Политика конфиденциальности
Политика в отношении обработки персональных данных в АНО МДЦ «Белая роза — Сахалин»
1. Общие положения
1.1. Настоящая политика в отношении обработки персональных данных (далее — ПДн) в АНО МДЦ «Белая роза — Сахалин» (далее — оператор) (далее — Политика) определяет цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в АНО МДЦ «Белая роза — Сахалин».
1.2. Политика определяет:
— основные вопросы, связанные с обработкой ПДн Оператором с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка ПДн без использования таких средств соответствует характеру действий (операций), совершаемых с ПДн с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск ПДн, зафиксированных на материальном носителе, и содержащихся в картотеках или иных систематизированных собраниях ПДн, и (или) доступ к таким ПДн;
— принципы, порядок и условия обработки ПДн работников Оператора и иных лиц, чьи персональные данные обрабатываются Оператором, а также устанавливает ответственность должностных лиц Оператора, имеющих доступ к ПДн, за невыполнение требований норм, регулирующих обработку и защиту ПДн.
1.3. Целью настоящей Политики является реализация требований законодательства в области обработки и защиты персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личной, семейной и врачебной тайн.
2. Основные понятия
2.1. Основные понятия, используемые в данной политике
— ПДн — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн);
— Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн;
— Обработка ПДн — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн;
— Автоматизированная обработка ПДн — обработка ПДн с помощью средств вычислительной техники;
— Распространение ПДн — действия, направленные на раскрытие ПДн неопределенному кругу лиц;
— Предоставление ПДн — действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;
— Блокирование ПДн — временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн);
— Уничтожение ПДн — действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн;
— Обезличивание ПДн — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн;
— Информационная система персональных данных (далее ИСПДн) — совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств;
— Трансграничная передача ПДн — передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
— Субъект персональных данных — физическое лицо, данные которого обрабатываются;
— Конфиденциальность персональных данных — обязательное для оператора и иных лиц, получивших доступ к персональным данным, требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
2.2. Оператор обрабатывает персональные данные в целях:
— обеспечения соблюдения законодательства РФ в сфере здравоохранения;
— обеспечения соблюдения трудового, налогового и пенсионного законодательства РФ;
— ведения кадрового и бухгалтерского учета;
— сбора статистических данных посетителей сайта;
— обработка предпочтений и статистика посещения посетителей официального
сайта.
3. Содержание и объем обрабатываемых персональных данных
3.1. Категории субъектов персональных данных, чьи данные обрабатываются:
— работники , уволенные работники;
— родственники работников;
— пациенты, законные представители пациентов;
— посетители сайта.
3.2. Обеспечение соблюдения трудового законодательства РФ
3.2.1. Категории обрабатываемых ПДн:
— фамилия, имя, отчество;
— год рождения;
— месяц рождения;
— дата рождения;
— место рождения;
— семейное положение;
— социальное положение;
— доходы;
— пол;
— адрес электронной почты;
— адрес места жительства;
— адрес регистрации;
— номер телефона;
— СНИЛС;
— ИНН;
— гражданство;
— данные документа, удостоверяющего личность;
— реквизиты банковской карты;
— номер расчетного счета;
— номер лицевого счета;
— профессия;
— должность;
— сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации);
— отношение к воинской обязанности;
— сведения о воинском учете;
— сведения о образовании.
3.2.2. Категории субъектов, ПДн которых обрабатываются: работники , уволенные работники.
3.2.3. Правовое основание обработки ПДн: обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн.
3.2.4. Перечень действий с ПДн: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение),использование, обезличивание, удаление.
3.2.5. Способы обработки: смешанная, с передачей по внутренней сети юридического лица, с передачей по сети интернет.
3.3. Обеспечение соблюдения налогового законодательства РФ
3.3.1. Категории обрабатываемых ПДн:
— фамилия, имя, отчество;
— год рождения;
— месяц рождения;
— дата рождения;
— место рождения;
— семейное положение;
— социальное положение;
— доходы;
— пол;
— адрес электронной почты;
— адрес места жительства;
— адрес регистрации;
— номер телефона;
— СНИЛС;
— ИНН;
— гражданство;
— данные документа, удостоверяющего личность;
— реквизиты банковской карты;
— номер расчетного счета;
— номер лицевого счета;
— профессия;
— должность;
— сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации);
— отношение к воинской обязанности;
— сведения о воинском учете;
— сведения о образовании.
3.3.2. Категории субъектов, ПДн которых обрабатываются: работники , уволенные работники.
3.3.3. Правовое основание обработки ПДн: обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн.
