1. Общие положения
Настоящая Политика обработки персональных данных (далее — Политика) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и устанавливает цели, основные принципы, правила и правовые основания обработки персональных данных, а также меры по их защите в ООО «Лекарь».
Политика направлена на обеспечение защиты прав и свобод субъектов персональных данных, а также выполнение требований законодательства РФ в области обработки и защиты персональных данных.
Действие Политики распространяется на все персональные данные, обрабатываемые ООО «Лекарь», независимо от формы их представления и способа обработки.
Персональные данные обрабатываются только на территории РФ, без трансграничной передачи.
2. Основные понятия
В настоящей Политике используются следующие основные термины:
Персональные данные — любая информация, относящаяся к прямо или косвенно определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными.
Оператор — ООО «Лекарь», самостоятельно или совместно с другими лицами организующее обработку персональных данных.
Конфиденциальность персональных данных — обязательное для соблюдения ООО «Лекарь» требование не раскрывать персональные данные третьим лицам без согласия субъекта, если иное не предусмотрено законодательством РФ.
3. Цели обработки персональных данных
Персональные данные в ООО «Лекарь» обрабатываются в следующих целях:
Подбор персонала — обеспечение эффективного подбора сотрудников для замещения вакантных должностей в клинике.
Оказание медицинских услуг — соблюдение законодательства РФ в сфере здравоохранения, заключение договоров с пациентами и ведение их медицинской документации.
Обработка данных пользователей сайта — обеспечение работы сайта, аналитика посещаемости, оптимизация пользовательского опыта.
Ведение кадрового учета — документальное сопровождение трудовых отношений, формирование базы данных работников и учет кадровой документации.
4. Категории персональных данных
Обрабатываемые персональные данные включают:
Фамилия, имя, отчество
Дата рождения, пол
Контактные данные (номер телефона, адрес электронной почты)
Паспортные данные, СНИЛС, ИНН
Медицинские данные (история болезни, диагнозы, рецепты, страховой полис)
IP-адрес, файлы cookie (при использовании сайта)
Данные о профессиональной деятельности (стаж, квалификация, место работы)
5. Правовые основания обработки персональных данных
ООО «Лекарь» осуществляет обработку персональных данных на основании:
Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»
Трудового кодекса Российской Федерации
Договора с субъектом персональных данных
Согласия субъекта персональных данных
6. Перечень действий с персональными данными
В рамках обработки персональных данных ООО «Лекарь» осуществляет следующие действия:
Сбор, запись, систематизация
Накопление, хранение, уточнение (обновление, изменение)
Извлечение, использование, передача (распространение, предоставление, доступ)
Обезличивание, блокирование, удаление, уничтожение
7. Способы обработки персональных данных
Обработка персональных данных осуществляется смешанным способом — с использованием средств автоматизации и без них.
Обработка персональных данных пациентов ведется с использованием медицинской информационной системы.
Данные сайта обрабатываются с использованием аналитических сервисов с учетом требований законодательства о защите персональных данных.
8. Обеспечение безопасности персональных данных
Для защиты персональных данных ООО «Лекарь» применяет:
Антивирусную защиту Kaspersky Small Office Security 21
Криптографические средства защиты информации КриптоПро CSP 5.0
Ограничение доступа сотрудников к персональным данным
Физическую защиту серверов
Хранение данных только на территории Российской Федерации
9. Сроки хранения и прекращение обработки персональных данных
Персональные данные хранятся в течение 25 лет, если иное не предусмотрено законодательством.
В случае поступления письменного заявления субъекта персональных данных о прекращении обработки его данных, уничтожение производится в течение 3 рабочих дней с составлением соответствующего акта.
10. Ответственность и заключительные положения
Лица, виновные в нарушении требований законодательства РФ в области обработки и защиты персональных данных, несут ответственность в соответствии с действующим законодательством.
Данная Политика размещена в открытом доступе на официальном сайте ООО «Лекарь»: https://lekar-dok.ru/politika-konfidentsialnosti.
ПЕРЕЧЕНЬ ЦЕЛЕЙ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ООО «ЛЕКАРЬ», СОСТАВА ПЕРСОНАЛЬНЫХ ДАННЫХ И ИХ КАТЕГОРИЙ, А ТАКЖЕ КАТЕГОРИЙ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Обеспечение соблюдения законодательства РФ в сфере здравоохранения
Категории персональных данных:
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; пол; адрес
электронной почты; адрес места жительства; адрес регистрации; СНИЛС; ИНН; данные документа,
удостоверяющего личность; данные документа, содержащиеся в свидетельстве о рождении; профессия;
должность; сведения, собираемые посредством метрических программ;
Специальные категории персональных данных:
сведения о состоянии здоровья;
Категории субъектов:
Клиенты, законные представители.
Правовое основание:
обработка персональных данных осуществляется с согласия субъекта персональных данных на
обработку его персональных данных; обработка осуществляется с согласия субъекта и необходима для
исполнения обязательств по договору об оказании медицинских услуг, в соответствии с Федеральным
законом от 21.11.2011 № 323? ФЗ; Федеральный закон от 27.07.2006 № 152 ФЗ.
