Логотип

г. Санкт-Петербург,
ул. Всеволода Вишневского, д. 10

+7 812 407 22 69info@eirmed.ru
Запрос ответа
Логотип+7 812 407 22 69

Политика Конфиденциальности

ООО «ЭйрМЕД»

ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Общие положения
1.1. Настоящее Положение об обработке и защите персональных данных в ООО «ЭйрМЕД» (далее – Положение) определяет общий порядок, принципы, цели и условияобработки персональных данных, осуществляемой ООО «ЭйрМЕД», меры по обеспечениюбезопасности персональных данных при их обработке в организации в целях реализациитребований законодательства о персональных данных, в том числе защиты права нанеприкосновенность частной жизни, личную и семейную тайну, а также устанавливаетответственность работников организации, имеющих доступ к персональным данным и/илиосуществляющим обработку персональных данных, за невыполнение положенийзаконодательства РФ в области персональных данных.
1.2. Положение разработано в соответствии со следующими нормативнымидокументами:  
Конституцией Российской Федерации;
Трудовым кодексом Российской Федерации (ст. 86–90);
Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровьяграждан в Российской Федерации»;
Федеральным законом от 29.11.2010 № 326-ФЗ «Об обязательном медицинскомстраховании в Российской Федерации»;
Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации,информационных технологиях и о защите информации“;
Приказ Роскомнадзора от 28.10.2022 N 180 "Об утверждении форм уведомлений онамерении осуществлять обработку персональных данных, об изменении сведений,содержащихся в уведомлении о намерении осуществлять обработку персональных данных,о прекращении обработки персональных данных»
Постановлением Правительства Российской Федераций от 21.03.2012 № 211 «Обутверждении перечня мер, направленных на обеспечение выполнения обязанностей,предусмотренных Федеральным законом «О персональных данных“ и принятыми всоответствии с ним нормативными правовыми актами, операторами, являющимисягосударственными или муниципальными органами»;
Постановлением Правительства Российской Федераций от 01.11.2012 № 1119 «Обутверждении требований к защите персональных данных при их обработке винформационных системах персональных данных»;
Приказом ФСТЭК России от 11.02.2013 № 17 «Об утверждении требований озащите информации, не составляющей государственную тайну, содержащейся вгосударственных информационных системах» (Зарегистрирован в Минюсте России 31 мая2013 г. № 28608);
Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава исодержания организационных и технических мер по обеспечению безопасностиперсональных данных при их обработке в информационных системах персональныхданных» (Зарегистрирован в Минюсте России 14 мая 2013 г. № 28375);
Специальные требования и рекомендации по технической защитеконфиденциальной информации (СТР-К), утвержденные приказом Гостехкомиссии Россииот 30.08.2002 № 282.
Положением об особенностях обработки персональных данных, осуществляемойбез использования средств автоматизации, утвержденное постановлением ПравительстваРоссийской Федерации от 15.09.2008 № 687;
Постановлением Правительства Российской Федерации от 06.06.2008 № 512 «Обутверждении требований к материальным носителям биометрических персональныхданных и технологиям хранения таких данных вне информационных систем персональныхданных»;
Постановлением Правительства Российской Федерации от 1 ноября 2012 года N1119 «Об утверждении требований к защите персональных данных при их обработке винформационных системах персональных данных»;
Указом Президента Российской Федерации от 06.03.1997 № 188 «Об утвержденииперечня сведений конфиденциального характера»;
Уставом ООО «ЭйрМЕД», утвержден приказом;
лицензией на осуществление медицинской деятельности;
иными нормативными и правовыми актами Российской Федерации, локальныминормативными актами
1.3. Настоящее Положение определяет правовые, организационные и техническиемеры, необходимые для защиты персональных данных от неправомерного или случайногодоступа к ним, уничтожения, изменения, блокирования, копирования, предоставления,распространения персональных данных, а также от иных неправомерных действий вотношении персональных данных.
1.4. Во всех случаях, не урегулированных настоящем Положением или другиминормативными документами ООО «ЭйрМЕД», необходимо руководствоватьсядействующим законодательством Российской Федерации.
1.5. Настоящее Положение является общедоступным документом и подлежитопубликованию на официальном сайте организации.
1.6. В случае внесения изменений в действующее законодательство РоссийскойФедерации, регулирующее защиту персональных данных и отношения, связанные собработкой персональных данных, настоящее Положение подлежит изменению. Всеизменения в Положение утверждаются приказом руководителя организации.
1.7. Настоящее Положение вступает в силу с момента его утвержденияруководителем и действует бессрочно, до замены его новым Положением.
1.8. Все работники организации должны быть ознакомлены с настоящимПоложением под подпись в листе ознакомления.
1.9. Общее руководство, контроль и координация деятельности организации врамках настоящего Положения осуществляется Ответственным за организацию обработкиперсональных данных организации в установленном порядке.
2. Термины и определения

