Согласие на обработку персональных данных

Утверждено приказом от 30.05.2024г. №52

ПОЛОЖЕНИЕ

об обработке и защите персональных данных пациентов АО «Стоматологическая поликлиника № 1»

I. Общие положения

1.1. Настоящим Положением определяется порядок получения, обработки, хранения, передачи и любого другого использования персональных данных пациентов, а также ведения их медицинских карт.

1.2. Цель настоящего Положения – обеспечение в соответствии с законодательством Российской Федерации обработки, хранения и защиты персональных данных пациентов, содержащихся в документах, заведенных в поликлинике, полученных из других организаций, в обращениях граждан.

1.3. Настоящее Положение разработано в соответствии с Конституцией РФ, Федеральным законом от 27.07.06г. № 152-ФЗ «О персональных данных», Федеральным законом от 27.07.06г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 29.07.04г. №98-ФЗ «О коммерческой тайне», Федеральным законом от 22.10.04г. № 125-ФЗ «Об архивном деле в Российской Федерации», законодательством в сфере охране здоровья.

1.4. В настоящем Положении используются следующие термины и определения:

Оператор персональных данных (далее оператор) - юридическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. В рамках настоящего положения оператором является АО «Стоматологическая поликлиника № 1» (далее поликлиника).

Субъект персональных данных – далее пациент. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); в том числе: фамилия, имя, отчество, дата рождения, адрес, контактные данные, паспортные данные, СНИЛС, №полиса страховой компании сведения о состоянии здоровья, другая информация, определяемая нормативно-правовыми актами Российской Федерации в области здравоохранения, Положением об обработке и защите персональных данных и приказами АО «Стоматологическая поликлиника № 1».

Обработка персональных данных – действия (операции) с персональными данными, включая систематизацию, накопление, хранение, комбинирование, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Защита персональных данных – деятельность уполномоченных лиц по обеспечению с помощью локального регулирования порядка обработки персональных данных и обеспечение организационно-технических мер защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения.

Конфиденциальная информация – это информация (в документированном или электронном виде), доступ к которой ограничивается в соответствии с законодательством РФ.

Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

II. Сбор и обработка персональных данных пациентов

2.1. Информационные системы классифицируются поликлиникой организующей и (или) осуществляющей обработку персональных данных, а также определяющей цели и содержание обработки персональных данных (далее – поликлиника), в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности. Сбор и обработка персональных данных осуществляется исключительно с письменного согласия пациента, полученного при заключении договора на оказание медицинских услуг. Образцы форм заявления о согласии на обработку персональных данных и отказа от нее, размещены в Приложении №1, Приложении № 2 и Приложении № 3. Согласие также может быть включено в текст договора на оказание медицинских услуг, медицинскую карту пациента, при этом подписав договор пациент дает согласие на обработку персональных данных. Персональные данные пациента относятся к конфиденциальной информации.

2.2. В целях обеспечения прав и свобод человека и гражданина поликлиника и его представители при обработке персональных данных субъекта ПД обязаны соблюдать следующие общие требования:

2.2.1. Обработка персональных данных пациента может осуществляться в целях оказания медицинских услуг (обследования, наблюдения и лечения пациентов), ведения медицинских карт.

2.2.2. Обработка персональных данных может осуществляться для статистических или иных научных целей при условии обязательного обезличивания защиты персональных данных.

2.2.3. При определении объема и содержания, обрабатываемых персональных данных поликлиника руководствуется федеральными законами и локальными документами по данному разделу работы.

2.2.4. Информация о персональных данных пациента предоставляется поликлинике устно, путем заполнения медицинских карт для пациентов, которые хранятся в регистратуре, лечебных кабинетах и архиве. Если персональные данные пациента возможно получить только у третьей стороны, то пациент должен быть уведомлен об этом и от него должно быть получено письменное согласие (либо письменный отказ). В письменном уведомлении оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных (например, оформление запроса в медицинское учреждение о прохождении обследования и лечения и т.п.) и последствиях отказа субъекта дать письменное согласие на их получение.