3.3.4. Перечень действий с ПДн: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение),использование, обезличивание, удаление.
3.3.5. Способы обработки: смешанная, с передачей по внутренней сети юридического лица, с передачей по сети интернет.
3.4. Обеспечение соблюдения пенсионного законодательства РФ
3.4.1. Категории обрабатываемых ПДн:
— фамилия, имя, отчество;
— год рождения;
— месяц рождения;
— дата рождения;
— место рождения;
— семейное положение;
— социальное положение;
— доходы;
— пол;
— адрес электронной почты;
— адрес места жительства;
— адрес регистрации;
— номер телефона;
— СНИЛС;
— ИНН;
— гражданство;
— данные документа, удостоверяющего личность;
— реквизиты банковской карты;
— номер расчетного счета;
— номер лицевого счета;
— профессия;
— должность;
— сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации);
— отношение к воинской обязанности;
— сведения о воинском учете;
— сведения о образовании.
3.4.2. Категории субъектов, ПДн которых обрабатываются: работники , уволенные работники.
3.4.3. Правовое основание обработки ПДн: обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн.
3.4.4. Перечень действий с ПДн: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение),использование, обезличивание, удаление.
3.4.5. Способы обработки: смешанная, с передачей по внутренней сети юридического лица, с передачей по сети интернет.
3.5. Обеспечение соблюдения законодательства РФ в сфере здравоохранения
3.5.1. Категории обрабатываемых ПДн:
— фамилия, имя, отчество;
— год рождения;
— месяц рождения;
— дата рождения;
— место рождения;
— семейное положение;
— социальное положение;
— пол;
— адрес электронной почты;
— адрес места жительства;
— адрес регистрации;
— номер телефона;
— СНИЛС;
— ИНН;
— гражданство;
— данные документа, удостоверяющего личность;
— данные документа, удостоверяющего личность за пределами РФ
— должность;
— отношение к воинской обязанности;
— сведения о воинском учете;
3.5.2. Категории субъектов, ПДн которых обрабатываются: пациенты, законные представители пациентов.
3.5.3. Правовое основание обработки ПДн: обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн.
3.5.4. Перечень действий с ПДн: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение),использование, обезличивание, удаление.
3.5.5. Способы обработки: смешанная, с передачей по внутренней сети юридического лица, с передачей по сети интернет.
3.6. Ведение кадрового и бухгалтерского учета
3.6.1. Категории обрабатываемых ПДн:
— фамилия, имя, отчество;
— год рождения;
— месяц рождения;
— дата рождения;
— место рождения;
— семейное положение;
— социальное положение;
— доходы;
— пол;
— адрес электронной почты;
— адрес места жительства;
— адрес регистрации;
— номер телефона;
— СНИЛС;
— ИНН;
— гражданство;
— данные документа, удостоверяющего личность;
— реквизиты банковской карты;
— номер расчетного счета;
— номер лицевого счета;
— профессия;
— должность;
— сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации);
— отношение к воинской обязанности;
— сведения о воинском учете;
— сведения о образовании.
3.6.2. Категории субъектов, ПДн которых обрабатываются: работники , уволенные работники, родственники работников.
3.6.3. Правовое основание обработки ПДн: обработка ПДн осуществляется на основании согласия законного представителя, обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн.
3.6.4. Перечень действий с ПДн: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение),использование, обезличивание, удаление.
3.6.5. Способы обработки: смешанная, с передачей по внутренней сети юридического лица, с передачей по сети интернет.
3.7. Сбор статистических данных посетителей сайта
3.7.1. Категории обрабатываемых ПДн:
— фамилия, имя, отчество;
— пол;
— адрес электронной почты;
— номер телефона.
3.7.2. Сбор Категории субъектов, ПДн которых обрабатываются: посетители сайта.
3.7.3. Правовое основание обработки ПДн: обработка ПДн осуществляется на основании согласия законного представителя.
3.7.4. Перечень действий с ПДн: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение),использование, обезличивание, удаление.
3.7.5. Способы обработки: смешанная, с передачей по внутренней сети юридического лица, с передачей по сети интернет.
3.8. Обработка предпочтений и статистика посещения официального сайта
3.8.1. Обработка обезличенных данных посетителей официального сайта АНО МДЦ «Белая роза — Сахалин» с использованием метрической программы Яндекс. Метрика (файлы «cookie») https://bel-roza.ru
3.8.2. Перечень действий с обезличенными данными: сбор, запись, накопление, хранение, уточнение (обновление, изменение), использование, передача (предоставление, доступ), удаление, уничтожение обезличенных данных.