В настоящем Положении используются следующие термины и их определения:

Автоматизированная обработка персональных данных – обработка персональныхданных с помощью средств вычислительной техники.

Актуальные угрозы безопасности персональных данных – совокупность условий ифакторов, создающих актуальную опасность несанкционированного, в том числеслучайного, доступа к персональным данным при их обработке в информационной системе,результатом которого могут стать уничтожение, изменение, блокирование, копирование,предоставление, распространение персональных данных, а также иные неправомерныедействия.

Биометрические персональные данные – сведения, которые характеризуютфизиологические и биологические особенности человека, на основании которых можноустановить его личность.

Блокирование персональных данных – временное прекращение обработкиперсональных данных (за исключением случаев, если обработка необходима для уточненияперсональных данных).

Информационная система персональных данных – совокупность содержащихся вбазах данных персональных данных и обеспечивающих их обработку информационныхтехнологий и технических средств.

Конфиденциальность персональных данных – обязательное для соблюденияоператором или иным получившим доступ к персональным данным лицом требование недопускать их распространение без согласия субъекта персональных данных или наличияиного законного основания, если иное не предусмотрено федеральным законом.

Несанкционированный доступ (несанкционированные действия) – доступ кинформации или действия с информацией, нарушающие правила разграничения доступа сиспользованием штатных средств, предоставляемых информационными системамиперсональных данных.

Обезличивание персональных данных – действия, в результате которых становитсяневозможным без использования дополнительной информации определить принадлежностьперсональных данных конкретному субъекту персональных данных.

Обработка персональных данных – любое действие (операция) или совокупностьдействий (операций), совершаемых с использованием средств автоматизации или безиспользования таких средств с персональными данными, включая сбор, запись,систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение,использование, передачу (распространение, предоставление, доступ), обезличивание,блокирование, удаление, уничтожение персональных данных.

Оператор – государственный орган, муниципальный орган, юридическое илифизическое лицо, самостоятельно или совместно с другими лицами организующие и (или)осуществляющие обработку персональных данных, а также определяющие цели обработкиперсональных данных, состав персональных данных, подлежащих обработке, действия(операции), совершаемые с персональными данными.

Персональные данные – любая информация, относящаяся к прямо или косвенноопределенному или определяемому физическому лицу (субъекту персональных данных).

Предоставление персональных данных – действия, направленные на раскрытиеперсональных данных определенному лицу или определенному кругу лиц.

Распространение персональных данных – действия, направленные на раскрытиеперсональных данных неопределенному кругу лиц.

Пользователь информационной системы персональных данных – лицо, участвующеев функционировании информационной системы персональных данных или использующеерезультаты ее функционирования.

Ресурс информационной системы – именованный элемент системного, прикладногоили аппаратного обеспечения функционирования информационной системы.

Специальные категории персональных данных – персональные данные, касающиесярасовой, национальной принадлежности, политических взглядов, религиозных илифилософских убеждений, состояния здоровья и интимной жизни.

Средства вычислительной техники – совокупность программных и техническихэлементов систем обработки данных, способных функционировать самостоятельно или всоставе других систем.