2.2.5. Поликлиника не имеет права получать и обрабатывать персональные данные субъекта, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений и частной жизни.

2.2.6. Поликлиника не имеет права получать и обрабатывать персональные данные субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.

2.2.7. При принятии решений, затрагивающих интересы пациента, поликлиника не имеет права основываться на персональных данных пациента, полученных исключительно в результате их автоматизированной обработки или электронного получения. При каждом первичном обращении, при заключении договора на оказание медицинской помощи поликлиника оформляет с пациентом информированное согласие или отказ на обработку персональных данных.

2.3. При приеме к врачу пациент представляет следующие документы, содержащие персональные данные о себе:

- паспорт или иной документ, удостоверяющий личность, гражданство;

- полис добровольного медицинского страхования;

- страховой номер индивидуального лицевого счета (СНИЛС);

• в отдельных случаях с учетом специфики обследования в учреждение здравоохранения действующим законодательством РФ может предусматриваться необходимость предъявления дополнительных документов.

• При оформлении договоров на оказание медицинской помощи в экстренных случаях или повторно постоянному пациенту предъявление документов не обязательно.

2.4. При оформлении документов о временной нетрудоспособности или лечении по полису добровольного медицинского страхования, поликлиника требует у пациента следующие документы, содержащие персональные данные о себе:

- паспорт или иной документ, удостоверяющий личность;

- страховой полис добровольного медицинского страхования.

2.5. В целях информационного обеспечения в рамках поликлиники созданы источники персональных данных (в том числе справочники, электронные базы). В источники персональных данных включены фамилия, имя, отчество, данные паспорта или другого документа, удостоверяющего личность, год рождения, адрес проживания, должность, место работы или учебы, служебные и личные телефоны и адрес электронной почты, информация, изложенная в медицинской карте. к вышеперечисленным персональным данным имеют доступ сотрудники поликлиники, в порядке , обеспечивающем защиту персональных данных.

2.6. Передача персональных данных в государственные уполномоченные органы осуществляется в порядке и на условиях, установленных законодательством РФ.

III. Хранение и защита персональных данных субъектов персональных данных

 3.1. Персональные данные субъектов хранятся на бумажных и электронных носителях в регистратуре и кабинетах поликлиники. Для этого используются специально оборудованные шкафы. Медицинские карты, прошедших обследование, лечение в поликлинике пациентов хранятся в течении 5 лет с даты последнего посещения в регистратуре, затем передаются в архив поликлиники для хранения в течении 25 лет. После истечения указанных сроков проводится уничтожение как бумажных, так и электронных носителей в соответствии с локальными документами. 

3.2. Конкретные обязанности по ведению, хранению медицинских карт пациентов, заполнению, хранению и передаче их и иных документов, отражающих персональные данные пациента, возлагаются на сотрудников поликлиники, а по хранению и уничтожению историй болезни и иных документов (обследованных, пролеченных) пациентов – на работников регистратуры, что закреплено в должностных инструкциях.

3.3. Персональные данные субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.

3.4. Сведения о пациентах поликлиники хранятся также на электронных носителях – в базах данных « регистратура», «Дент-офис», « Дигора», Системе электронного документооборота Клиент страховой компании, Электронная отчетность» (передача сведений в виде реестров в страховую компанию).

3.5. При получении сведений, составляющих персональные данные пациентов, заинтересованные лица имеют право получать только те персональные данные, которые необходимы для выполнения конкретных функций и заданий.

3.6. Защита информации о персональных данных.

3.6.1. Сотрудники АО «Стоматологическая поликлиника №1», имеющие доступ к персональным данным, обязаны принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, модифицирования, блокирования, копирования, распространения, а также от иных неправомерных действий в отношении данной информации.

3.6.2. Сотрудники обеспечивающие электронную информационную защиту принимают следующие меры по защите хранящейся на сервере информации:

- ограничение сетевого доступа на сервер для определенных пользователей;

- организацию в отдельном сегменте сети всех компьютеров пользователей и серверов с ограниченным доступом из локальной сети.

