г. Омск, 21-я Амурская, 8

Пн-Сб: c 09:00 до 19:30, Вс: c 09:00 до 14:00

+7 (3812) 903-103
+7 (3812) 903-103

Политика конфиденциальности

Согласие на обработку ПДн

Политика обработки ПДн вООО «УЗИ эксперт»

1.Настоящая Политика в отношении обработки персональных данных (далее – Политика) составлена в соответствии с п. 2 ст. 18.1 Федерального закона № 152-ФЗ от 27 июля 2006 года «О персональных данных» и является основополагающим внутренним нормативным документом медицинской организации ООО «УЗИ эксперт» (далее – Клиника), определяющим ключевые направления его деятельности в области обработки и защиты персональных данных (далее – ПДн), оператором которых является Клиника.

2.Политика разработана в целях реализации требований законодательства РФ в области обработки и защиты ПДн и направлена на обеспечение защиты прав и свобод человека при обработке его ПДн в Клинике, в том числе защиты прав на неприкосновенность частной жизни, личной, семейной и врачебной тайн.

3.Положения Политики распространяются на отношения, возникающие при обработке и защите ПДн, полученных Клиникой как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите ПДн, полученных до ее утверждения.

4.Обработка ПДн в Клинике осуществляется в связи с выполнением Клиникой функций, предусмотренных ее учредительными документами, и определяемых:

  • Федеральным законом № 152-ФЗ от 27 июля 2006 года «О ПДн» (далее – закон о ПДн)
  • Федеральным законом от 21 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»
  • Трудовым кодексом Российской Федерации
  • Налоговым кодексом Российской Федерации
  • Правилами предоставления медицинскими организациями платных медицинских услуг, утвержденными Постановлением Правительства
  • Российской Федерации от 4 октября 2012 г. № 1006
  • Постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки ПДн, осуществляемой без использования средств автоматизации»;
  • Постановлением Правительства РФ от 1 ноября 2012 года № 1119 «Об утверждении требований к защите ПДн при их обработке в информационных системах ПДн»
  • иными нормативными правовыми актами Российской Федерации
  • иными локальными нормативными актами

5.Кроме того, обработка ПДн в Клинике осуществляется в ходе трудовых и иных непосредственно связанных с ними отношений, в которых Клиника выступает в качестве работодателя (глава 14 Трудового кодекса Российской Федерации), в связи с реализацией Клиникой своих прав и обязанностей как юридического лица.

6.Ответственным за обеспечение безопасности ПДн является генеральный директор Клиники. На время его отсутствия данную функцию может исполнять работник Клиники, которому в соответствии с локальными нормативными актами предоставлено право подписи документов от имени Клиники.

7.Ответственным за организацию обработку ПДн является генеральный директор Клиники. На время его отсутствия данную функцию может исполнять работник Клиники, которому в соответствии с локальными нормативными актами предоставлено право подписи документов от имени Клиники.

8.Действующая редакция настоящей Политики хранится в месте нахождения Клиники по адресу Омская обл., г. Омск, ул. 21 Амурская,8.

9.Электронная версия Политики размещается на сайте Клинике в сети Интернет по адресу: uziexpert.ru

10. Термины и сокращения

В целях настоящей Политики используются следующие термины и сокращения:

  • Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому на основании такой информации физическому лицу
  • Субъект ПДн — физическое лицо
  • Обработка ПДн — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн
  • Уполномоченный орган — Уполномоченный орган по защите прав субъектов ПДн, на который возлагается обеспечение контроля и надзора за соответствием обработки ПДн требованиям закона «О ПДн» Федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи
  • Распространение ПДн — действия, направленные на раскрытие ПДн неопределенному кругу лиц
  • Предоставление ПДн — действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц
  • Блокирование ПДн — временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн)
  • Уничтожение ПДн — действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн
  • Обезличивание ПДн — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн
  • Автоматизированная обработка ПДн — обработка ПДн с помощью средств вычислительной техники
  • Информационная система ПДн (ИСПД) — совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств
  • Пациент — физическое лицо, которому оказывается медицинская помощь или которое обратилось за оказанием медицинской помощи независимо от наличия у него заболевания и от его состояния
  • Медицинская деятельность — профессиональная деятельность по оказанию медицинской помощи, проведению медицинских экспертиз, медицинских осмотров и медицинских освидетельствований, санитарно-противоэпидемических (профилактических) мероприятий и профессиональная деятельность, связанная с трансплантацией (пересадкой) органов и (или) тканей, обращением донорской крови и (или) ее компонентов в медицинских целях
  • Лечащий врач — врач, на которого возложены функции по организации и непосредственному оказанию пациенту медицинской помощи в период наблюдения за ним и его лечения