Перечень действий:
Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), удаление, уничтожение.
Способы обработки:
Смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет.
2. Обеспечение эффективного подбора персонала
Категории персональных данных:
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное
положение; социальное положение; пол; адрес электронной почты; адрес места жительства; адрес
регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего
личность; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты;
номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой
деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием
наименования и расчетного счета организации); отношение к воинской обязанности, сведения о
воинском учете;
Специальные категории персональных данных:
Сведения о состоянии здоровья, сведения о судимости.
Категории субъектов:
Соискатели.
Правовое основание:
обработка персональных данных осуществляется с согласия субъекта персональных данных на
обработку его персональных данных; Обработка осуществляется с согласия субъекта, а также
необходима для исполнения договора о найме в соответствии с Трудовым кодексом Российской
Федерации и Федеральным законом от 27.07.2006 № 152 ФЗ.
Перечень действий:
Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, удаление, уничтожение.
Способы обработки:
Смешанная; без передачи по внутренней сети юридического лица; с передачей по сети Интернет.
3. Обеспечение функционирования и оптимизации работы сайта
Категории персональных данных:
фамилия, имя, отчество; номер телефона;
Категории субъектов:
Посетители сайта.
Правовое основание:
обработка осуществляется с согласия субъекта (Федеральный закон от 27.07.2006 № 152 ФЗ).
Перечень действий:
Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, блокирование, удаление, уничтожение, распространение.
Способы обработки:
Автоматизированная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет.
Срок обработки:
До достижения целей обработки или удаления пользователем файлов cookie через настройки браузера.
4. Обеспечение соблюдения трудового законодательства РФ
Категории персональных данных:
Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; пол; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости).
Специальные категории персональных данных:
Сведения о состоянии здоровья.
Категории субъектов:
Работники, уволенные работники.
Правовое основание:
обработка осуществляется с согласия субъекта в соответствии с Трудовым кодексом Российской
Федерации и Федеральным законом от 27.07.2006 № 152? ФЗ.
Перечень действий:
Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, блокирование, удаление, распространение.
Способы обработки:
Смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет.
Срок обработки:
В течение трудовых отношений и в течение 75 лет с момента увольнения работника в соответствии с требованиями законодательства РФ.
Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных»:
Разработано и утверждено Положение об обработке персональных данных. Обязательство о неразглашении конфиденциальной информации, должностные инструкции, согласие на обработку ПД. Назначено лицо, ответственное за организацию обработки персональных данных. Опубликован и размещен на стенде, сайте организации документ, определяющий политику в отношении обработки персональных данных. Разработаны локальные акты по вопросам обработки персональных данных. Осуществляется внутренний контроль соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных. Работники, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику организации в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных. Разработана модель угроз безопасности в информационной системе. Обеспечивается учет машинных носителей персональных данных. Обеспечивается восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним. Разработаны правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивается регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных. Локальные акты, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Утверждена оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей.
Обеспечение физической безопасности и доступа:
- Определены места хранения персональных данных на материальных носителях.
- Перечень сотрудников с доступом к ПДн утверждён.
- Обеспечено раздельное хранение данных по целям обработки.
- Ведётся учёт всех носителей, включая маркировку и регистрационные журналы.
- Исключён неконтролируемый доступ в помещения, где ведётся обработка ПДн.
- Бумажные носители хранятся в сейфах или запирающихся шкафах.
- Помещения охраняются и оборудованы пожарной сигнализацией.
- Обеспечена регистрация всех операций с ПДн в системах.
Порядок уничтожения персональных данных в ООО «Лекарь»:
Основания для уничтожения:
- Достижение целей обработки.
- Отзыв согласия субъектом.
- Невозможность устранения нарушений обработки.
- Вывод из эксплуатации машинных носителей.
- Получение предписания Роскомнадзора.
Если уничтожение в указанные сроки невозможно — оно производится в течение 6 месяцев с документальным обоснованием.
Хранилища персональных данных:
- Съёмные машинные носители
- Базы данных информационных систем
- Бумажные носители
Документы, определяющие порядок выявления нарушений:
- Политика обработки персональных данных
- Порядок проверок обработки и защиты ПДн
- Положение о взаимодействии с субъектами персональных данных
Уничтожение персональных данных осуществляется:
- Ежегодно, по результатам инвентаризации
- По отозванному согласию — в течение 30 дней
- При нарушениях — в течение 10 рабочих дней
- По предписанию Роскомнадзора — в течение 10 рабочих дней
Методы уничтожения:
- Надёжное удаление файлов (например, WIPE, sdelete)
- Удаление записей из основных и резервных баз данных
- Удаление снапшотов виртуальных машин
- Физическое уничтожение машинных носителей
Акты об уничтожении:
- Составляются по каждому типу носителя
- Документы на бумажных носителях уничтожаются ежегодно по акту
- Шредеры 4 уровня используются для бумажных документов