- организацию контроля технического состояния серверов и уровней защиты и восстановления информации;

- проведение регулярного резервного копирования информации;

-ведение аудита действий пользователей и своевременное обнаружение фактов несанкционированного доступа к информации;

3.6.3. Сотрудники поликлиники, имеющие доступ к персональным данным, при пользовании доступом в сеть Интернет обязаны принимать максимальные меры по обеспечению безопасности:

- установить и использовать антивирусное ПО (с обновлением баз вирусов);

- установить и использовать брэндмауэр;

- устанавливать обновление для операционной системы.

3.6.4. Защита персональных данных пациентов в поликлинике возлагается на:

• главного врача поликлиники;

• главного бухгалтера;

• заместителя главного врача по лечебной части;

• зав. структурными подразделениями;

• уполномоченного по информационной безопасности;

• системного администратора

• работников бухгалтерии (ведение документации по учету данных пролеченных пациентов);

• инженеров-программистов;

• главную и старших медицинских сестер поликлиники;

• врачей и средний медицинский персонал;

• работников регистратуры;

• юрисконсульта (при оформлении документации, содержащей персональные данные пациентов).

IV. Передача персональных данных субъектов ПД

 4.1. При передаче персональных данных субъектов сотрудники поликлиники, имеющие доступ к персональным данным, должны соблюдать следующие требования:

4.1.1. Не сообщать персональные данные пациента третьей стороне без письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в других случаях, предусмотренных федеральными законами. Учитывая, что действующее законодательство РФ не определяет критерии ситуаций, представляющих угрозу жизни или здоровью пациента, поликлиника в каждом конкретном случае делает самостоятельную оценку серьезности, неминуемости, степени такой угрозы. Если же лицо, обратившееся с запросом, не уполномочено федеральным законом на получение персональных данных пациента, либо отсутствует письменное согласие пациента на предоставление его персональных сведений, либо, по мнению сотрудника, отсутствует угроза жизни или здоровью пациента, поликлиника отказывает в предоставлении персональных данных .

4.1.2. Запрещено сообщать персональные данные пациента в коммерческих целях без его письменного согласия.

4.1.3. Предупредить лиц, получающих персональные данные пациента, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.

4.1.4. Разрешается доступ к персональным данным пациентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные субъектов, которые необходимы для выполнения конкретных функций.

4.1.5. Все сведения о передаче персональных данных субъекта регистрируются в Журнале учета передачи персональных данных, в целях контроля правомерности использования данной информации лицами, ее получившими. В журнале фиксируются сведения о лице, направившим запрос, дата передачи персональных данных или дата уведомления об отказе в их предоставлении, а также отмечается какая именно информация была передана. Форма журнала учета передачи персональных данных представлена в приложении № 5 к настоящему Положению. В случае передачи медицинской карты от врача к врачу или из кабинета в кабинет данная передача проводится в интересах пациента и только через регистратуру.

4.2. Требования п.4.1. Положения не подлежат изменению, исключению, так как являются обязательными для медицинской организации и пациентов.

V. Обязанности пациента и поликлиники.

 5.1. В целях обеспечения достоверности персональных данных пациент обязан:

5.1.1. При записи на прием к врачу предоставить поликлинике полные достоверные данные о себе.

5.1.2. В случае изменения сведений, составляющих персональные данные, пациент должен предоставить данную информацию для внесения изменений.

5.2. Поликлиника обязана:

5.2.1. Осуществлять защиту персональных пациента.

5.2.2. Обеспечить хранение медицинской и др. документации. При этом персональные данные не должны храниться дольше, чем это оправдано выполнением задач, для которых они собирались, или дольше, чем это требуется в интересах лиц, о которых собраны данные.

5.2.3. Заполнение документации, содержащей персональные данные пациента, осуществляется в соответствии с унифицированными формами первичной учетной документации, медицинской документации, утвержденными компетентными органами.

