Политика обработки персональных данных

1. Общие положения

Настоящая Политика обработки персональных данных (далее — Политика) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и устанавливает цели, основные принципы, правила и правовые основания обработки персональных данных, а также меры по их защите в ООО «Лекарь».
Политика направлена на обеспечение защиты прав и свобод субъектов персональных данных, а также выполнение требований законодательства РФ в области обработки и защиты персональных данных.
Действие Политики распространяется на все персональные данные, обрабатываемые ООО «Лекарь», независимо от формы их представления и способа обработки.
Персональные данные обрабатываются только на территории РФ, без трансграничной передачи.

2. Основные понятия

В настоящей Политике используются следующие основные термины:

Персональные данные — любая информация, относящаяся к прямо или косвенно определяемому физическому лицу (субъекту персональных данных).

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными.

Оператор — ООО «Лекарь», самостоятельно или совместно с другими лицами организующее обработку персональных данных.

Конфиденциальность персональных данных — обязательное для соблюдения ООО «Лекарь» требование не раскрывать персональные данные третьим лицам без согласия субъекта, если иное не предусмотрено законодательством РФ.

3. Цели обработки персональных данных

Персональные данные в ООО «Лекарь» обрабатываются в следующих целях:

Подбор персонала — обеспечение эффективного подбора сотрудников для замещения вакантных должностей в клинике.

Оказание медицинских услуг — соблюдение законодательства РФ в сфере здравоохранения, заключение договоров с пациентами и ведение их медицинской документации.

Обработка данных пользователей сайта — обеспечение работы сайта, аналитика посещаемости, оптимизация пользовательского опыта.

Ведение кадрового учета — документальное сопровождение трудовых отношений, формирование базы данных работников и учет кадровой документации.

4. Категории персональных данных

Обрабатываемые персональные данные включают:

Фамилия, имя, отчество

Дата рождения, пол

Контактные данные (номер телефона, адрес электронной почты)

Паспортные данные, СНИЛС, ИНН

Медицинские данные (история болезни, диагнозы, рецепты, страховой полис)

IP-адрес, файлы cookie (при использовании сайта)

Данные о профессиональной деятельности (стаж, квалификация, место работы)

5. Правовые основания обработки персональных данных

ООО «Лекарь» осуществляет обработку персональных данных на основании:

Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»

Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»

Трудового кодекса Российской Федерации

Договора с субъектом персональных данных

Согласия субъекта персональных данных

6. Перечень действий с персональными данными

В рамках обработки персональных данных ООО «Лекарь» осуществляет следующие действия:

Сбор, запись, систематизация

Накопление, хранение, уточнение (обновление, изменение)

Извлечение, использование, передача (распространение, предоставление, доступ)

Обезличивание, блокирование, удаление, уничтожение

7. Способы обработки персональных данных

Обработка персональных данных осуществляется смешанным способом — с использованием средств автоматизации и без них.
Обработка персональных данных пациентов ведется с использованием медицинской информационной системы.
Данные сайта обрабатываются с использованием аналитических сервисов с учетом требований законодательства о защите персональных данных.

8. Обеспечение безопасности персональных данных

Для защиты персональных данных ООО «Лекарь» применяет:

Антивирусную защиту Kaspersky Small Office Security 21

Криптографические средства защиты информации КриптоПро CSP 5.0

Ограничение доступа сотрудников к персональным данным

Физическую защиту серверов

Хранение данных только на территории Российской Федерации

9. Сроки хранения и прекращение обработки персональных данных

Персональные данные хранятся в течение 25 лет, если иное не предусмотрено законодательством.
В случае поступления письменного заявления субъекта персональных данных о прекращении обработки его данных, уничтожение производится в течение 3 рабочих дней с составлением соответствующего акта.

10. Ответственность и заключительные положения

Лица, виновные в нарушении требований законодательства РФ в области обработки и защиты персональных данных, несут ответственность в соответствии с действующим законодательством.
Данная Политика размещена в открытом доступе на официальном сайте ООО «Лекарь»: https://lekar-dok.ru/politika-konfidentsialnosti.



