Политика в отношении обработки персональных данных

индивидуального предпринимателя Эрентраута Игоря Оттовича

 

  1. Общие положения

 

1.1. Настоящая Политика индивидуального предпринимателя Эрентраута Игоря Оттовича в отношении обработки персональных данных (далее – Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Политика действует в отношении всех персональных данных, которые обрабатывает индивидуальный предприниматель Эрентраут Игорь Оттович (далее – Оператор).

1.3. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.

1.4. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора.

1.5. Основные понятия, используемые в Политике:

 

Персональные данные

 

 

 

 

Любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

 

Оператор Индивидуальный предприниматель, самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператором в настоящей Политике является индивидуальный предприниматель Эрентраут Игорь Оттович.

 

Обработка персональных данных

 

 

 

 

 

 

 

 

Автоматизированная обработка персональных данных

 

Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

 

Обработка персональных данных с помощью средств вычислительной техники.

 

Распространение персональных данных Действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

 

Блокирование персональных данных  

 

Временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

 

Уничтожение персональных данных  

 

Действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

 

Обезличивание персональных данных Действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному Субъекту персональных данных.

 

Информационная система персональных данных (ИСПДн)

 

Совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

 

Общедоступные персональные данные Персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
 

Врачебная тайна

 

 

 

 

 

Субъект персональных данных (субъект ПДн)

 

 

 

Запрет на разглашение сведений о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иных сведений, полученных при его медицинском обследовании и лечении.

 

Физическое лицо, к которому относятся персональные данные.

 

Персональные данные, разрешенные субъектом персональных данных для распространения

 

 

 

Персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных посредством предоставления согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом о персональных данных.

 
Конклюдентные действия Действия лица, выражающие его волю установить правоотношение, но не в форме устного или письменного волеизъявления, а поведением, по которому можно сделать заключение о таком намерении.

 

 

Администрация сайта

 

 

 

 

 

 

 

Пользователь сайта (далее – пользователь)

 

 

Сайт

Уполномоченные сотрудники на управление сайтом, действующие от имени Оператора, которые организуют и (или) осуществляют обработку персональных данных, а также определяют цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

 

Физическое лицо, пользователь услуг сайта, субъект персональных данных, добровольно заполнивший формы обратной связи на сайте.

 

Home

1.6. Основные права и обязанности Оператора.

1.6.1. Оператор имеет право:

1)    самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;

2)    поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных;

3)    в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.

1.6.2. Оператор обязан:

1)    соблюдать конфиденциальность персональных данных – не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;

2) организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;

3)    отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;

4)    сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса;

5) при сборе персональных данных предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Закона о персональных данных;

6) при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Закона о персональных данных.

1.7. Основные права субъекта персональных данных. Субъект персональных данных имеет право:

1)    получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных;

2)    требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

3)    выдвигать условие предварительного согласия при обработке персональных данных в целях продвижения на рынке товаров, работ и услуг;

4)    обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных.

1.8. Субъект персональных данных может реализовать свои права на получение сведений, касающихся обработки его персональных данных Оператором, на ознакомление с персональными данными, принадлежащими Субъекту, обрабатываемыми Оператором, путем обращения лично или через законного представителя по адресу: Ярославская область, г. Ярославль, ул. Свободы, д. 87 или путем направления письменного запроса по указанному адресу. Обращение Субъекта персональных данных должно содержать фамилию, имя, отчество; номер телефона; паспортные данные; почтовый адрес, по которому направить ответ на обращение.

1.9. Контроль исполнения требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных у Оператора.

1.10. Ответственность за нарушение требований законодательства Российской Федерации и локальных нормативных актов Оператора в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.

 

  1. Цели сбора персональных данных

 

2.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

2.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

2.3. Цели обработки персональных данных происходят в том числе из анализа правовых актов, регламентирующих деятельность Оператора, целей фактически осуществляемой Оператором деятельности, а также деятельности, которая предусмотрена учредительными документами Оператора, и конкретных процессов деятельности Оператора в конкретных информационных системах персональных данных (по процедурам в отношении определенных категорий субъектов персональных данных).