5.2.4. Пациенты, их законные представители, а также представители, действующие от их имени по доверенности, должны быть ознакомлены под расписку с документами поликлиники, устанавливающими порядок обработки персональных данных субъектов, а также их права и обязанности в этой области.

5.2.6. Все сотрудники, имеющие доступ к персональным данным субъектов, обязаны подписать соглашение о неразглашении персональных данных. Форма соглашения о неразглашении персональных данных представлена в приложении № 6 к Положению об обработке персональных данных работников АО «Стоматологическая поликлиника №1».

VI. Права субъектов в целях защиты персональных данных

 6.1. В целях обеспечения защиты персональных данных, хранящихся в поликлинике, пациенты имеют право на:

6.1.1. Полную и безвозмездную информацию об их персональных данных и обработке этих данных.

6.1.2. Свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные субъекта, за исключением случаев, предусмотренных законодательством РФ..

6.1.3. Определение своих представителей для защиты своих персональных данных.

6.1.4. Требовать об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушениями. При отказе поликлиники исключить или исправить персональные данные пациента он имеет право заявить в письменной форме поликлинике о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера пациент имеет право дополнить заявлением, выражающим его собственную точку зрения.

6.1.5. Требовать об извещении поликлиникой всех лиц, которым ранее были сообщены неверные или неполные персональные данные пациента, обо всех произведенных в них исключениях, исправлениях или дополнениях.

6.1.6. Обжалование в суд любых неправомерных действий или бездействий поликлиники при обработке и защите его персональных данных.

VII. Ответственность за нарушение норм, регулирующих получение, обработку и защиту персональных данных субъекта

7.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных пациента, привлекаются к ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

   VIII. Заключительные положения

8.1. Настоящее Положение вступает в силу с момента его утверждения главным врачом поликлиники..

8.2. Настоящее Положение доводится до сведения всех сотрудников поликлиники под роспись.

Приложение №14

Утверждено Приказом от 30.05.2024№52

Политика Акционерного общества «Стоматологическая поликлиника №1»

в отношении обработки персональных данных

1. Общие положения

1.1. Настоящая Политика Акционерного общества «Стоматологическая поликлиника №1» в отношении обработки персональных данных (далее - Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее - Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Политика действует в отношении всех персональных данных, которые обрабатывает Акционерное общество «Стоматологическая поликлиника №1» (далее - Оператор, АО «Стоматологическая поликлиника №1»).

1.3. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора.

1.4. Основные понятия, используемые в Политике:

персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:

• сбор;

• запись;

• систематизацию;

• накопление;

• хранение;

• уточнение (обновление, изменение);

• извлечение;

• использование;

• передачу (распространение, предоставление, доступ);

• обезличивание;

• блокирование;

• удаление;

• уничтожение;

автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

1.5. Основные права и обязанности Оператора.

1.5.1. Оператор имеет право:

-самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;

-поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;

-в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.

1.5.2. Оператор обязан:

-организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;

-отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;

-сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить в Роскомнадзор мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации;

-в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) персональных данных.

1.6. Основные права субъекта персональных данных. Субъект персональных данных имеет право:

-получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;

-требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

-дать предварительное согласие на обработку персональных данных в целях продвижения на рынке товаров, работ и услуг;

-обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных.

1.7. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных у Оператора.

1.8. Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов АО «Стоматологическая поликлиника №1»в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.

2. Цели сбора и обработки персональных данных

2.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

2.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

2.3. Обработка Оператором персональных данных осуществляется в следующих целях:

• осуществление своей деятельности в соответствии с уставом АО «Стоматологическая поликлиника №1», в том числе заключение договоров на оказание платных медицинских услуг с пациентами в целях обследования, наблюдения и лечения, ведение медицинских карт пациентов, заключение и исполнение договоров на предоставление медицинских услуг по добровольному медицинскому страхованию, а также заключение и исполнение договоров с иными контрагентами;

• исполнение трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений, в том числе: содействие работникам в трудоустройстве, получении образования и продвижении по службе, привлечение и отбор кандидатов на работу у Оператора, оформление награждений и поощрений, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества, ведение кадрового, воинского и бухгалтерского учета, заполнение и передача в уполномоченные органы требуемых форм отчетности, организация постановки на индивидуальный (персонифицированный) учет работников в системах обязательного пенсионного страхования и обязательного социального страхования.