Технические средства информационной системы персональных данных – средствавычислительной техники, информационно-вычислительные комплексы и сети, средства исистемы передачи, приема и обработки ПДн (средства и системы звукозаписи,звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства,средства изготовления, тиражирования документов и другие технические средстваобработки речевой, графической, видео- и буквенно-цифровой информации), программныесредства (операционные системы, системы управления базами данных и т.п.), средствазащиты информации).

Трансграничная передача персональных данных – передача персональных данных натерриторию иностранного государства органу власти иностранного государства,иностранному физическому лицу или иностранному юридическому лицу.

Угрозы безопасности персональных данных – совокупность условий и факторов,создающих опасность несанкционированного, в том числе случайного, доступа кперсональным данным, результатом которого может стать уничтожение, изменение,блокирование, копирование, распространение персональных данных, а также иныхнесанкционированных действий при их обработке в информационной системеперсональных данных.

Уничтожение персональных данных – действия, в результате которых становитсяневозможным восстановить содержание персональных данных в информационной системеперсональных данных и (или) в результате которых уничтожаются материальные носителиперсональных данных.

Уровень защищенности персональных данных – комплексный показатель,характеризующий требования, исполнение которых обеспечивает нейтрализациюопределенных угроз безопасности персональных данных при их обработке винформационных системах персональных данных.

Утечка (защищаемой) информации по техническим каналам – неконтролируемоераспространение информации от носителя защищаемой информации через физическуюсреду до технического средства, осуществляющего перехват информации.

Целостность информации – способность средства вычислительной техники илиинформационной системы обеспечивать неизменность информации в условиях случайногои/или преднамеренного искажения (разрушения).

3. Принципы и цели обработки персональных данных

Обработка персональных данных должна осуществляться с соблюдением принципови правил, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ.

Обработка персональных данных должна ограничиваться достижением конкретных,заранее определенных и законных целей. Не допускается обработка персональных данных,несовместимая с целями сбора персональных данных.

Обработка персональных данных в ООО «ЭйрМЕД» производится на основеследующих принципов:

Законности и справедливости;
Осуществления обработки персональных данных только с согласия субъектаперсональных данных на обработку его персональных данных в случаях, предусмотренныхзаконодательством о персональных данных;
Осуществления обработки персональных данных в отсутствие согласия субъектаперсональных данных на обработку его персональных данных в случаях, предусмотренныхзаконодательством о персональных данных;
Защиты жизни, здоровья или иных жизненно важных интересов субъектовперсональных данных, если получение согласия субъекта персональных данныхневозможно;
Ограничения достижением конкретных, заранее определенных и законных целейсбора персональных данных;
Недопущения объединения баз данных, содержащих персональные данные,обработка которых осуществляется в целях, несовместимых между собой;
Соответствия содержания и объема обрабатываемых персональных данныхзаявленным целям обработки, недопустимости избыточности обрабатываемыхперсональных данных по отношению к заявленным целям их обработки;
Обеспечения точности персональных данных, их достаточности, а в необходимыхслучаях актуальности по отношению к целям обработки персональных данных, принятиянеобходимых мер либо обеспечения их принятия по удалению или уточнению неполных,или неточных данных;

Сохранности персональных данных (не раскрытие третьим лицам и нераспространение без согласия субъекта персональных данных, если иное не предусмотренофедеральным законом), т.е. конфиденциальности персональных данных.

Персональные данные в ООО «ЭйрМЕД» (далее – Организация) обрабатываются вцелях:

Обеспечения соблюдения законодательства РФ в сфере здравоохранения
Обеспечения соблюдения трудового законодательства РФ
Подготовки, заключения и исполнения гражданско-правового договора

 

