даты утверждения изменений (или с даты вступления в силу изменений законодательства);
- не реже одного раза в год проводится повторное периодическое ознакомление (инструктаж) всех работников, непосредственно осуществляющих обработку ПД, с актуальными требованиями законодательства и локальных актов.
- факт ознакомления каждого работника удостоверяется его собственноручной подписью в листе ознакомления (или в журнале учета ознакомления), который хранится у лица, ответственного за организацию обработки персональных данных, либо в личном деле работника;
- лист ознакомления должен содержать: дату ознакомления, перечень документов (или конкретных изменений), с которыми работник ознакомлен, подпись работника, подпись проводившего ознакомление лица;
- при проведении периодического инструктажа оформляется протокол (акт) с указанием даты, темы, состава присутствующих работников и отметкой о прохождении инструктажа каждым из них;
- все листы ознакомления и протоколы хранятся не менее срока, установленного для документов, подтверждающих выполнение требований по защите персональных данных, но не менее 3 лет.
- обеспечение свободного доступа работников, непосредственно осуществляющих обработку персональных данных, к действующим локальным актам, указанным в пункте 1.7 Политики, под роспись или с использованием внутренней электронной системы документооборота;
- определение актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПДн) и разработка (актуализация) моделей угроз на основе Методики оценки угроз безопасности информации, утвержденной ФСТЭК России 05.02.2021, а также с учетом отраслевых особенностей обработки медицинских данных.
- актуальные угрозы определяются для каждой ИСПДн отдельно с учетом: типа обрабатываемых персональных данных (включая специальные категории – сведения о здоровье), категории субъектов, уровня защищенности ИСПДн, архитектуры системы, наличия подключения к сетям связи общего пользования (включая сеть «Интернет»), режимов обработки данных (автоматизированная, неавтоматизированная);
- для выявления угроз используются источники информации: данные ФСТЭК России, ФСБ России, Минцифры России, а также сведения об уязвимостях программного обеспечения и типовых способах реализации угроз;
- угрозы классифицируются по типу (угрозы 1-го, 2-го или 3-го типа в соответствии с Приказом ФСТЭК России от 14.03.2014 № 31) и по источнику возникновения (внешние/внутренние, умышленные/неумышленные).
- модель угроз разрабатывается лицом, ответственным за организацию обработки персональных данных, с привлечением (при необходимости) сторонней лицензированной организации;
- модель угроз включает: описание ИСПДн, перечень актуальных угроз безопасности (с указанием их типа), сценарии реализации угроз, оценку вероятности и возможных последствий, перечень защищаемой информации, требования к системе защиты;
- актуализация модели угроз проводится не реже одного раза в три года, а также в следующих случаях:
- при изменении целей или состава обрабатываемых персональных данных;
- при внедрении новых ИСПДн или существенной модернизации существующих (замена оборудования, переход на новое ПО, изменение топологии сети);
- при изменении типовых угроз безопасности информации (выход новых нормативных или методических документов уполномоченных органов);
- после выявления инцидентов (фактов несанкционированного доступа, утечек информации), повлекших нарушение безопасности персональных данных;
- по результатам внутреннего контроля или оценки вреда, если выявлено несоответствие ранее принятых угроз реальной обстановке.
- каждая модель угроз оформляется в виде отдельного документа на бумажном и электронном носителе, утверждается Генеральным директором Оператора;
- при актуализации модели угроз составляется новая версия документа с указанием даты изменения и перечня внесенных корректировок;
- все версии моделей угроз (в том числе устаревшие) хранятся у лица, ответственного за организацию обработки персональных данных, не менее 5 лет после замены новой версией.
- актуальная модель угроз является обязательным основанием для выбора и применения организационных и технических мер защиты (включая средства защиты информации, систему парольной защиты, меры регистрации событий), а также для проведения оценки вреда субъектам персональных данных и внутреннего контроля.
- установление правил доступа к ПД, обрабатываемым в ИСПДн, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в ИСПДн;
- оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона № 152-ФЗ, и соотнесение этого вреда с принимаемыми Оператором мерами, осуществляемые в соответствии с требованиями уполномоченного органа по защите прав субъектов персональных данных (Роскомнадзора), установленными Приказом Роскомнадзора от 27.02.2024 № 2 «Об утверждении требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона „О персональных данных“» (далее – Требования к оценке вреда).