2.4. Обработка персональных данных работников может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.

2.5. Обработка персональных данных пациентов осуществляется в целях оказания им медицинских услуг (обследование, наблюдение, лечение).

3. Правовые основания обработки персональных данных

3.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:

• Конституция Российской Федерации;

• Гражданский кодекс Российской Федерации;

• Трудовой кодекс Российской Федерации;

• Налоговый кодекс Российской Федерации;

• Федеральный закон от 26.12.1995 N208-ФЗ «Об акционерных обществах»;

• Федеральный закон от 06.12.2011 N 402-ФЗ «О бухгалтерском учете»;

• Федеральный закон от 21.11.2011 №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;

• Федеральный закон от 15.12.2001 N 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;

• Закон Российской Федерации от 07.02.1992 №2300-1 «О защите прав потребителей»;

• иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.

3.2. Правовым основанием обработки персональных данных также являются:

• устав АО «Стоматологическая поликлиника №1»;

• договоры, заключаемые между Оператором и субъектами персональных данных;

• согласие субъектов персональных данных на обработку их персональных данных.

4. Объем и категории обрабатываемых персональных данных,

категории субъектов персональных данных

4.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в разд. 2 настоящей Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

4.2. Оператор может обрабатывать персональные данные следующих категорий субъектов персональных данных.

4.2.1. Кандидаты для приема на работу к Оператору - для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений:

• фамилия, имя, отчество;

• пол;

• гражданство;

• дата и место рождения;

• контактные данные;

• сведения об образовании, опыте работы, квалификации;

• сведения о состоянии здоровья;

• иные персональные данные, сообщаемые кандидатами в резюме и сопроводительных письмах.

4.2.2. Работники и бывшие работники Оператора - для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений:

• фамилия, имя, отчество;

• пол;

• гражданство;

• дата и место рождения;

• изображение (фотография);

• паспортные данные;

• адрес регистрации по месту жительства;

• адрес фактического проживания;

• контактные данные;

• индивидуальный номер налогоплательщика;

• страховой номер индивидуального лицевого счета (СНИЛС);

• сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;

• семейное положение, наличие детей, родственные связи;

• сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;

• данные о регистрации брака;

• сведения о воинском учете;

• сведения об инвалидности;

• сведения о состоянии здоровья;

• сведения об удержании алиментов;

• сведения о доходе с предыдущего места работы;

• иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.

4.2.3. Члены семьи работников Оператора - для целей исполнения трудового законодательства в рамках трудовых и иных непосредственно связанных с ним отношений:

• фамилия, имя, отчество;

• степень родства;

• год рождения;

• иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.

4.2.4. Контрагенты Оператора (физические лица) - для целей осуществления своей деятельности в соответствии с уставом АО «Стоматологическая поликлиника №1»:

• фамилия, имя, отчество;

• дата и место рождения;

• паспортные данные;

• адрес регистрации по месту жительства;

• контактные данные;

• замещаемая должность;

• индивидуальный номер налогоплательщика;

• номер расчетного счета;

• иные персональные данные, предоставляемые клиентами и контрагентами (физическими лицами), необходимые для заключения и исполнения договоров.

4.2.5. Представители (работники) контрагентов Оператора (юридических лиц) - для целей осуществления своей деятельности в соответствии с уставом АО «Стоматологическая поликлиника №1»:

• фамилия, имя, отчество;

• паспортные данные;

• контактные данные;

• замещаемая должность;

• иные персональные данные, предоставляемые представителями (работниками) клиентов и контрагентов, необходимые для заключения и исполнения договоров.