4. Хранение персональных данных
4.1. В организации обеспечивается раздельное хранение персональных данных(материальных носителей). Хранение персональных данных осуществляется в форме,позволяющей определить субъекта персональных данных.
4.2. При осуществлении хранения персональных данных в соответствии счастью 5статьи 17 Федерального закона от 27.07.2006 № 152-ФЗ в организации используются базыданных, находящиеся на территории Российской Федерации.
4.3. Хранение персональных данных осуществляется не дольше, чем этого требуютцели обработки персональных данных, если срок хранения персональных данных неустановлен федеральным законом, договором, стороной которого, выгодоприобретателемили поручителем, по которому является субъект персональных данных.
4.4. Сроки хранения персональных данных определяются/обусловлены срокамихранения, установленными номенклатурой для дел, содержащих соответствующиеперсональные данные.
5. Уничтожение персональных данных при достижении целей обработки илипри наступлении иных законных оснований
5.1. Обрабатываемые персональные данные подлежат уничтожению:
по достижении целей обработки;
в случае утраты необходимости в достижении этих целей, если иное непредусмотрено федеральным законом;
в случае представления субъектом персональных данных или его представителемсведений, подтверждающих, что такие персональные данные являются незаконнополученными или не являются необходимыми для заявленной цели обработки;
отзыва субъектом персональных данных согласия на обработку.
5.2. Персональные данные не подлежат уничтожению при достижении целей ихобработки или в случае отзыва субъектом персональных данных согласия на их обработку,если:
иное предусмотрено договором, стороной которого, выгодоприобретателем илипоручителем, по которому является субъект персональных данных;
Оператор вправе осуществлять обработку без согласия субъекта персональныхданных на основаниях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗили иными федеральными законами;
иное предусмотрено иным соглашением между оператором и субъектомперсональных данных.
5.3. В случае достижения цели обработки персональных данных работникиорганизации, имеющие доступ к персональным данным и осуществляющие обработкуперсональных данных, обязаны прекратить обработку персональных данных илиобеспечить ее прекращение (если обработка персональных данных осуществляется другимлицом, действующим по поручению оператора) и уничтожить персональные данные илиобеспечить их уничтожение (если обработка персональных данных осуществляется другимлицом, действующим по поручению оператора) в срок, не превышающий десяти рабочихдней с даты достижения цели обработки персональных данных, если иное непредусмотрено договором, стороной которого, выгодоприобретателем или поручителем покоторому является субъект персональных данных, иным соглашением между оператором исубъектом персональных данных либо если оператор вправе осуществлять обработкуперсональных данных без согласия субъекта персональных данных на основаниях,предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ или другимифедеральными законами.
5.4. В случае отзыва субъектом персональных данных согласия на обработку егоперсональных данных оператор обязан прекратить их обработку или обеспечитьпрекращение такой обработки (если обработка персональных данных осуществляетсядругим лицом, действующим по поручению оператора) и в случае, если сохранениеперсональных данных более не требуется для целей обработки персональных данных,уничтожить персональные данные или обеспечить их уничтожение (если обработкаперсональных данных осуществляется другим лицом, действующим по поручениюоператора) в срок, не превышающий десяти рабочих дней с даты поступления указанногоотзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателемили поручителем по которому является субъект персональных данных, иным соглашениеммежду оператором и субъектом персональных данных либо если оператор вправеосуществлять обработку персональных данных без согласия субъекта персональныхданных на основаниях, предусмотренных настоящим Федеральным законом или другимифедеральными законами.  
5.5. В случае отсутствия возможности уничтожения персональных данных в течениеуказанных сроков, работники организации, имеющие доступ к персональным данным иосуществляющие обработку персональных данных, осуществляют блокирование такихперсональных данных или обеспечивает их блокирование (если обработка персональныхданных осуществляется другим лицом, действующим по поручению оператора) иобеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, еслииной срок не установлен федеральными законами.
5.6. Документы, содержащие персональные данные, сроки хранения которыхистекли, подлежат уничтожению за исключением случаев, предусмотренных пунктом 5.2настоящего Положения, а также федеральными законами, в частности, Федеральнымзаконом от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации».
5.7. Уничтожение по окончании срока обработки персональных данных наэлектронных носителях производится путем механического нарушения целостностиносителя, не позволяющего произвести считывание или восстановление персональныхданных, или удалением с электронных носителей методами и средствами гарантированногоудаления остаточной информации.
5.8. Уничтожение персональных данных осуществляется в соответствии сПоложением о порядке уничтожения персональных данных специальной комиссией ссоставлением Акта.

