Москва, ул. Истринская, д.8, корп. 3 пн-пт: 8:00 - 20:00, сб: 9:00 - 16:00
Политика конфиденциальности
Политика конфиденциальности и обработки персональных данных ООО «СтомАртСтудио Леонардо»
1.Общие положения
1.1. Оказание медицинских услуг предполагает обработку и хранение персональных данных клиентов в автоматизированных информационных системах ООО «НСК доктора Васильева» (далее Оператор).
Настоящая политика в отношении обработки персональных данных (далее – Политика) разработана в целях обеспечения защиты прав и свобод субъекта персональных данных при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Политика определяет общий порядок, принципы и условия обработки персональных данных Оператором и обеспечивает защиту прав субъектов персональных данных при обработке их персональных данных в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
1.3. Основные понятия, используемые в Политике:
- персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- оператор - организация, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- субъект персональных данных – физическое лицо, персональные данные которого обрабатываются;
- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2. Основные права и обязанности Оператора персональных данных
2.1. Оператор обязан:
- при сборе персональных данных предоставить субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;
- отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
- принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним.
2.2. Оператор имеет право:
- получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;
- самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами.
3. Основные права и обязанности субъекта персональных данных
3.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных;
- правовые основания и цели обработки персональных данных;
- применяемые способы обработки персональных данных;
- сведения о лицах (за исключением сотрудников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных своих прав.
3.2. Субъект персональных данных обязан предоставлять Оператору достоверные персональные данные.
4. Цель обработки персональных данных
Целью сбора, обработки, хранения, а также других действий с персональными данными клиентов является исполнение обязательств Оператором перед клиентом по договору с ним.
5. Принципы обработки персональных данных
При обработке персональных данных клиентов Оператор придерживается следующих принципов:
- соблюдение законности получения, обработки, хранения, а также других действий с персональными данными;
- строгое выполнение требований по обеспечению безопасность персональных данных и сведений, составляющих врачебную тайну при их обработке и хранении;
- обработка персональных данных исключительно с целью исполнения своих обязательств по договору оказания услуг;
- соблюдение прав субъекта персональных данных на доступ к его персональным данным.
6. Состав персональных данных
В состав обрабатываемых Оператором персональных данных клиентов могут входить:
- фамилия, имя, отчество;
- пол;
- дата рождения;
- паспортные данные (для заполнения договора на оказание платных медицинских услуг);
- данные свидетельства о рождении ребенка (в случае если он является пациентом);
- адрес проживания;
- номер телефона;
- ИНН (для предоставления справок для налогового вычета);
- реквизиты полиса медицинского страхования;
- результаты выполненных медицинских исследований;
- данные о состоянии здоровья, заболеваниях, аллергических реакциях;
- данные о случаях обращения за медицинской помощью (в медико- профилактических целях, в целях установления медицинского диагноза и оказания медицинских услуг при условии, что их обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью обязанным сохранять врачебную тайну);
другая информация, необходимая для правильного проведения и интерпретации медицинских исследований (необходима в некоторых случаях для установки правильных пограничных значений результатов).
7. Сбор (получение) персональных данных
Персональные данные клиентов Оператор получает только лично от клиента или от его законного представителя. Персональные данные клиента могут быть получены с его слов и не проверяются.
8. Обработка персональных данных
8.1. Обработка персональных данных клиентов в Оператора происходит неавтоматизированным и автоматизированным способом.
8.2. К обработке персональных данных в информационных системах Оператора допускаются только сотрудники, прошедшие определенную процедуру допуска, к которой относятся:
- ознакомление сотрудника с локальными нормативными актами Оператора (положения, инструкции и т.д.), строго регламентирующими порядок и процедуру работы с персональными данными клиентов;
- получение сотрудником и использование в работе индивидуальных атрибутов доступа к информационным системам Оператора, содержащим в себе персональные данные клиентов. При этом каждому сотруднику выдаются минимально необходимые для исполнения трудовых обязанностей права на доступ в информационные системы.
8.3. Сотрудники, имеющие доступ к персональным данным клиентов, получают только те персональные данные, которые необходимы им для выполнения конкретных трудовых функций.
9. Хранение персональных данных
9.1. Персональные данные клиентов хранятся в бумажном (договор, медицинская карта) и электронном виде. В электронном виде персональные данные клиентов хранятся в информационных системах персональных данных Оператора, а также в архивных копиях баз данных этих систем.
9.2. При хранении персональных данных клиентов соблюдаются организационные и технические меры, обеспечивающие их сохранность и исключающие несанкционированный доступ к ним.
К ним относятся:
- назначение подразделения или сотрудника ответственного за тот или иной способ хранения персональных данных;
- ограничение физического доступа к местам хранения и носителям;
- учет всех информационных систем и электронных носителей, а также архивных копий.
10. Передача персональных данных третьим лицам
10.1. Передача персональных данных третьим лицам, возможна в исключительных случаях только с согласия клиента и только с целью исполнения обязанностей перед клиентом в рамках договора оказания услуг, кроме случаев, когда такая обязанность у компании наступает в результате требований федерального законодательства или при поступлении запроса от уполномоченных государственных органов. В данном случае Оператор ограничивает передачу персональных данных запрошенным объемом. При этом субъекту персональных данных направляется уведомление о факте передачи его персональных данных третьей стороне, если такое возможно.
10.2. Персональные данные клиента (в том числе результаты исследований) могут быть предоставлены родственникам или членам его семьи только с разрешения самого клиента, за исключением случаев, когда передача персональных данных без его согласия допускается действующим законодательством РФ. В качестве такого разрешения может выступать нотариально заверенная доверенность.
11. Меры по обеспечению безопасности персональных данных при их обработке
Обеспечение безопасности персональных данных Оператором достигается следующими мерами:
- ознакомлением работников Оператора с требованиями законодательства Российской Федерации о персональных данных и защите информации;
- назначением должностных лиц ответственных за организацию и проведение работ по защите персональных данных;
- определением списка лиц, допущенных к работе с персональными данными;
- разработкой и утверждением локальных нормативных актов Оператора, регламентирующих порядок обработки персональных данных;
- реализацией технических мер, снижающих вероятность угроз безопасности персональных данных;
- проведением периодических проверок состояния защищенности информационных систем компании;
- непрерывным совершенствованием методов и способов обеспечения безопасности персональных данных.
12. Заключительные положения
12.1. Политика является общедоступным документом.
12.2. Ответственность лиц, имеющих доступ к персональным данным, определяется законодательством Российской Федерации.