4.2.6.Пациенты (законные представители пациентов) ― для целей оказания медицинских услуг (обследование, наблюдение, лечение), ведение медицинских карт, ведение фотопротокола:

• фамилия, имя, отчество;

• адрес регистрации по месту жительства;

• дата рождения;

• контактные данные;

• паспортные данные;

• страховой номер индивидуального лицевого счета (СНИЛС);

• № полиса в страховой компании;

• место работы;

• сведения о состоянии здоровья;

• фото полости рта, черт лица и улыбки (при необходимости ведения фотопротокола).

4.3 Обработка Оператором специальных категорий персональных данных (сведения о состоянии здоровья) и биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется в соответствии с законодательством Российской Федерации.

4.4. Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.

5. Порядок и условия обработки персональных данных

5.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.

5.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.

5.3. Оператор осуществляет обработку персональных данных для каждой цели их обработки следующими способами:

• неавтоматизированная обработка персональных данных;

• автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;

• смешанная обработка персональных данных.

5.4. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.

5.5. Обработка персональных данных для каждой цели обработки, указанной в п. 2.3 Политики, осуществляется путем:

• получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;

• внесения персональных данных в журналы, реестры и информационные системы Оператора;

• использования иных способов обработки персональных данных.

5.6. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, утверждены Приказом Роскомнадзора от 24.02.2021 N 18.

5.7. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Социальный фонд России и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.

5.8. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:

• определяет угрозы безопасности персональных данных при их обработке;

• принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;

• назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;

• создает необходимые условия для работы с персональными данными;

• организует учет документов, содержащих персональные данные;

• организует работу с информационными системами, в которых обрабатываются персональные данные;

• хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;

• организует обучение работников Оператора, осуществляющих обработку персональных данных.

5.9. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требует каждая цель обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.

5.9.1. Персональные данные на бумажных носителях хранятся в АО «стоматологическая поликлиника №1» в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ (Федеральный закон от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации", Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения (утв. Приказом Росархива от 20.12.2019 N 236)).

5.9.2. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.

5.10. Оператор прекращает обработку персональных данных в следующих случаях:

• выявлен факт их неправомерной обработки. Срок - в течение трех рабочих дней с даты выявления;

• достигнута цель их обработки;

• истек срок действия или отозвано согласие субъекта персональных данных на обработку указанных данных, когда по Закону о персональных данных обработка этих данных допускается только с согласия.

5.11. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку Оператор прекращает обработку этих данных, если:

• иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

• Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;

• иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.

5.12. При обращении субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных в срок, не превышающий 10 рабочих дней с даты получения Оператором соответствующего требования, обработка персональных данных прекращается, за исключением случаев, предусмотренных Законом о персональных данных. Указанный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору необходимо направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока.

5.13. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.

6. Актуализация, исправление, удаление, уничтожение

персональных данных, ответы на запросы субъектов на доступ

к персональным данным

6.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Оператором субъекту персональных данных или его представителю в течение 10 рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на пять рабочих дней. Для этого Оператору следует направить субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации.

В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

Запрос должен содержать:

• номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;

• сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;

• подпись субъекта персональных данных или его представителя.

  Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

  Оператор предоставляет сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

  Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

  Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

6.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

6.3. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.

6.4. При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Оператор:

• в течение 24 часов - уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;

• в течение 72 часов - уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).

6.5. Порядок уничтожения персональных данных Оператором.

6.5.1. Условия и сроки уничтожения персональных данных Оператором:

• достижение цели обработки персональных данных либо утрата необходимости достигать эту цель - в течение 30 дней;

• достижение максимальных сроков хранения документов, содержащих персональные данные, - в течение 30 дней;

• предоставление субъектом персональных данных (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, - в течение семи рабочих дней;

• отзыв субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется, - в течение 30 дней.

6.5.2. При достижении цели обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

• иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

• оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;

• иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.

6.5.3. Уничтожение персональных данных осуществляет комиссия, созданная приказом по АО «Стоматологическая поликлиника №1»

6.5.4. Способы уничтожения персональных данных устанавливаются в локальных нормативных актах Оператора.