 

6. Доступ к персональным данным работников
6.1. Право внутреннего доступа к персональным данным имеют:
руководитель Организации;
сотрудники бухгалтерии;
сотрудники секретариата (информация о фактическом месте проживания иконтактные телефоны работников);
носитель данных;
Другие сотрудники организации при выполнении ими своих служебныхобязанностей. Перечень лиц, имеющих доступ к персональным данным работников,определяется руководителем Организации.
6.2. Право внешнего доступа к персональным данным имеют:
6.2.1. К числу массовых потребителей персональных данных вне организацииможно отнести
Государственные и негосударственные функциональные структуры:
Налоговые инспекции;
Правоохранительные органы;
Органы статистики;
Военкоматы;
Органы социального страхования;
Пенсионные фонды;
Подразделения муниципальных органов управления;
Страховые компании.
6.2.2. Надзорно-контролирующие органы имеют доступ к информации только всфере своей компетенции.
6.2.3. Персональные данные пациента могут быть предоставлены родственникам иличленам его семьи только с письменного разрешения самого пациента.
7. Категории обрабатываемых персональных данных, категории субъектовперсональных данных
7.1. Перечень персональных данных, обрабатываемых в Организации, определяетсяв соответствии с законодательством и локальными правовыми актами Организации сучетом целей обработки персональных данных, указанных в Положении, при условии, чтотакие персональные данные обрабатываются медицинским, фармацевтическим или инымработником здравоохранения, на которого возложены обязанности по обеспечению защитыперсональных данных и в соответствии с законодательством распространяется обязанностьсохранять врачебную тайну.
7.2. С учетом целей обработки персональных данных и персональных данныхуполномоченные работники организации осуществляют обработку следующих категорийперсональных данных:
Специальные персональные данные (далее – СПДн);
Иные персональные данные (ИПДн);
7.3. В целях обеспечения соблюдения законодательства РФ в сферездравоохранения осуществляется обработка персональных данных следующих субъектовперсональных данных:
Клиенты;
Законные представители;
Иные категории субъектов персональных данных, персональные данные которыхобрабатываются: пациенты, посетители сайта организации сети интернет, граждане,являющиеся заявителями заявлений, предложений, жалоб, претензий и иных документов,подготовки ответов на них.

С учетом цели обработки персональных данных уполномоченные работникиОрганизации осуществляют обработку следующих категорий персональных данных:

ИПДн:

фамилия, имя, отчество;
год рождения;
месяц рождения;
дата рождения;
место рождения;
семейное положение;
пол;
адрес электронной почты;
адрес места жительства;
адрес регистрации;
номер телефона;
СНИЛС;
ИНН;
гражданство;
данные документа, удостоверяющего личность;
данные документа, удостоверяющего личность за пределами РоссийскойФедерации; данные документа, содержащиеся в свидетельстве о рождении;
профессия;
сведения о трудовой деятельности (в том числе стаж работы, данные о трудовойзанятости на текущее время с указанием наименования и расчетного счета организации);
отношение к воинской обязанности, сведения о воинском учете;

СПДн:

сведения о состоянии здоровья / заболевания;

 

Правовое основание обработки персональных данных:

обработка персональных данных осуществляется с согласия субъекта персональныхданных на обработку его персональных данных; обработка персональных данныхнеобходима для достижения целей, предусмотренных международным договоромРоссийской Федерации или законом, для осуществления и выполнения возложенныхзаконодательством Российской Федерации на оператора функций, полномочий иобязанностей;; обработка персональных данных необходима для исполнения договора,стороной которого либо выгодоприобретателем или поручителем по которому являетсясубъект персональных данных, а также для заключения договора по инициативе субъектаперсональных данных или договора, по которому субъект персональных данных будетявляться выгодоприобретателем или поручителем. Заключаемый с субъектомперсональных данных договор не может содержать положения, ограничивающие права исвободы субъекта персональных данных, обработка персональных данных необходима длязащиты жизни, здоровья или иных жизненно важных интересов субъекта персональныхданных, если получение согласия субъекта персональных данных невозможно.

Перечень действий:

Сбор; запись; систематизация; накопление; хранение; уничтожение (обновление,изменение); извлечение; использование; передача; (предоставление, доступ); удаление;уничтожение.