11. Принципы обеспечения безопасности ПДн

Основной задачей обеспечения безопасности ПДн при их обработке в Клинике является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения ПДн, разрушения (уничтожения) или искажения их в процессе обработки.

Для обеспечения безопасности ПДн Клиника руководствуется следующими принципами:

  • законность — защита ПДн основывается на положениях законодательства Российской Федерации, методических документах уполномоченного органа и министерства здравоохранения Российской Федерации
  • системность — обработка ПДн в Клинике осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности ПДн
  • комплексность — защита ПДн строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах Клиники и других имеющихся в Клинике систем и средств защиты
  • непрерывность — защита ПДн обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки ПДн, в том числе при проведении ремонтных и регламентных работ
  • своевременность — меры, обеспечивающие надлежащий уровень безопасности ПДн, принимаются до начала их обработки
  • преемственность и непрерывность совершенствования — модернизация и наращивание мер и средств защиты ПДн осуществляется на основании результатов анализа практики обработки ПДн в Клинике с учетом выявления новых способов и средств реализации угроз безопасности ПДн, отечественного и зарубежного опыта в сфере защиты информации
  • персональная ответственность — за обеспечение безопасности ПДн возлагается на работников Клиники в пределах их обязанностей, связанных с обработкой и защитой ПДн;
  • минимизация прав доступа — доступ к ПДн предоставляется работникам клиники в объеме, необходимом для выполнения их должностных обязанностей
  • гибкость — обеспечение выполнения функций защиты ПДн при изменении характеристик функционирования информационных систем ПДн Клиники, а также объема и состава обрабатываемых ПДн;
  • специализация и профессионализм — реализация мер по обеспечению безопасности ПДн осуществляются работниками Клиники, имеющими необходимые для этого квалификацию и опыт
  • эффективность процедур отбора кадров — кадровая политика Клиники предусматривает тщательный подбор персонала и мотивацию работников Клиники, позволяющую исключить или минимизировать возможность нарушения ими безопасности ПДн;
  • наблюдаемость и прозрачность — меры по обеспечению безопасности ПДн должны быть спланированы так, чтобы результаты их применения были явно наблюдаемы (прозрачны) и могли быть оценены лицами, осуществляющими контроль обработки ПДн
  • непрерывность контроля и оценки — Клиникой устанавливаются процедуры постоянного контроля использования систем обработки и защиты ПДн, а результаты контроля регулярно анализируются.

В Клинике не производится обработка ПДн, несовместимая с целями их сбора. Если иное не предусмотрено федеральным законом, по окончании обработки ПДн в Клинике, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, обрабатывавшиеся. Клиникой персональные данные уничтожаются или обезличиваются.

При обработке ПДн обеспечиваются их точность, достаточность и актуальность по отношению к целям обработки. Клиника принимает необходимые меры по удалению или уточнению неполных или неточных ПДн.

12. Персональные данные, обрабатываемые в Клинике

Общая информация о ПДн, обрабатываемых в Клинике, фиксируется в Перечне ПДн, содержащем следующие сведения:

  • цели обработки ПДн
  • перечень сведений, составляющих персональные данные
  • категории субъектов ПДн
  • сроки обработки ПДн.