- оценка вреда проводится лицом, ответственным за организацию обработки персональных данных, или создаваемой приказом Генерального директора комиссией;
- оценка осуществляется до начала обработки персональных данных (при планировании новых целей или способов обработки), а также не реже одного раза в три года для действующих процессов обработки; внеплановая оценка проводится при изменении целей обработки, состава обрабатываемых персональных данных, внедрении новых информационных систем или после выявления инцидентов, повлекших нарушение прав субъектов;
- оценка вреда производится отдельно для каждой цели обработки и категории субъектов персональных данных (работники, пациенты, контрагенты и т.д.), с учетом:
б) количества субъектов, персональные данные которых обрабатываются;
в) возможных видов нарушений (несанкционированный доступ, уничтожение, изменение, распространение и т.п.);
г) вероятности реализации каждого вида нарушения с учетом актуальных угроз безопасности;
д) потенциальных негативных последствий для субъекта (материальный ущерб, моральный вред, дискредитация, ущемление прав, нарушение врачебной тайны и т.д.).
Критерии и шкала оценки вреда:
- вред оценивается по шкале: низкий, средний, высокий, критический в соответствии с критериями, установленными Приложением к Требованиям к оценке вреда (например, для специальных категорий персональных данных о здоровье вред по умолчанию оценивается не ниже среднего);
- при определении уровня вреда учитываются как максимально возможный вред при наихудшем сценарии, так и типичный вред с учетом существующих мер защиты.
- на основе проведенной оценки вреда Оператор определяет, являются ли принимаемые (или планируемые) организационные и технические меры достаточными для снижения риска до приемлемого уровня;
- если уровень вреда оценивается как высокий или критический, Оператор обязан принять дополнительные меры защиты (в том числе организационные, технические, правовые) до начала обработки либо отказаться от обработки, если снижение риска невозможно;
- результат соотнесения оформляется в виде заключения об оценке вреда, которое должно содержать:
б) выявленный уровень возможного вреда;
в) перечень уже реализованных мер защиты;
г) вывод о достаточности/недостаточности мер;
д) при недостаточности – перечень дополнительных мер, сроки их внедрения и ответственных лиц;
- заключение подписывается лицом, проводившим оценку, и утверждается Генеральным директором; хранится не менее 5 лет.
- все заключения об оценке вреда хранятся у лица, ответственного за организацию обработки персональных данных, и учитываются при актуализации локальных актов, модели угроз, планов внутреннего контроля и обучения работников;
- при изменении законодательства о персональных данных или появлении новых методических документов уполномоченного органа Оператор проводит переоценку вреда в соответствии с актуальными требованиями.
- результаты оценки вреда используются при определении актуальных угроз безопасности (модели угроз), при выборе технических средств защиты, а также при планировании мероприятий внутреннего контроля и обучения работников.
- организация внутреннего контроля (аудита) соответствия обработки ПД требованиям законодательства и принятым локальным актам;
- восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- размещение технических средств и информационных систем, предназначенных для обработки ПД, в пределах охраняемой территории Оператора с обеспечением режима обеспечения безопасности.
- назначение лица, ответственного за организацию обработки персональных данных, ответственным за проведение ознакомлений, ведение листов ознакомления и протоколов, а также за контроль своевременности ознакомления работников с изменениями законодательства и локальных актов.
- оценка эффективности принятых мер по обеспечению безопасности персональных данных проводится не реже одного раза в три года. Оценка осуществляется Оператором самостоятельно или с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Результаты оценки оформляются актом (заключением) и учитываются при актуализации модели угроз и корректировке системы защиты персональных данных;
Технические меры по обеспечению безопасности персональных данных определяются Оператором в соответствии с Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (в редакции от 14.05.2020). Перечень и содержание реализуемых мер зависят от уровня защищенности, присвоенного каждой ИСПДн.
В зависимости от уровня защищенности Оператором применяются следующие технические меры (по группам, предусмотренным Приказом ФСТЭК № 21):
- меры управления доступом — разграничение доступа работников к ИСПДн на основе ролевой модели, использование парольной защиты, обеспечивающей идентификацию и аутентификацию;
- меры регистрации и учета событий безопасности — регистрация входа/выхода из системы, доступа к персональным данным, попыток несанкционированного доступа, изменений полномочий;
- меры по обеспечению целостности — контроль неизменности программного обеспечения и обрабатываемых персональных данных, использование средств резервного копирования;
- меры антивирусной защиты — применение сертифицированных средств антивирусной защиты на всех рабочих станциях и серверах, участвующих в обработке персональных данных, с регулярным обновлением антивирусных баз;
- меры по защите среды виртуализации (при наличии);
- меры анализа защищенности — периодическое проведение сканирования уязвимостей и анализа защищенности ИСПДн.