7.4. В целях обеспечения соблюдения трудового законодательства РФосуществляется обработка персональных данных следующих субъектов персональныхданных:
Работники;
Соискатели;
Родственники работников;
Уволенные работники;
Учащиеся;
Студенты;

С учетом цели обработки персональных данных уполномоченные работникиОрганизации осуществляют обработку следующих категорий персональных данных:

ИПДн:

фамилия, имя, отчество;
год рождения;
месяц рождения;
дата рождения;
место рождения;
семейное положение;
социальное положение;
имущественное положение;
доходы;
пол;
адрес электронной почты;
адрес места жительства;
адрес регистрации;
номер телефона;
СНИЛС;
ИНН;
гражданство;
данные документа, удостоверяющего личность;
данные водительского удостоверения;
данные документа, удостоверяющего личность за пределами РоссийскойФедерации;
данные документа, содержащиеся в свидетельстве о рождении;
реквизиты банковской карты;
номер расчетного счета;
номер лицевого счета;
профессия;
должность;
сведения о трудовой деятельности (в том числе стаж работы, данные о трудовойзанятости на текущее время с указанием наименования и расчетного счета организации);
отношение к воинской обязанности, сведения о воинском учете; сведения обобразовании;

СПДн:

сведения о состоянии здоровья;
национальная принадлежность;
сведения о судимости;

а также:

данные полиса ОМС, знание иностранного языка, данные аттестации, повышенияквалификации.

 

Правовое основание обработки персональных данных:

обработка персональных данных осуществляется с согласия субъекта персональныхданных на обработку его персональных данных; обработка персональных данныхнеобходима для достижения целей, предусмотренных международным договоромРоссийской Федерации или законом, для осуществления и выполнения возложенныхзаконодательством Российской Федерации на оператора функций, полномочий иобязанностей; обработка персональных данных необходима для исполнения полномочийфедеральных органов исполнительной власти, органов государственных внебюджетныхфондов, исполнительных органов государственной власти субъектов РоссийскойФедерации, органов местного самоуправления и функций организаций, участвующих впредоставлении соответственно государственных и муниципальных услуг,предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организациипредоставления государственных и муниципальных услуг.

Перечень действий:

Сбор; запись; систематизация; накопление; хранение; уничтожение (обновление,изменение); извлечение; использование; передача; (предоставление, доступ); удаление;уничтожение.

7.5. В целях подготовки, заключения и исполнения гражданско-правовогодоговора осуществляется обработка персональных данных следующих субъектовперсональных данных:

ИПДн:

Контрагенты;
Представители контрагентов;
Выгодоприобретатели по договорам;
Иные категории субъектов персональных данных, персональные данные которыхобрабатываются;
Лица, состоящие в договорных отношениях

С учетом цели обработки персональных данных уполномоченные работникиОрганизации осуществляют обработку следующих категорий персональных данных:

фамилия, имя, отчество;
год рождения;
месяц рождения;
дата рождения;
место рождения;
пол;
адрес электронной почты;
адрес места жительства;
адрес регистрации;
номер телефона;
СНИЛС;
ИНН;
гражданство;
данные документа, удостоверяющего личность;
данные документа, удостоверяющего личность за пределами РоссийскойФедерации; реквизиты банковской карты;
номер расчетного счета;
номер лицевого счета;
профессия;
должность.

 

Правовое основание обработки персональных данных:

обработка персональных данных осуществляется с согласия субъекта персональныхданных на обработку его персональных данных; обработка персональных данныхнеобходима для исполнения договора, стороной которого либо выгодоприобретателем илипоручителем по которому является субъект персональных данных, а также для заключениядоговора по инициативе субъекта персональных данных или договора, по которомусубъект персональных данных будет являться выгодоприобретателем или поручителем.Заключаемый с субъектом персональных данных договор не может содержать положения,ограничивающие права и свободы субъекта персональных данных.

Перечень действий:

Сбор; запись; систематизация; накопление; хранение; уничтожение (обновление,изменение); извлечение; использование; передача; (предоставление, доступ); удаление;уничтожение.

Подать заявку на первичный прием