Политика обработки персональных данных в ООО «Меридиан»

1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных разработана в соответствии со ст. 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и определяет ключевые направления деятельности ООО «Меридиан» в области обработки и защиты персональных данных.

Оператором персональных данных является: ООО «Меридиан», ИНН 6162062450, ОГРН 1126194008313, адрес: 344116, Ростовская область, г. Ростов-на-Дону, пр. Стачки, 93 (далее – Оператор, Общество).

1.2. Настоящая Политика раскрывает основные принципы и правила, используемые Оператором при обработке персональных данных, в том числе определяет цели:

- обеспечения защиты прав и свобод физических лиц при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;

- определение порядка обработки Обществом на основании полномочий оператора персональных данных всех субъектов персональных данных, данные которых подлежат обработке.

Оператор использует для каждой цели обработки персональных данных смешанный (с использованием средств автоматизации и без использования средств автоматизации) способ обработки персональных данных с передачей информации по внутренней локальной сети Оператора и с передачей информации по информационно-телекоммуникационной сети «Интернет».

1.3. Обработка персональных данных в Обществе осуществляется в соответствии с:

- Конституцией Российской Федерации (ст.23,24);

- Трудовым кодексом Российской Федерации (ст.85-90);

- Федеральным законом «О персональных данных» № 152-ФЗ от 27 июля 2006 г. (далее Закон №152-ФЗ);

- Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

- постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

- постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации»;

- приказом ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

- иными нормативно-правовыми актами и локальными актами Общества.

1.4. Политика в отношении обработки персональных данных Общества публикуется на официальном сайте Общества в информационно-телекоммуникационной сети «Интернет» по интернет-адресу: www.medmeridian.ru. К Политике обеспечивается неограниченный доступ неограниченного круга лиц.

2. Перечень терминов

Информация - сведения (сообщения, данные) независимо от формы их представления.

Конфиденциальная информация (информация, составляющая коммерческую тайну) - сведения, независимо от формы их предоставления, которые не могут быть переданы лицом, получившим доступ к данным сведениям, третьим лицам без согласия их правообладателя.

Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).

Персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом № 152-ФЗ.

Оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных - обработка персональных данных с

помощью средств вычислительной техники.

Информационная система персональных данных Общества - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку посредством информационных технологий и технических средств, а также ручным способом.

Конфиденциальность персональных данных - обязательное для соблюдения Оператором или иными лицами, получившими доступ к персональным данным, требование не раскрывать их третьим лицам и не допускать их распространения без согласия субъекта или иного законного основания.

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Использование персональных данных - действия (операции) с персональными данными, совершаемые Оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов либо иным образом затрагивающих их права и свободы или права и свободы других лиц.

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных - действия, в результате которых становится невозможным определить принадлежность персональных данных конкретному субъекту персональных данных.

Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности

Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3. Основные принципы обработки, передачи и хранения персональных данных

3.1. Обработка персональных данных осуществляется на законной и справедливой основе.

3.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

3.4. Допускается обработка только тех персональные данные, которые отвечают целям их обработки.

3.5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

3.6. При обработке персональных данных, Оператором должна быть обеспечена точность обрабатываемых персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры, либо обеспечивать их принятие, по удалению, уточнению неполных или неточных персональных данных.

3.7 Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен нормативными правовыми актами Российской Федерации, договором, стороной которого является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральными законами и другими нормативными правовыми актами Российской Федерации.

3.8 Оператор в установленном порядке вправе поручить обработку персональных данных субъектов персональных данных третьим лицам. При этом существенным условием договора является требование по обеспечению безопасности персональных данных.

3.9. В договоры с лицами, которым Оператор поручает обработку персональных данных, включаются условия, обязывающие таких лиц соблюдать предусмотренные Законом № 152.

4. Цели обработки персональных данных и соответствующие им категории обрабатываемых персональных данных

Обработка персональных данных субъектов персональных данных осуществляется Обществом в заранее определенных целях. В зависимости от конкретных целей обработки персональных данных такая обработка может включать в себя, в частности, совершение всех или некоторых из следующих действий (операций) с персональными данными: сбор (получение), запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Обработка персональных данных в Обществе осуществляется в целях:

4.1. оказания медицинских услуг:

категории субъектов персональных данных – пациенты, законные представители пациентов;

категории обрабатываемых персональных данных – иные и специальные категории обрабатываемых персональных данных;

перечень обрабатываемых персональных данных - фамилия, имя, отчество; пол; дата рождения; место рождения; гражданство; данные документа, удостоверяющего личность; место жительства, место регистрации; адрес электронной почты; данные страхового свидетельства государственного пенсионного страхования (СНИЛС); данные полиса обязательного медицинского страхования застрахованного лица (при наличии); сведения о состоянии здоровья; серия и номер выданного листа нетрудоспособности (при наличии); сведения об оказанных медицинских услугах.