- Выбор конкретных технических средств защиты информации осуществляется в соответствии с актуальной моделью угроз для каждой ИСПДн. При изменении модели угроз (например, появлении новых угроз или изменении их типа) проводится пересмотр состава технических мер и при необходимости их усиление (замена средств защиты, изменение настроек, внедрение дополнительных компонентов).
Применяемые средства защиты информации (средства антивирусной защиты, средства защиты от несанкционированного доступа, межсетевые экраны, средства обнаружения вторжений и иные) имеют сертификаты соответствия ФСТЭК России (по классам защиты) или сертификаты ФСБ России (для криптографических средств) в соответствии с требованиями, установленными для соответствующего уровня защищенности ИСПДн. Сертификация подтверждает соответствие средств защиты требованиям по безопасности информации и их пригодность для защиты персональных данных в ИСПДн определенного класса. Выбор конкретных средств защиты осуществляется Оператором в соответствии с нормативными правовыми актами, принятыми ФСТЭК России и ФСБ России во исполнение части 4 статьи 19 Федерального закона № 152-ФЗ.
5.2. Контроль за принимаемыми мерами
Оператор осуществляет постоянный контроль за соблюдением требований к защите ПД, эффективностью принятых мер, а также за состоянием учета и сохранности материальных носителей ПД. Результаты контроля регулярно анализируются, при необходимости в принимаемые меры вносятся коррективы.
Результаты внутреннего контроля (акты, отчеты об устранении нарушений) учитываются при проведении последующих проверок, а также служат основанием для актуализации модели угроз, корректировки локальных актов и дополнительного обучения работников.
6. Права субъектов персональных данных и обязанности Оператора
6.1. Права субъектов персональных данных
6.1.1. Субъект персональных данных (далее – субъект ПД) имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые оператором способы обработки персональных данных;
- наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
6.1.3. Субъект ПД имеет право на обжалование действий (бездействия) оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.
6.2. Обязанности Оператора
Оператор обязан:
- при сборе персональных данных предоставить субъекту ПД по его просьбе информацию, предусмотренную ст. 14 Федерального закона «О персональных данных», либо в случаях, предусмотренных законом, обеспечить возможность ознакомления с этой информацией;
- в случае, если персональные данные получены не от субъекта ПД, до начала обработки таких данных уведомить субъекта ПД, за исключением случаев, установленных ч. 4 ст. 18 Федерального закона «О персональных данных»;
- при отказе в предоставлении субъекту ПД его персональных данных дать в письменной форме мотивированный ответ, содержащий ссылку на положение федерального закона, являющееся основанием для такого отказа, в срок, не превышающий десяти рабочих дней со дня обращения субъекта ПД;
- опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике и иным документам, определяющим политику оператора в отношении обработки персональных данных, а также к сведениям о реализуемых требованиях к защите персональных данных;
- принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных;
- давать ответы на запросы и обращения субъектов ПД, их представителей и уполномоченного органа по защите прав субъектов персональных данных в порядке и сроки, установленные ст. 20 Федерального закона «О персональных данных».
7.1. Лицо, ответственное за организацию обработки персональных данных, назначается приказом Генерального директора Оператора.
7.1.1. Лицо, ответственное за организацию обработки персональных данных, несет персональную ответственность за проведение внутреннего контроля в установленные сроки, за полноту и достоверность оформляемых актов, а также за контроль устранения выявленных нарушений.
7.1.2. Лицо, ответственное за организацию обработки персональных данных, обеспечивает своевременную актуализацию моделей угроз в установленные сроки, а также контроль применения мер защиты на основе этих моделей.
7.2. Субъект персональных данных может получить разъяснения по вопросам, касающимся обработки его персональных данных, а также направить обращение (запрос) Оператору следующими способами:
- по почтовому адресу: 634021, г. Томск, ул. Розы Люксембург, д. 39 а;
- по адресу электронной почты: BIONMED@MAIL.RU;
- по телефонам: +7 (3822) 51-63-75; +79039552748
- информация, касающаяся обработки персональных данных, предоставляется субъекту ПД в течение 10 (десяти) рабочих дней с момента получения запроса. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней, при условии направления субъекту мотивированного уведомления о причинах продления;
- внесение изменений в ПД (уточнение, блокирование, уничтожение) при наличии законных оснований осуществляется в срок, не превышающий 7 (семи) рабочих дней со дня представления подтверждающих сведений.
7.5. Актуальная версия Политики в свободном доступе размещена в информационно-телекоммуникационной сети Интернет по адресу: https://bion.tomsk.ru/policy.