Версия: 1.0
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика обработки персональных данных (далее – Политика) разработана в соответствии с требованиями Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», Федерального закона от 21.11.2011 №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», иных нормативных правовых актов Российской Федерации.
1.2. Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в ООО «Все диспансеры РУ» (далее – Оператор, Компания) с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну.
1.3. Настоящая Политика действует в отношении всех персональных данных, которые Оператор получает через информационно-телекоммуникационную сеть «Интернет» посредством веб-сайта https://dispanseru.ru/ (далее – Сайт).
1.4. В настоящей Политике используются следующие основные понятия:
- Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными;
- Субъект персональных данных – физическое лицо, к которому относятся персональные данные;
- Врачебная тайна – информация о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении.
2. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Оператор обрабатывает персональные данные субъектов в следующих целях:
2.1.1. Основные цели:
- Организация записи на прием к врачам медицинских учреждений;
- Предоставление информации о медицинских услугах;
- Обеспечение обратной связи с потенциальными пациентами;
- Координация взаимодействия между пациентами и медицинскими учреждениями;
- Оформление и выдача медицинских справок и документов.
2.1.2. Дополнительные цели:
- Улучшение качества предоставляемых услуг;
- Проведение статистических исследований;
- Выполнение обязательств по договорам оказания услуг;
- Соблюдение требований действующего законодательства Российской Федерации.
3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Правовыми основаниями обработки персональных данных являются:
3.1.1. Согласие субъекта персональных данных на обработку его персональных данных (п. 1 ч. 1 ст. 6 ФЗ-152);
3.1.2. Исполнение договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных (п. 5 ч. 1 ст. 6 ФЗ-152);
3.1.3. Осуществление прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных (п. 6 ч. 1 ст. 6 ФЗ-152);
3.1.4. Исполнение обязанностей, возложенных на оператора действующим законодательством Российской Федерации в сфере здравоохранения.
3.2. Обработка специальных категорий персональных данных, касающихся состояния здоровья, осуществляется в соответствии со статьей 10 ФЗ-152 при наличии согласия в письменной форме субъекта персональных данных.
4. КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ И СУБЪЕКТОВ
4.1. Категории субъектов персональных данных:
- Посетители Сайта, оставляющие заявки на получение медицинских услуг;
- Потенциальные пациенты медицинских учреждений;
- Лица, обращающиеся за получением медицинских справок и документов.
4.2. Категории обрабатываемых персональных данных:
4.2.1. Основные персональные данные:
- Фамилия, имя, отчество;
- Номер телефона;
- Адрес электронной почты (при указании);
4.2.2. Дополнительные персональные данные (при необходимости для оказания конкретных услуг):
- Дата рождения;
- Данные документа, удостоверяющего личность;
- Адрес регистрации и/или проживания;
- Информация о состоянии здоровья (в рамках врачебной тайны).
4.3. Специальные категории персональных данных:
- Сведения о состоянии здоровья, диагнозе, проведенном лечении (обрабатываются только при наличии письменного согласия субъекта и в целях оказания медицинской помощи).
5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Способы обработки персональных данных:
- Сбор, запись, систематизация, накопление, хранение;
- Уточнение (обновление, изменение);
- Извлечение, использование, передача (распространение, предоставление, доступ);
- Обезличивание, блокирование, удаление, уничтожение.
5.2. Условия обработки:
5.2.1. Обработка персональных данных осуществляется с соблюдением принципов, установленных ФЗ-152:
- Законности целей и способов обработки;
- Добросовестности;
- Соответствия целей обработки, способов обработки и обрабатываемых данных;
- Достоверности персональных данных;
- Недопустимости объединения баз данных.
5.2.2. Персональные данные обрабатываются автоматизированным и неавтоматизированным способами.
5.2.3. Места обработки персональных данных определяются Оператором с учетом требований законодательства РФ о персональных данных.
5.2.4. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки.
6. СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Общие сроки хранения:
- Персональные данные хранятся в течение срока, необходимого для достижения целей их обработки;
- По достижении целей обработки персональные данные подлежат уничтожению, если иное не предусмотрено действующим законодательством.
6.2. Специальные сроки хранения:
6.2.1. Контактные данные потенциальных пациентов (имя, телефон) – 3 года с момента последнего обращения;
6.2.2. Данные о предоставленных медицинских справках – в соответствии с требованиями медицинского законодательства (не менее 25 лет);
6.2.3. Информация, составляющая врачебную тайну – бессрочно, либо до получения письменного заявления субъекта об отзыве согласия на обработку.
6.3. По истечении сроков хранения персональные данные подлежат уничтожению в порядке, исключающем возможность их восстановления.
7. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Субъект персональных данных имеет право:
7.1.1. На получение информации:
- О подтверждении факта обработки персональных данных Оператором;
- О правовых основаниях и целях обработки персональных данных;
- О применяемых Оператором способах обработки персональных данных;
- О наименовании и месте нахождения Оператора;
- О лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные;
- Об обрабатываемых персональных данных, относящихся к соответствующему субъекту;
- О сроке обработки персональных данных;
- О порядке осуществления субъектом прав, предусмотренных ФЗ-152.
7.1.2. На уточнение, блокирование или уничтожение своих персональных данных в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
7.1.3. На отзыв согласия на обработку персональных данных;
7.1.4. На обжалование действий или бездействия Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;
7.1.5. На защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
7.2. Порядок реализации прав:
7.2.1. Для реализации своих прав субъект персональных данных направляет письменное обращение Оператору;
7.2.2. Обращение должно содержать:
- Номер основного документа, удостоверяющего личность субъекта персональных данных;
- Сведения о дате выдачи указанного документа и выдавшем его органе;
- Сведения, подтверждающие участие субъекта в отношениях с Оператором;
- Подпись субъекта персональных данных или его представителя.
7.2.3. Оператор рассматривает обращение и направляет ответ субъекту персональных данных в течение 30 дней с момента получения обращения.
8. МЕРЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.
8.2. Технические меры защиты:
- Применение средств защиты информации, имеющих сертификат соответствия;
- Использование криптографических средств защиты информации;
- Применение систем обнаружения вторжений;
- Резервное копирование и восстановление информации;
- Антивирусная защита;
- Межсетевое экранирование;
- Мониторинг событий в информационных системах.
8.3. Организационные меры защиты:
- Назначение ответственного за организацию обработки персональных данных;
- Ограничение состава лиц, допущенных к обработке персональных данных;
- Ознакомление лиц, допущенных к обработке персональных данных, с положениями законодательства о персональных данных и нормативными требованиями по их защите;
- Установление правил доступа к персональным данным;
- Применение средств защиты, прошедших процедуру оценки соответствия;
- Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных;
- Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер по их устранению;
- Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- Установление правил доступа к информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе;
- Контроль принимаемых мер по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
8.4. Защита врачебной тайны: Информация, составляющая врачебную тайну, подлежит дополнительной защите в соответствии с требованиями статьи 13 ФЗ-323 «Об основах охраны здоровья граждан в Российской Федерации».
9. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ
9.1. Принципы передачи:
- Оператор не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных;
- Передача персональных данных третьим лицам допускается только в случаях, установленных действующим законодательством РФ.
9.2. Случаи передачи персональных данных:
9.2.1. С согласия субъекта:
- Медицинским учреждениям для организации записи на прием и оказания медицинских услуг;
- Партнерам Оператора для исполнения обязательств по договорам оказания услуг.
9.2.2. Без согласия субъекта (в случаях, предусмотренных законодательством):
- По запросам уполномоченных государственных органов в рамках их компетенции;
- В других случаях, прямо предусмотренных действующим законодательством РФ.
9.3. Требования к получателям персональных данных:
- Получатели персональных данных обязуются использовать полученную информацию только в заявленных целях;
- Получатели обязуются обеспечить конфиденциальность и безопасность передаваемых персональных данных;
- Получатели не имеют права передавать полученные персональные данные третьим лицам без дополнительного согласия субъекта или Оператора.
9.4. Трансграничная передача: Передача персональных данных на территорию иностранных государств осуществляется только в случаях и в порядке, предусмотренных ФЗ-152.
10. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ С ИСПОЛЬЗОВАНИЕМ ФАЙЛОВ COOKIE
10.1. При использовании Сайта Оператор может использовать технологию «cookie» и аналогичные технологии для сбора информации о действиях посетителей.
10.2. Файлы cookie не содержат персональных данных и не передаются третьим лицам.
10.3. Пользователь может отключить использование файлов cookie в настройках своего браузера, однако это может повлиять на функциональность Сайта.
11. ИЗМЕНЕНИЕ ПОЛИТИКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1. Оператор имеет право вносить изменения в настоящую Политику.
11.2. При внесении изменений в Политику Оператор уведомляет об этом субъектов персональных данных путем размещения новой редакции Политики на Сайте.
11.3. Новая редакция Политики вступает в силу с момента ее размещения на Сайте, если иное не предусмотрено новой редакцией Политики.
11.4. Действующая редакция Политики постоянно доступна на Сайте по адресу: [указать ссылку на политику].
11.5. Все обращения, связанные с обработкой персональных данных, рассматриваются в течение 30 рабочих дней с момента их получения.
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
Настоящая Политика является публичным документом, размещается на официальном сайте Оператора и доступна любому пользователю сети Интернет при переходе по соответствующей ссылке.
Во всем остальном, что не урегулировано настоящей Политикой, Оператор руководствуется нормами действующего законодательства Российской Федерации в области персональных данных и информационной безопасности.