3.8.3. Способы обработки: сервис интернет-статистики Яндекс.Метрика
3.9. Хранение персональных данных субъектов ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки в соответствии со сроками хранения, определяемыми законодательством Российской Федерации и нормативными документами АНО МДЦ «Белая роза — Сахалин»:
— ПДн, содержащиеся в приказах по личному составу АНО МДЦ «Белая роза — Сахалин» (о приеме, о переводе, об увольнении, об установлении надбавок), подлежат хранению в отделе кадров АНО МДЦ «Белая роза — Сахалин» в течение 50 лет с последующим уничтожением;
— ПДн, содержащиеся в личных делах работников АНО МДЦ «Белая роза — Сахалин», хранятся в отделе кадров АНО МДЦ «Белая роза — Сахалин» в течение 50 лет с последующим уничтожением;
— ПДн, содержащиеся в приказах о поощрениях, материальной помощи работникам АНО МДЦ «Белая роза — Сахалин», подлежат хранению в течение 5 лет с последующим уничтожением;
— сроки обработки и хранения ПДн, предоставляемых субъектами (пациентами) ПДн в АНО МДЦ «Белая роза — Сахалин» в связи с оказанием медицинских услуг, определяются условиями достижения целей обработки ПДн, а также нормативными правовыми актами, регламентирующими порядок их сбора и обработки;
— срок хранения ПДн, внесенных в ИСПДн соответствует сроку хранения бумажных оригиналов.
3.10. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.
3.11. При обработке ПДн АНО МДЦ «Белая роза — Сахалин» принимает необходимые и достаточные правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
3.12. В случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекта ПДн или его представителя АНО МДЦ «Белая роза — Сахалин» осуществляет блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению АНО МДЦ «Белая роза — Сахалин») с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных ПДн при обращении субъекта ПДн или его представителя либо по их запросу АНО МДЦ «Белая роза — Сахалин» осуществляет блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению АНО МДЦ «Белая роза — Сахалин») с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.
3.13. В случае подтверждения факта неточности ПДн АНО МДЦ «Белая роза — Сахалин» на основании сведений, представленных субъектом ПДн или его представителем или иных необходимых документов обязано уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению АНО МДЦ «Белая роза — Сахалин») в течение семи рабочих дней со дня представления таких сведений и снять блокирование ПДн.
3.14. В случае выявления неправомерной обработки ПДн, осуществляемой АНО МДЦ «Белая роза — Сахалин» или лицом, действующим по поручению АНО МДЦ «Белая роза — Сахалин», АНО МДЦ «Белая роза — Сахалин» в срок, не превышающий трех рабочих дней с даты этого выявления, прекращает неправомерную обработку ПДн или обеспечивает прекращение неправомерной обработки ПДн лицом, действующим по поручению АНО МДЦ «Белая роза — Сахалин». В случае, если обеспечить правомерность обработки ПДн невозможно, АНО МДЦ «Белая роза — Сахалин» в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПДн, уничтожает такие ПДн или обеспечивает их уничтожение. Об устранении допущенных нарушений или об уничтожении ПДн АНО МДЦ «Белая роза — Сахалин» уведомляет субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектов ПДн, также уведомляет указанный орган.
3.15. В случае достижения цели обработки ПДн АНО МДЦ «Белая роза — Сахалин» прекращает обработку ПДн или обеспечивает ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению АНО МДЦ «Белая роза — Сахалин») и уничтожает ПДн или обеспечивает их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению АНО МДЦ «Белая роза — Сахалин») в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между АНО МДЦ «Белая роза — Сахалин» и субъектом ПДн, либо если АНО МДЦ «Белая роза — Сахалин» не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных федеральными законами.
3.16. Сотрудники АНО МДЦ «Белая роза — Сахалин», виновные в нарушении требований Федерального закона «О персональных данных» и принятых в соответствии с ним нормативных правовых актов, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном законодательством Российской Федерации.
4. Заключительные положения
4.1. К настоящей Политике обеспечивается неограниченный доступ.
4.2. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите ПДн, но не реже одного раза в три года.
4.3. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки ПДн АНО МДЦ «Белая роза — Сахалин».
4.4. Ответственность должностных лиц АНО МДЦ «Белая роза — Сахалин», имеющих доступ к ПДн, за невыполнение требований норм, регулирующих обработку и защиту ПДн, определяется в соответствии с законодательством Российской Федерации и внутренними документами АНО МДЦ «Белая роза — Сахалин».