Политика конфиденциальности
УТВЕРЖДАЮ
Заместитель Генерального директора
ООО Центры Семейной Медицины "Здравица"
Е.А. Мельникова
«20» сентября 2024 года
1. Назначение
Настоящая Политика по обработке персональных данных в обществе с ограниченной ответственностью Центры Семейной Медицины «Здравица» (далее – Политика) определяет основные принципы получения, хранения, обработки, передачи и любого другого использования персональных данных в обществе с ограниченной ответственностью Центры Семейной Медицины «Здравица» (далее ЦСМ «Здравица») в соответствии с законодательством Российской Федерации.
2. Общие положения
Действие настоящей Политики распространяется на процессы Оператора персональных данных, в рамках которых осуществляется обработка персональных данных, как с использованием средств вычислительной техники, в том числе с использованием информационно-телекоммуникационных сетей, так и без использования таких средств.
Оператором персональных данных (оператор), при обработке персональных данных в ЦСМ «Здравица» является общество с ограниченной ответственностью Центры Семейной Медицины «Здравица» (далее – ООО Центры Семейной Медицины «Здравица»).
3. Обязанности субъекта персональных данных и Оператора
В целях обеспечения достоверности персональных данных субъект персональных данных обязан:
- предоставлять ООО Центры Семейной Медицины «Здравица» полные и достоверные данные о себе в объеме, необходимом для целей обработки.
- в случае изменения своих персональных данных сообщать данную информацию ООО Центры Семейной Медицины «Здравица».
Оператор обязан:
- осуществлять защиту персональных данных субъекта персональных данных.
- вести журнал учета обращений субъектов персональных данных по вопросам обработки их персональных данных в ЦСМ «Здравица».
- ограничить доступ к журналу учета обращений субъектов персональных данных по вопросам обработки их персональных данных в ЦСМ «Здравица» (в электронной и бумажной форме) кругом должностных лиц, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей.
- обеспечивать хранение документации, содержащей персональные данные субъектов персональных данных, при этом персональные данные не должны храниться дольше, чем это оправдано выполнением задач, для которых они собирались, или дольше, чем это требуется в интересах лиц, о которых собраны данные.
4. Права субъекта Персональных данных
Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных Оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Оператором способы обработки персональных данных;
- сроки обработки персональных данных, в том числе сроки их хранения.
Субъект персональных данных имеет право на определение представителей для защиты своих персональных данных.
Субъект персональных данных имеет право требовать исключить или исправить неверные или неполные персональные данные, а также данные, обрабатываемые с нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Субъект персональных данных имеет право требовать об извещении всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта персональных данных, обо всех произведенных в них исключениях, исправлениях или дополнениях.
Если субъект персональных данных считает, что ООО Центры Семейной Медицины «Здравица» осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие ООО Центры Семейной Медицины «Здравица» в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.
Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
5. Основание и цели обработки персональных данных
Персональные данные в ЦСМ «Здравица» обрабатываются в целях:
- обеспечения соблюдения прав и законных интересов субъекта персональных данных, уполномочившего представителя на представление его интересов во взаимоотношениях с Оператором;
- в иных законных целях.
Обработка персональных данных осуществляется на законной и справедливой основе.
Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей.
Не допускается обработка персональных данных, несовместимая с целями сбора персональных.
Обработке подлежат только персональных данных, которые отвечают целям их обработки.
Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки.
Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством Российской Федерации и/или договором, стороной которого является субъект персональных данных.
При обработке персональных данных обеспечиваются точность персональных данных, их достаточность и актуальность по отношению к целям обработки. Оператор не проверяет достоверность персональных данных, предоставляемых субъектами персональных данных. При этом Оператор исходит из того, что субъект персональных данных предоставляет достоверную и достаточную для достижения целей обработки персональную информацию.
Не допускается объединение баз данных, содержащих персональных данных, обработка которых осуществляется в целях, несовместимых между собой.
6. Перечень обрабатываемых персональных данных о субъекте персональных данных и категории субъектов, персональные данных которых обрабатываются
Оператором обрабатываются персональные данные следующих категорий субъектов персональных данных:
- авторов обращений в адрес Оператора;
- клиентов Оператора;
- сотрудников Оператора;
- других субъектов персональных данных (для обеспечения реализации целей обработки персональных данных, установленных в настоящей Политике).
Перечень персональных данных, обрабатываемых в ЦСМ «Здравица» определяется в соответствии с законодательством Российской Федерации о персональных данных и указывается во внутренних нормативных документах Оператора в соответствии с целями обработки персональных данных, установленных в п. 2 настоящей Политики.
Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни оператором не осуществляется.
Обработка биометрических персональных данных в ЦСМ «Здравица» не осуществляется.
7. Порядок и условия обработки персональных данных
Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных (Приложение №1 к настоящей Политике).