Перечень ПДн:

  • пересматривается не реже одного раза в год
  • ведется ответственным за организацию обработки ПДн в бумажном и электронном виде
  • утверждается генеральным директором Клиники
  • публикуется в установленном порядке на выделенном общедоступном ресурсе Клиники

В Клинике обрабатываются:

  • персональные данные, полученные при осуществлении трудовых отношений
  • персональные данные, полученные для осуществления отбора кандидатов на работу в Клинику
  • персональные данные, полученные при осуществлении гражданско-правовых отношений
  • персональные данные, полученные при оказании медицинской помощи населению

Полный список ПДн представлен в Перечне ПДн, утвержденном генеральным директором Клиники.

В Клинике обрабатываются персональные данные следующих субъектов ПДн:

  • физические лица, состоящие с учреждением в трудовых отношениях
  • физические лица, являющие близкими родственниками сотрудников учреждения
  • физические лица, уволившиеся из учреждения
  • физические лица, являющиеся кандидатами на работу
  • физические лица, состоящие с учреждением в гражданско-правовых отношениях;
  • пациенты
  • законные представители пациентов.

13. Цели обработки ПДн

Клиника обрабатывает ПДн в следующих целях:

  • обеспечение организации оказания медицинской помощи населению, а также наиболее полного исполнения обязательств и компетенций в соответствии с:
    • Федеральным законом от 21 ноября 2011г № 323-ФЗ «Об основах охраны здоровья граждан Российской Федерации»
  • Правилами предоставления медицинскими организациями платных медицинских услуг, утвержденными Постановлением Правительства
  • Российской Федерации от 4 октября 2012 г. № 1006
  • осуществление трудовых отношений
  • осуществление гражданско-правовых отношений

14. Обработка ПДн

Обработка ПДн осуществляется:

  • при наличии согласия субъекта ПДн / законного представителя субъекта ПДн на обработку ПДн субъекта
  • в случаях, когда обработка ПДн необходима для осуществления и выполнения обязанностей, возложенных на Клинику законодательством Российской Федерации
  • в случаях, когда осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн / законным представителем ПДн либо по его просьбе (далее – общедоступные ПДн).

Обработка ПДн включает в себя такие действия как:

  • сбор
  • систематизация
  • накопление
  • хранение
  • уточнение
  • использование
  • распространение, в том числе передача третьим лицам
  • обезличивание
  • блокирование
  • уничтожение

Обработка ПДн в Клинике осуществляется следующими способами:

  • без использования средств автоматизации
  • с использованием средств вычислительной техники
  • смешанным способом

Клиника обеспечивает конфиденциальность ПДн, при осуществлении обработки за исключением:

  • обработки обезличенных ПДн
  • обработки общедоступных ПДн.

Персональные данные, полученные Клиникой до проведения идентификации субъекта ПДн в установленном законодательством порядке, считаются обезличенными.

Сбор ПДн осуществляется Клиникой:

  • при осуществлении трудовых отношений — непосредственно от субъекта ПДн
  • при отборе кандидатов на работу в Клинике — непосредственно от субъекта ПДн или третьих лиц
  • при оказании медицинской помощи пациентам старше 15 — непосредственно от субъекта ПДн
  • при оказании медицинской помощи пациентам моложе 15 лет — от законного представителя субъекта ПДн

Клиника информирует субъекта ПДн / законного представителя субъекта ПДн о:

  • целях обработки ПДн
  • предполагаемых источниках и способах получения ПДн
  • характере подлежащих получению ПДн,
  • перечне действий с персональными данными
  • сроке, в течение которого действует согласие на обработку ПДн, и о порядке его отзыва
  • о последствиях отказа субъекта ПДн / законного представителя ПДн дать письменное согласие на их обработку

Текст согласия на обработку ПДн пациентов включается в договоры об оказании платной медицинской помощи. Порядок доступа субъекта ПДн / законного представителя субъекта ПДн к персональным данным субъекта ПДн, обрабатываемым Клиникой, определяется в соответствии с законодательством Российской Федерации и определяется локальными нормативными документами Клиники.
Накопление и хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.
Хранение ПДн, в том числе материальных носителей ПДн, осуществляется в порядке, обеспечивающем невозможность несанкционированного доступа к ним.

Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах, либо в запираемых помещениях с ограниченным правом доступа.

Доступ работников Клиники к обрабатываемым в Клинике персональным данных осуществляется в соответствии с их должностными обязанностями и требованиями внутренних нормативных документов Клиники.

Допущенные к обработке ПДн работники Клиники под роспись знакомятся с внутренними нормативными документами Клиники, устанавливающими порядок обработки ПДн, включая документы, устанавливающие права и обязанности конкретных работников Клиники.

Уточнение ПДн осуществляется Клиникой:

  • по собственной инициативе при предоставлении субъектом персональных / его законным представителем актуальных ПДн в рамках заключения и исполнения договоров;
  • по требованию субъекта ПДн / его законного представителя / Уполномоченного органа в случае выявления факта обработки Клиникой неполных / устаревших / недостоверных персональные данных субъекта ПДн.

Распространение ПДн осуществляется Клиникой:

  • при исполнении договора, заключенного с субъектом ПДн / его законным представителем, направленного на достижение цели обработки ПДн
  • в случаях, предусмотренных законодательством Российской Федерации

В вышеуказанных случаях согласие субъекта ПДн на обработку его ПДн не требуется.

Передача ПДн осуществляется в порядке, обеспечивающем конфиденциальность передаваемой информации.
В случае поручения Клиникой обработки ПДн другому лицу на основании договора / соглашения, обязательным условием договора / соглашения является обязанность обеспечения указанным лицом конфиденциальности и безопасности ПДн при их передаче.

Клиника передает ПДн третьим лицам в следующих случаях:

  • субъект ПДн / законный представитель субъекта ПДн выразил свое согласие на такие действия
  • передача ПДн предусмотрена российским законодательством в рамках установленной законодательством процедуры

Клиника передает персональные данные следующим третьим лицам:

  • Пенсионный фонд РФ для учета пенсионных отчислений (на законных основаниях)
  • Федеральная налоговая служба Российской Федерации для учета налоговых отчислений (на законных основаниях)
  • Фонд социального страхования Российской Федерации (на законных основаниях)
  • банковские учреждения для зачисления заработной платы на счета для расчетов по банковским картам (на основании договора)
  • судебные и правоохранительные органы в случаях, установленных законодательством Российской Федерации

Блокирование ПДн осуществляется Клиникой в случае выявления факта обработки в Клинике недостоверных / устаревших ПДн или неправомерных действий с ними до момента их уточнения / уничтожения / обезличивания:

  • по собственной инициативе;
  • по требованию субъекта ПДн / его законного представителя / Уполномоченного органа.

Блокирование ПДн субъекта ПДн осуществляется на безвозмездной основе.

Уничтожение ПДн осуществляется Клиникой:

  • по собственной инициативе по достижении целей обработки ПДн и в случае утраты необходимости в их достижении, а также целях обеспечения законности при обработке ПДн и устранения факторов, влекущих или могущих повлечь неправомерные действия с персональными данными
  • по требованию субъекта ПДн / его законного представителя / Уполномоченного органа в случае выявления фактов совершения Клиникой неправомерных действий с персональными данными, когда устранить соответствующие нарушения не представляется возможным.

Уничтожение документов (носителей), содержащих персональные данных, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок.

Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.

Уничтожение ПДн, в том числе материальных носителей ПДн, осуществляется на основании решения специальной комиссии, состав которой определяется Ответственным за обработку ПДн. Факт уничтожения ПДн подтверждается документально актом об уничтожении носителей, подписанным членами такой комиссии.

Уничтожение ПДн субъекта ПДн осуществляется на безвозмездной основе.

Обезличивание ПДн ПДн осуществляется Клиникой:

  • по собственной инициативе в целях дальнейшей статистической обработки
  • по требованию субъекта ПДн / его законного представителя / Уполномоченного органа при технологической невозможности уничтожения ПДн в информационной системе Клиники.