2.4. К целям обработки персональных данных Оператора относятся:

– ведение кадрового и бухгалтерского учета;

– ведение воинского учета;

– обеспечение соблюдения трудового законодательства Российской Федерации, в том числе содействие работникам в трудоустройстве, получении образования и продвижении по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества, пользовании льготами;

– обеспечение соблюдения налогового законодательства Российской Федерации;

– обеспечение соблюдения пенсионного законодательства;

– обеспечение соблюдения законодательства Российской Федерации в сфере здравоохранения;

– заключение, исполнение и прекращение гражданско-правовых договоров;

– сбор статистики о посетителях сайта и обеспечение его функционирования;

– установление с пациентом (контрагентом) обратной связи, включая направление уведомлений, запросов, в том числе касающихся использования сайта, оказания услуг, онлайн записи на прием, обработка запросов и обращений;

– продвижение услуг путем осуществления прямых контактов с контрагентами с помощью средств связи, направления рекламно-информационных сообщений с его согласия;

– подбор персонала (соискателей) на вакантные должности;

– информирование граждан об осуществляемой медицинской деятельности и о медицинских работниках оператора, об уровне их образования и об их квалификации, а также в целях повышения уровня доверия потенциальных клиентов к оператору;

– осуществление рассмотрения обращения гражданина, рассмотрения запроса субъекта персональных данных, жалобы (отзыва), предложения.

2.5. Обработка персональных данных субъектов персональных данных (работников) может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.

 

  1. Правовые основания обработки персональных данных

 

3.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:

Конституция Российской Федерации;

Гражданский кодекс Российской Федерации;

Трудовой кодекс Российской Федерации;

Налоговый кодекс Российской Федерации;

Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;

Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;

Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;

Закон Российской Федерации от 7 февраля 1992 г. № 2300-I «О защите прав потребителей»;

иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.

3.2. Правовым основанием обработки персональных данных также являются:

договоры, заключаемые между Оператором и субъектами персональных данных;

согласие субъектов персональных данных на обработку их персональных данных (в том числе согласие субъекта на распространение его персональных данных, согласие посетителей сайта на сбор статистики о посещениях и онлайн запись, согласие на осуществление действий по продвижению услуг путем осуществления прямых контактов с контрагентами с помощью средств связи, направление рекламно-информационных сообщений).

 

 

  1. Объем и категории обрабатываемых персональных данных,

категории субъектов персональных данных

 

4.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в разд. 2 настоящей Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

4.2. Оператор может обрабатывать персональные данные следующих категорий субъектов персональных данных.

4.2.1. Кандидаты для приема на работу к Оператору:

фамилия, имя, отчество;

пол;

гражданство;

дата и место рождения;

номер телефона;

адрес электронной почты;

сведения об образовании, опыте работы, квалификации;

сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации);

фото;

иные персональные данные, сообщаемые кандидатами в резюме и сопроводительных письмах.

4.2.2. Работники и бывшие работники Оператора:

фамилия, имя, отчество;

пол;

гражданство;

дата и место рождения;

изображение (фотография);

паспортные данные;

адрес регистрации по месту жительства;

адрес фактического проживания;

номер телефона;

индивидуальный номер налогоплательщика;

страховой номер индивидуального лицевого счета (СНИЛС);

сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;

профессия, должность;

семейное положение, наличие детей, родственные связи;

сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;

данные о регистрации брака;

отношение к воинской обязанности, сведения о воинском учете;

сведения об инвалидности;

сведения о социальных льготах, на которые работник имеет право в соответствии с законодательством наименование льготы, номер и дата выдачи документа;

сведения об удержании алиментов;

сведения о размере одежды;

сведения о состоянии здоровья;

национальная принадлежность;

реквизиты банковского счета;

сведения из личной медицинской книжки, сведения о пройденных медицинских осмотрах;

сведения о доходе с предыдущего места работы;

сведения из документов, подтверждающих оформление стандартного налогового вычета;

сведения из справки, подтверждающей очную форму обучения;

общие суммы дохода и налога по итогам налогового периода;

сведения о стандартных, социальных и имущественных налоговых вычетах (сумма);

сумма дохода, с которого не удержан налог налоговым агентом и сумма неудержанного налога;

данные водительского удостоверения;

сведения, необходимые для правильного назначения страховой пенсии и накопительной пенсии, иных видов страхового обеспечения по обязательному социальному страхованию в соответствии с федеральными законами о конкретных видах обязательного социального страхования.