Обработка персональных данных, разрешенных субъектом персональных данных для передачи, осуществляется на основании согласия субъекта персональных данных на передачу (распространение, предоставление, доступ) (Приложение №2 к настоящей Политике) с соблюдением установленных субъектом персональных данных запретов и условий на обработку персональных данных.
В случае отказа субъекта персональных данных предоставить свои данные, ему должны быть разъяснены юридические последствия такого отказа (Приложение №3 к настоящей Политике).
Обработка полученных персональных данных осуществляется Оператором как с использованием средств автоматизации, так и на бумажных носителях (без использования средств автоматизации).
Оператор и иные лица, получившие доступ к персональным данным на законном основании, с целью обеспечения конфиденциальности, в соответствии со ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», обязуются не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных».
Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
В соответствии с требованиями ч. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» настоящая Политика открыто опубликована и доступна для ознакомления в информационно-телекоммуникационной сети Интернет.
Во исполнение требований ч.1 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» Оператором приняты необходимые правовые, организационные и технические меры для защиты персональных данных при их обработке от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных в соответствии с утвержденным Оператором комплектом организационно-распорядительной документации в области защиты персональных данных при их обработке в ЦСМ «Здравица».
Условием прекращения обработки персональных данных является достижение целей обработки персональных данных или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
Для организации хранения персональных данных в случае автоматизированной обработки Оператор в соответствии с ч. 5 ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» использует сервера, находящиеся на территории Российской Федерации.
При обработке персональных данных без использования средств автоматизации хранение организовано в соответствии с требованиями Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15.09.2008 № 687, а именно:
- Оператором определены места хранения персональных данных (материальных носителей) и установлены перечни лиц, осуществляющих обработку персональных данных без использования средств автоматизации, либо имеющих к ним доступ;/li>
- Обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;/li>
- Оператором определен перечень лиц, ответственных за реализацию организационно-режимных мер, направленных на обеспечение сохранности персональных данных, обработка которых осуществляется без использования средств автоматизации, и исключающих несанкционированный к ним доступ, и обеспечен контроль за их соблюдением.
8. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
Согласно ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в случае подтверждения факта неточности персональных данных или неправомерности их обработки, Оператор принимает необходимые меры, либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных и временному прекращению обработки до момента устранения выявленных нарушений.
Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, а также в случае отзыва согласия субъекта персональных данных на обработку его персональных данных, или в случае выявления неправомерной обработки персональных данных, если иное не предусмотрено договором, стороной которого является субъект персональных данных, или иным соглашением между Оператором и субъектом персональных данных.
Оператор обязуется сообщать субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по его запросу.
Правила рассмотрения запросов субъектов персональных данных или их представителей, а также соответствующие формы запросов/обращений, предоставляются Оператором по запросу не позднее тридцати календарных дней со дня получения запроса.
Реагирование на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов
Субъект персональных данных имеет право на получение сведений об Операторе, о месте его нахождения, о наличие у Оператора персональных данных в отношении себя, а также на ознакомление с такими персональными данными.
Субъект персональных данных вправе требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Сведения о наличии персональных данных должны быть представлены субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
Действия Оператора при обращении субъекта персональных данных и получении запроса субъекта от него:
Доступ к своим персональным данным представляется субъекту персональных данных или его законному представителю Оператором при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с действующим законодательством Российской Федерации.
Законный представитель представляет Оператору документ, подтверждающий его полномочия.
Оператором рассматривается запрос и проходит проверка факта обработки персональных данных субъекта.
Если запрос субъекта персональных данных связан с внесением изменений в персональные данные субъекта в связи с тем, что персональные данные, обрабатываемые Оператором, являются неполными, устаревшими, недостоверными, то в таком запросе субъект персональных данных должен указать какие именно персональные данные изменяются или уточняются.
Если для внесения изменений в персональные данные необходимы подтверждающие документы, то субъект персональных данных прикладывает к своему запросу об изменении персональных данных доказательства, на основании которых оператор должен внести изменения или уточнить персональные данные.
В случае отсутствия доказательств, на которые ссылается субъект персональных данных, оператор оставляет персональные данные в неизменном виде. Внесение изменений или уточнение персональных данных Оператором должны быть выполнены в течение 7 рабочих дней со дня предоставления таких сведений.
Изменения, уничтожение или блокирование персональных данных соответствующего субъекта осуществляется Оператором на безвозмездной основе.
При получении запроса субъекта персональных данных на наличие персональных данных (Приложение № 4 к настоящей Политике) необходимо в течение 30 дней с даты получения запроса (согласно части 1 статьи 20 Федерального закона № 152-ФЗ) подтвердить обработку персональных данных в случае ее осуществления. Если обработка персональных данных субъекта не ведется, то в течение 30 дней с даты получения запроса (согласно части 2 статьи 20 Федерального закона № 152-ФЗ) необходимо отправить уведомление об отказе в предоставлении информации о наличии персональных данных.