Обезличивание ПДн, в том числе хранящихся на бумажных носителях, осуществляется на основании решения специальной комиссии, состав которой определяется Ответственным за обработку ПДн.

На персональные данные, находящиеся в архиве Клиники, действие закона о ПДн не распространяется.

Детальный порядок архивного хранения ПДн, в том числе доступа к архивам ПДн, регламентируется отдельными внутренними нормативными документами.

15. Защита ПДн

Клиникой создана система защиты ПДн (СЗПДн), состоящая из подсистем правовой, организационной и технической защиты.
Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.

Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с работниками Клиники, партнерами и сторонними лицами, защиты информации в открытой печати, публикаторской и рекламной деятельности, аналитической работы.

Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПДн.

Основными мерами защиты ПДн, используемыми Клиникой, являются:

  • назначение лица ответственного за обработку ПДн, которое осуществляет организацию обработки ПДн, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите ПДн
  • определение актуальных угроз безопасности ПДн при их обработке в ИСПД, и разработка мер и мероприятий по защите ПДн
  • разработка политики в отношении обработки ПДн
  • установление правил доступа к ПДн, обрабатываемым в ИСПД, а также обеспечения регистрации и учета всех действий, совершаемых с ПДн в ИСПД
  • установление индивидуальных паролей доступа работников Клинике в информационную систему в соответствии с их производственными обязанностями
  • применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, учет машинных носителей ПДн, обеспечение их сохранности
  • сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами
  • сертифицированное программное средство защиты информации от несанкционированного доступа
  • сертифицированные межсетевой экран и средство обнаружения вторжения
  • соблюдение условий, обеспечивающих сохранность ПДн и исключающие несанкционированный к ним доступ, оценка эффективности принимаемых и реализованных мер по обеспечению безопасности ПДн
  • установление правил доступа к обрабатываемым персональным данным, обеспечение регистрации и учета действий, совершаемых с персональными данными, а также обнаружение фактов несанкционированного доступа к персональным данным и принятия мер
  • восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • обучение работников Клиники непосредственно осуществляющих обработку ПДн, положениям законодательства Российской Федерации о ПДн, в том числе требованиям к защите ПДн, документами, определяющими политику Клиники в отношении обработки ПДн, нормативным актам по вопросам обработки ПДн;
  • осуществление внутреннего контроля и аудита.

16. Основные права субъекта ПДн

Субъект ПДн / законный представитель субъекта ПДн имеет право на получение информации, касающейся обработки ПДн субъекта ПДн, в том числе содержащей:

  • подтверждение факта обработки Клиникой ПДн
  • правовые основания и цели обработки ПДн в Клинике
  • цели обработки ПДн
  • информацию и применяемых Клиникой способах обработки ПДн
  • наименование и место нахождения Клиники, сведения о лицах (за исключением работников Клиники), которые имеют доступ к персональным данным или которым могут быть раскрыты на основании договора с Клиникой или на основании законодательства Российской Федерации
  • сроки обработки ПДн, в том числе сроки их хранения
  • порядок осуществления субъектом ПДн прав, предусмотренных законом «О ПДн»;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Клиники, если обработка поручена или будет поручена такому лицу
  • иные сведения, предусмотренные законом о ПДн или другими федеральными законами.

Субъект ПДн / законный представитель ПДн вправе требовать от Клинки уточнения ПДн субъекта ПДн, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом о ПДн меры по защите своих прав.

17. Основные обязанности Клиники при обработке ПДн

Клиника обязана:

  • при сборе ПДн предоставить информацию субъекту ПДн / законному представителю субъекта ПДн об обработке собираемых ПДн;
  • при отказе в предоставлении ПДн разъяснить субъекту ПДн / законному представителю субъекта ПДн последствия такого отказа
  • опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему политику Клиники в отношении обработки ПДн
  • принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн а также от иных
  • неправомерных действий в отношении ПДн
  • обрабатывать обращения субъектов ПДн / законных представителей субъектов ПДн в установленном законодательством порядке
  • обрабатывать обращения уполномоченного органа в установленном законодательством порядке