4.2.3. Члены семьи работников Оператора:

фамилия, имя, отчество;

степень родства;

год рождения;

иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.

4.2.4. Пациенты:

фамилия, имя, отчество;

дата и место рождения;

паспортные данные;

адрес регистрации по месту жительства и адрес фактического проживания;

страховой номер индивидуального лицевого счета (СНИЛС);

контактные данные (номер телефона, адрес электронной почты);

семейное, социальное положение;

образование, профессия;

замещаемая должность;

номер медицинской карты;

номер истории болезни;

состояние здоровья, в том числе группа здоровья, группа инвалидности и степень ограничения к трудовой деятельности, состояние диспансерного учета, зарегистрированные диагнозы по результатам обращения пациентов ко врачу (при прохождении диспансеризации и медицинских осмотров), информация об оказанных медицинских услугах, о проведенных лабораторных анализах, исследованиях и их результатах, выполненных оперативных вмешательствах, случаях стационарного лечения и их результатах, о выданных листках временной нетрудоспособности с указанием номера листка нетрудоспособности и периода нетрудоспособности, информация о выписанных и отпущенных лекарственных средствах и изделиях медицинского назначения, дата и причина смерти гражданина в случае его смерти;

сведения о медицинском работнике или медицинских работниках, оказавших медицинскую помощь, проводивших медицинские экспертизы, медицинские осмотры и медицинские освидетельствования;

индивидуальный номер налогоплательщика.

4.2.5. Представители (работники) контрагентов и пациентов Оператора, контрагенты (физические лица):

фамилия, имя, отчество;

паспортные данные;

номер телефона;

адрес электронной почты;

должность.

4.2.6. Пользователи сайта:

В данной категории субъектов Оператором обрабатываются персональные данные, полученные Оператором для персонализации материалов, настройки и измерения показателей рекламы, для обеспечения безопасности сайта и его пользователей, улучшения и упрощения процесса посещения сайта:

сведения, собираемые посредством метрических программ;

URL страницы;

реферер страницы;

заголовок страницы;

браузер и его версия;

операционная система и ее версия;

устройство;

высота и ширина экрана;

наличие Cookies;

наличие JavaScript;

часовой пояс;

язык браузера;

глубина цвета экрана;

ширина и высота клиентской части окна браузера;

пол и возраст посетителей;

интересы посетителей;

географические данные;

JavaScript-события;

учет взаимодействий посетителя с сайтом, в том числе использование на сайте методов JavaScript API;

параметры загрузки страницы;

просмотр страницы;

визит;

переход по внешней ссылке;

скачивание файла;

отказ;

время на сайте;

глубина просмотра.

Оператор также обрабатывает данные пользователей в целях онлайн записи на консультацию, оформления заявки на получение обратного звонка:

фамилия, имя, отчество;

номер телефона.

4.3. Оператор защищает данные, которые автоматически передаются в процессе просмотра рекламных блоков и при посещении страниц, на которых установлен статистический скрипт системы.

4.4. Обработка Оператором биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) не осуществляется.

4.5. Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных законодательством Российской Федерации.

 

 

 

 

  1. Порядок и условия обработки персональных данных

 

5.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.

5.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.

5.3. Обработка персональных данных Оператором ограничивается достижением конкретных, заранее определенных и законных целей. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки.

5.4. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.

5.5. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.

5.6. Обработка персональных данных осуществляется путем:

– получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;

– получения персональных данных из общедоступных источников;

– внесения персональных данных в журналы, реестры и информационные системы Оператора;

– использования иных способов обработки персональных данных.

5.7. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, утверждены Приказом Роскомнадзора от 24.02.2021 № 18.

5.8. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Фонд пенсионного и социального страхования Российской Федерации и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.

5.9. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

5.10. В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, он вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных Оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц.

5.11. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по его требованию. Указанные в данном требовании персональные данные могут обрабатываться только Оператором.

5.12. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:

– определяет угрозы безопасности персональных данных при их обработке;

– принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;

– назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;

– создает необходимые условия для работы с персональными данными;

– организует учет документов, содержащих персональные данные;

– организует работу с информационными системами, в которых обрабатываются персональные данные;

– хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;

– организует обучение работников Оператора, осуществляющих обработку персональных данных.