При получении запроса субъекта персональных данных или его представителя на уточнение персональных данных (Приложение № 5 к настоящей Политике) необходимо внести в них требуемые изменения (по предоставленным субъектом персональных данных или его представителем сведениям) в срок, не превышающий 7 рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными (согласно части 3 статьи 20 Федерального закона № 152-ФЗ) и отправить уведомление о внесенных изменениях. Если обработка персональных данных субъекта не ведется или не были предоставлены сведения, подтверждающие, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет Оператор, являются неполными, неточными или неактуальными, то необходимо в течение 30 дней с даты получения запроса отправить уведомление об отказе в осуществлении изменения персональных данных.
При получении запроса субъекта персональных данных на уничтожение персональных данных (Приложение № 5 к настоящей Политике) необходимо уничтожить их в срок, не превышающий 7 рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки (согласно части 3 статьи 20 Федерального закона № 152-ФЗ), и отправить уведомление об уничтожении. Если обработка персональных данных субъекта не ведется или не были предоставлены сведения, подтверждающие, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет ООО Центры Семейной Медицины «Здравица», являются незаконно полученными или не являются необходимыми для заявленной цели обработки, а также в силу необходимости обработки персональных данных по требованиям иных законодательных актов, то необходимо в течение 30 дней с даты получения запроса отправить уведомление об отказе в уничтожении персональных данных.
При получении запроса субъекта персональных данных на прекращение передачи (распространение, предоставление, доступ) персональных данных (Приложение № 6 к настоящей Политике) необходимо прекратить передачу (распространение, предоставление, доступ) персональных данных в течение 3 рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу (согласно части 14 статьи 10.1 Федерального закона № 152-ФЗ).
При получении запроса на отзыв согласия субъекта персональных данных на обработку персональных данных (Приложение № 6 к настоящей Политике) необходимо прекратить их обработку и, в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональных данных в срок, не превышающий 30 дней с даты поступления указанного отзыва (согласно части 5 статьи 21 Федерального закона № 152-ФЗ).
При выявлении недостоверности персональных данных при обращении или по запросу субъекта персональных данных (Приложение № 5 к настоящей Политике) необходимо их блокировать с момента такого обращения или получения такого запроса на период проверки (согласно части 1 статьи 21 Федерального закона № 152 ФЗ). Если факт недостоверности персональных данных подтвержден на основании сведений, представленных субъектом персональных данных или его представителем, или посредством иных источников, необходимо уточнить персональных данных в течение 7 рабочих дней со дня представления таких сведений и снять блокирование персональных данных (согласно части 2 статьи 21 Федерального закона № 152-ФЗ). Если факт недостоверности персональных данных не подтвержден, то необходимо отправить уведомление об отказе в изменении персональных данных.
При выявлении неправомерных действий с персональных данных Оператором по запросу субъекта персональных данных (Приложение № 5 к настоящей Политике) необходимо в срок, не превышающий 3 рабочих дней с даты этого выявления, прекратить неправомерную обработку персональных данных (согласно части 3 статьи 21 Федерального закона № 152-ФЗ). В случае, если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных (согласно части 3 статьи 21 Федерального закона № 152-ФЗ), обязан уничтожить такие персональных данных и отправить субъекту персональных данных уведомление об уничтожении.
10. Действия Оператора при получении запроса уполномоченного органа по защите прав субъектов персональных данных
При получении запроса необходимо в течение 30 дней (согласно части 4 статьи 20 Федерального закона № 152-ФЗ) предоставить информацию, необходимую для осуществления деятельности указанного органа.
При выявлении недостоверных персональных данных по запросу уполномоченного органа по защите прав субъекта персональных данных необходимо осуществить их блокирование или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения такого запроса на период проверки (согласно части 1 статьи 21 Федерального закона № 152-ФЗ). Если факт недостоверности персональных данных подтвержден на основании документов, предоставленных субъектом персональных данных или его представителем, необходимо в течение 7 рабочих дней уточнить персональных данных либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и снять их блокирование (согласно части 2 статьи 21 Федерального закона № 152-ФЗ). Если факт недостоверности персональных данных не подтвержден, то необходимо отправить уведомление об отказе изменения и снять блокирование персональных данных.
При выявлении неправомерной обработки Оператором персональных данных по запросу уполномоченного органа по защите прав субъекта персональных данных Оператору необходимо прекратить неправомерную обработку персональных данных в срок, не превышающий 3 рабочих дней с момента такого обращения или получения такого запроса на период проверки (согласно части 1 статьи 21 Федерального закона № 152-ФЗ). В случае невозможности обеспечения правомерности обработки персональных данных Оператором в срок, не превышающий 10 рабочих дней с даты выявления неправомерности действий с персональных данных, необходимо уничтожить персональных данных и отправить уведомление об уничтожении персональных данных.