способы обработки персональных данных – с использованием средств автоматизации и без использования средств автоматизации;

срок обработки (за исключением хранения) – до достижения цели обработки персональных данных;

срок хранения персональных данных – 15 лет;

порядок уничтожения персональных данных – уничтожение осуществляется комиссией либо уполномоченным работником согласно приказу генерального директора Общества путем удаления, вымарывания, измельчения, сожжения, механического разрушения, сдачи в специальные организации и т.п. Уничтожение персональных данных, находящихся на архивном хранении, производится в соответствии с архивным законодательством.

4.2. осуществления записи на прием к врачу:

категории субъектов персональных данных – пользователи сайта https://medmeridian.ru, расположенного на доменном имени medmeridian.ru, лица, запись которых осуществляется по телефону, лица, которых записывают законные представители;

категории обрабатываемых персональных данных – иные категории обрабатываемых персональных данных;

перечень обрабатываемых персональных данных - фамилия, имя, отчество; номер телефона, адрес электронной почты;

способы обработки персональных данных – с использованием средств автоматизации;

срок обработки (включая хранение) – до достижения цели обработки персональных данных;

4.3. оформления и выполнения договорных и преддоговорных отношений:

категории субъектов персональных данных – контрагенты Общества – физические лица, лица, имеющие статус индивидуального предпринимателя, работники контрагентов;

категории обрабатываемых персональных данных – иные категории обрабатываемых персональных данных;

перечень обрабатываемых персональных данных - фамилия, имя, отчество; адрес, номер телефона, адрес электронной почты, место работы, должность, паспортные данные, ИНН;

срок обработки (за исключением хранения) – до достижения цели обработки персональных данных;

срок хранения персональных данных – 5 лет;

4.4. выполнение требований законодательства, возложенных на Общество как на работодателя:

категории субъектов персональных данных – работники, близкие родственники работников, бывшие работники;

перечень обрабатываемых персональных данных - фамилия, имя, отчество; дата и место рождения, место жительства и регистрации, гражданство, данные документа, удостоверяющего личность, контактный телефон, семейное положение, сведения о детях, сведения о заключении брака, сведения об образовании, профессия, квалификация, сведения об аттестации, повышении квалификации, профессиональной переподготовки, специальность, стаж работы, ИНН, данные полиса обязательного медицинского страхования, сведения о воинском учете, данные страхового свидетельства государственного пенсионного страхования, сведения о трудовой деятельности, сведения о заработной плате, сведения о банковском счете (карте), сведения о состоянии здоровья, сведения о социальных льготах, сведения о наградах, поощрениях, почетных званиях, сведения о членстве в общественных организациях, изображение, сведения об отсутствии судимости.

срок обработки (за исключением хранения) – в течение срока трудовых отношений;

срок хранения персональных данных – 50 лет;

4.5. выполнения требований законодательства, возложенных на Общество как юридическое лицо:

категории субъектов персональных данных – учредители, участники Общества;

категории обрабатываемых персональных данных – иные категории обрабатываемых персональных данных;

срок обработки (исключая хранение) – до достижения цели обработки персональных данных;

срок хранения персональных данных – 5 лет;

4.6. рассмотрения кандидатуры соискателя на замещение вакантной должности:

категории субъектов персональных данных –соискатели;

категории обрабатываемых персональных данных – иные категории обрабатываемых персональных данных;

перечень обрабатываемых персональных данных - фамилия, имя, отчество; дата рождения, контактный телефон, адрес электронной почты, сведения об образовании, профессия, квалификация, сведения об аттестации, повышении квалификации, профессиональной переподготовки, специальность, стаж работы, сведения о трудовой деятельности, сведения о состоянии здоровья и необходимости особых условий работы, сведения о наградах, поощрениях, почетных званиях, изображение, сведения об отсутствии/наличии заболеваний наркоманией, токсикоманией, хроническим алкоголизмом, сведения об отсутствии судимости.