5.13. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

5.14. При осуществлении хранения персональных данных Оператор персональных данных обязан использовать базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Закона о персональных данных.

Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее – материальные носители), в специальных разделах или на полях форм (бланков). При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

5.15. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.

5.16. Оператор вправе поручить обработку персональных данных другому лицу на основании заключаемого с этим лицом договора.

Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных.

5.17. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.

 

  1. Порядок и условия обработки персональных данных пациентов

 

6.1. Персональные данные пациента – информация, полученная Оператором при первоначальном обращении пациента, при заключении с пациентом договора на оказание медицинских услуг, а также информация, полученная в процессе оказания медицинской помощи.

6.2. Все персональные сведения о пациентах Оператор может получить только от них самих. В случаях, когда Оператор получает необходимые персональные данные пациентов только у третьего лица, Оператор уведомляет об этом пациентов и получает от них письменное согласие.

6.3. Персональные данные пациентов являются конфиденциальной информацией и не могут быть использованы Оператором или любым иным лицом в личных целях.

6.4. Обработка персональных данных пациента осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, установления медицинского диагноза и оказания медицинских услуг.

6.5. Все действия по обработке персональных данных пациента осуществляются только работниками Оператора, допущенными приказом директора к работе с персональными данными пациента, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции.

6.6. При первичном посещении Оператора информация о персональных данных пациента заносится в базу данных в регистратуре. При этом регистратор отмечает паспортные данные, контактный телефон, адрес электронной почты, дата рождения, место работы и должность (при необходимости), сведения о враче (специалисте), к которому желает обратиться пациент. Оформляется медицинская карта, которая является основным документом, содержащим указанные персональные данные пациента. Информация о пациенте хранится на электронном и на бумажном носителе информации. Регистратор не вправе получать информацию о состоянии здоровья пациента.

6.7. Далее медицинская карта передается врачу (специалисту), который собирает информацию о состоянии здоровья пациента и заносит ее в карту.

6.8. По окончании приема медицинскую карту врач (специалист) передает в регистратуру через регистратора.

6.9. После получения медицинских услуг носитель, содержащий персональные данные о состоянии здоровья пациента, его диагнозе, проведенном лечении и рекомендациях хранится в регистратуре.

6.10. Все меры по защите конфиденциальной информацией при обработке персональных данных пациентов распространяются на бумажные и на электронные носители информации.

6.11. Не допускается отвечать на вопросы, связанные с передачей персональных данных, по телефону (факсу), электронной почте (за исключением случаев, связанных с направлением результатов лабораторных и инструментальных исследований на основании согласия пациента).

6.12. С работниками, ответственными за хранение персональных данных, с работниками, владеющими персональными данными в связи с выполнениями ими своих должностных обязанностей, заключаются обязательства (соглашения) о неразглашении персональных данных пациентов и сохранению врачебной тайны.

6.13. Помещения, в которых хранятся персональные данные пациента, должны быть оборудованы надежными замками и сигнализацией. Проведение уборки такого помещения должно осуществляться в присутствии ответственного лица.

 

  1. Способы, сроки обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований

 

7.1. Обработка персональных данных осуществляется Оператором как с использованием средств автоматизации, так и без использования таковых.

7.2. Оператором в каждой из перечисленных в пункте 2.4 настоящей Политики целей обработки персональных данных быть совершены одно или несколько действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.

7.3. Распространение персональных данных осуществляется исключительно в целях информирования граждан об осуществляемой медицинской деятельности и о медицинских работниках Оператора, об уровне их образования и об их квалификации, а также в целях повышения уровня доверия потенциальных клиентов к Оператору. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, подготовлено в соответствии с Требованиями к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, утв. приказом Роскомнадзора от 24.02.2021 г. № 18.

7.4. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных  не установлен федеральными законами, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

7.5. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или другими федеральными законами.

В случае отсутствия возможности уничтожения персональных данных в течение указанного срока, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более, чем шесть месяцев, если иной срок не установлен федеральными законами.

7.6. Сроки хранения персональных данных у Оператора определяются в соответствии с Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утвержденным приказом Федерального архивного агентства от 20 декабря 2019 г. № 236.

Согласно статье 29 Федерального закона от 06.12.2011 № 402-ФЗ «О бухгалтерском учете» первичные учетные документы, регистры бухгалтерского учета, бухгалтерская (финансовая) отчетность, аудиторские заключения о ней подлежат хранению в течение сроков, устанавливаемых в соответствии с правилами организации государственного архивного дела, но не менее пяти лет после отчетного года.

Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных по учету кадров, бухгалтерскому учету, соответствует сроку хранения персональных данных на бумажных носителях.

Сроки хранения документов также определяются в соответствии с Перечнем документов, образующихся в деятельности Министерства здравоохранения Российской Федерации и подведомственных ему организаций, с указанием сроков хранения, утвержденных Приказом Министерства здравоохранения Российской Федерации от 03.08.2023 № 408 (далее – Приказ Минздрава Российской Федерации № 408).

Сроки хранения документов не зависят от вида носителя и ограничения доступа к ним.

Обработка персональных данных соискателей прекращается не позднее тридцати дней, с даты принятия Оператором решения о приеме, либо отказе в приеме на работу.

Обработка персональных данных в целях оформления заявки на получение обратного звонка и дальнейшее консультирование по вопросам деятельности Оператора, предоставления информации о графике работы специалистов, осуществления записи на прием, осуществления звонков (направление СМС-сообщений) с напоминанием о дате предстоящего приема прекращается в срок не позднее тридцати дней с даты оказания запрашиваемой посетителем сайта услуги.

Срок обработки персональных данных в целях сбора статистики о посетителях сайта и в целях продвижения услуг Оператора составляет 3 года с даты получения соответствующего согласия. Пользователь может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление на адрес электронной почты: zapuskaemrech@gmail.com либо на почтовый адрес: Ярославская область, Ярославль, ул. Свободы, д. 87 с пометкой «Отзыв согласия на обработку персональных данных».

7.7. Персональные данные подлежат уничтожению в следующих случаях:

1) при достижении цели обработки персональных данных или в случае утраты необходимости в достижении цели обработки персональных данных, если иное не предусмотрено Законом о персональных данных;

2) при изменении, признании утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;

3) при выявлении факта неправомерной обработки персональных данных;

4) при отзыве субъектом персональных данных согласия, если иное не предусмотрено Законом о персональных данных;

5) при обращении субъекта персональных данных с требованием о прекращении обработки персональных данных.

Сотрудниками Оператора осуществляется систематический контроль и выявление документов, содержащих персональные данные с истекшими сроками хранения.

7.8. Уничтожение бумажных носителей осуществляется работниками, допущенными к обработке персональных данных, путем, не допускающим дальнейшую возможность ознакомления с данными документами. Для уничтожения бумажных документов может применяться шредер.

Уничтожение персональных данных по окончании срока их обработки на электронных носителях производится путем механического нарушения их целостности, не позволяющим произвести считывание и восстановление персональных данных, или удаления с электронных носителей методами и средствами гарантированного удаления остаточной информации.

Требования к подтверждению уничтожения персональных данных определены Приказом Роскомнадзора от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».

 

  1. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

 

8.1. Оператор обязан сообщить в порядке, предусмотренном статьей 14 Закона о персональных данных, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

8.2. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

8.3. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

8.4. Оператор обязан прекратить обработку персональных данных или обеспечить прекращение обработки персональных данных лицом, действующим по поручению Оператора:

– в случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, в срок, не превышающий трех рабочих дней с даты этого выявления;

– в случае отзыва субъектом персональных данных согласия на обработку его персональных данных;

– в случае достижения цели обработки персональных данных и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных. В случае отсутствия возможности уничтожения персональных данных в течение указанного срока Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

8.5. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Оператор обязан с момента выявления такого инцидента Оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:

– в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;

– в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

8.6. В случае обращения субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных Оператор в срок, не превышающий десяти рабочих дней с даты получения им соответствующего требования, обязан прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных Законом о персональных данных.

Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

8.7. После истечения срока нормативного хранения документов, содержащих персональные данные субъекта, или при наступлении иных законных оснований документы подлежат уничтожению.

8.8. Оператор для этих целей создает экспертную комиссию и проводит экспертизу ценности документов.

8.9. По результатам экспертизы документы, содержащие персональные данные субъекта и подлежащие уничтожению:

– на бумажном носителе – уничтожаются путем измельчения в шредере или сжигания;

– в электронном виде – стираются с информационных носителей либо физически уничтожаются сами носители, на которых хранится информация.