срок обработки (включая хранение) – до принятия решения о заключении трудового договора или отказе в приеме на работу;

4.7. Порядок уничтожения персональных данных:

Уничтожение персональных данных, обработка которых осуществляется в рамках вышеуказанных целей, производится в следующих случаях:

при достижении цели обработки персональных данных или в случае утраты необходимости в достижении цели обработки персональных данных, если иное не установлено применимыми нормативными правовыми актами РФ;
при выявлении факта неправомерной обработки персональных данных;
при отзыве субъектом персональных данных согласия на обработку персональных данных, если иное не предусмотрено действующим законодательством;
при предъявлении субъектом персональных данных требования о прекращении обработки персональных данных, если иное не установлено действующим законодательством.

Способы уничтожения персональных данных определяются локальными документами Общества по вопросам обработки и защиты персональных данных в зависимости от способов обработки персональных данных и материальных носителей персональных данных, на которых осуществляется запись и хранение персональных данных.

5. Сведения о реализуемых требованиях к защите персональных данных

5.1 Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них.

5.2. В Обществе назначены ответственные за организацию обработки персональных данных Оператором, за реализацию мер, обеспечивающих условия для сохранности персональных данных и исключение несанкционированного к ним доступа, за обеспечение безопасности персональных данных в информационной системе.

5.3. Доступ работников к обрабатываемым персональным данным организован в соответствии с их должностными обязанностями и регламентирован требованиями локальных документов Общества.

5.4. Работники Общества, непосредственно осуществляющие обработку персональных

данных, знакомятся с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами организации в отношении обработки персональных данных под подпись.

5.5. Осуществляется оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.

5.6 Установлены правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечены регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных.

5.7. Организован и ведется учет машинных носителей персональных данных.

5.8. При обработке персональных данных субъектов персональных данных используются базы данных, находящиеся на территории Российской Федерации.

6. Права субъектов персональных данных

6.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

- подтверждение факта обработки персональных данных оператором;

- правовые основания и цели обработки персональных данных;

- цели и применяемые оператором способы обработки персональных данных;

- наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

- сроки обработки персональных данных, в том числе сроки их хранения;

- порядок осуществления субъектом персональных данных прав, предусмотренных Законом № 152-ФЗ;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

- информацию о способах исполнения оператором обязанностей;

- иные сведения, предусмотренные федеральными законами.

6.2. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

6.3. Информация, запрошенная субъектом персональных данных, предоставляется ему в доступной форме, в ней не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

Сведения, запрошенные субъектом персональных данных, предоставляются субъекту персональных данных или его представителю в течение десяти рабочих дней с момента обращения либо получения Обществом соответствующего запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Обществом в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации

6.4. Оператор рассматривает любые обращения и жалобы со стороны субъектов персональных данных, расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.

Для реализации своих прав субъект персональных данных может написать Обществу по адресу электронной почты: info@medmeridian.ru

6.5 Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных – Управление Роскомнадзора по Ростовской области или в судебном порядке.

7. Обязанности Общества

7.1. Предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить отказ.

7.2. Разъяснить субъекту персональных данных юридические последствия отказа предоставить персональные данные, если предоставление персональных данных является обязательным в соответствии с федеральным законом.

7.3. Принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

7.4. Осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к субъекту персональных данных или обеспечить их блокирование, если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора.

7.5. Уточнять персональные данные субъектов персональных данных, либо обеспечить их уточнение, если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора.

7.6. В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим на основании договора с Оператором, прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора.

7.7. Уничтожить данные или обеспечить их уничтожение, если обработка данных осуществляется другим лицом, по поручению Оператора, по достижении цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, в случае достижения цели обработки персональных данных.

7.8. Прекратить обработку персональных данных или обеспечить ее прекращение и уничтожить персональные данные или обеспечить их уничтожение в случае отзыва субъектом персональных данных согласия на обработку персональных данных, если иное не предусмотрено законом.

7.9. Выполнять иные обязанности, предусмотренные законодательством Российской Федерации.

8. Заключительные положения

8.1. Настоящая Политика вводится в действие и становится обязательной для исполнения всеми работниками Общества с момента ее утверждения.

8.2. Настоящая Политика может быть изменена в любой момент времени по усмотрению Общества.

8.3. Работники Общества несут ответственность за несоблюдение требований к обработке и защите персональных данных, в том числе за разглашение или незаконное использование персональных данных, в порядке и при наступлении условий, предусмотренных законом, а также могут быть привлечены к гражданско-правовой, административной и уголовной ответственности в порядке, предусмотренном применимыми нормативными правовыми актами РФ.