ПЕРЕЧЕНЬ ЦЕЛЕЙ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ООО «ЛЕКАРЬ», СОСТАВА ПЕРСОНАЛЬНЫХ ДАННЫХ И ИХ КАТЕГОРИЙ, А ТАКЖЕ КАТЕГОРИЙ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Обеспечение соблюдения законодательства РФ в сфере здравоохранения
Категории персональных данных:

фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; пол; адрес

электронной почты; адрес места жительства; адрес регистрации; СНИЛС; ИНН; данные документа,

удостоверяющего личность; данные документа, содержащиеся в свидетельстве о рождении; профессия;

должность; сведения, собираемые посредством метрических программ;

Специальные категории персональных данных:

сведения о состоянии здоровья;

Категории субъектов:

Клиенты, законные представители.

Правовое основание:

обработка персональных данных осуществляется с согласия субъекта персональных данных на

обработку его персональных данных; обработка осуществляется с согласия субъекта и необходима для

исполнения обязательств по договору об оказании медицинских услуг, в соответствии с Федеральным

законом от 21.11.2011 № 323? ФЗ; Федеральный закон от 27.07.2006 № 152 ФЗ.

Перечень действий:

Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), удаление, уничтожение.

Способы обработки:

Смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет.


2. Обеспечение эффективного подбора персонала

Категории персональных данных:
фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное

положение; социальное положение; пол; адрес электронной почты; адрес места жительства; адрес

регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего

личность; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты;

номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой

деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием

наименования и расчетного счета организации); отношение к воинской обязанности, сведения о

воинском учете;

Специальные категории персональных данных:

Сведения о состоянии здоровья, сведения о судимости.

Категории субъектов:

Соискатели.

Правовое основание:

обработка персональных данных осуществляется с согласия субъекта персональных данных на

обработку его персональных данных; Обработка осуществляется с согласия субъекта, а также

необходима для исполнения договора о найме в соответствии с Трудовым кодексом Российской

Федерации и Федеральным законом от 27.07.2006 № 152 ФЗ.

Перечень действий:

Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, удаление, уничтожение.

Способы обработки:

Смешанная; без передачи по внутренней сети юридического лица; с передачей по сети Интернет.


3. Обеспечение функционирования и оптимизации работы сайта

Категории персональных данных:

фамилия, имя, отчество; номер телефона;

Категории субъектов:

Посетители сайта.

Правовое основание:

обработка осуществляется с согласия субъекта (Федеральный закон от 27.07.2006 № 152 ФЗ).

Перечень действий:

Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, блокирование, удаление, уничтожение, распространение.

Способы обработки:

Автоматизированная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет.

Срок обработки:

До достижения целей обработки или удаления пользователем файлов cookie через настройки браузера.


4. Обеспечение соблюдения трудового законодательства РФ

Категории персональных данных:

Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; пол; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты; номер расчетного счета; номер лицевого счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости).

Специальные категории персональных данных:

Сведения о состоянии здоровья.

Категории субъектов:

Работники, уволенные работники.

Правовое основание:

обработка осуществляется с согласия субъекта в соответствии с Трудовым кодексом Российской

Федерации и Федеральным законом от 27.07.2006 № 152? ФЗ.

Перечень действий:

Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, блокирование, удаление, распространение.

Способы обработки:

Смешанная; с передачей по внутренней сети юридического лица; с передачей по сети Интернет.

Срок обработки:

В течение трудовых отношений и в течение 75 лет с момента увольнения работника в соответствии с требованиями законодательства РФ.


Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных»:

Разработано и утверждено Положение об обработке персональных данных. Обязательство о неразглашении конфиденциальной информации, должностные инструкции, согласие на обработку ПД. Назначено лицо, ответственное за организацию обработки персональных данных. Опубликован и размещен на стенде, сайте организации документ, определяющий политику в отношении обработки персональных данных. Разработаны локальные акты по вопросам обработки персональных данных. Осуществляется внутренний контроль соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных. Работники, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику организации в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных. Разработана модель угроз безопасности в информационной системе. Обеспечивается учет машинных носителей персональных данных. Обеспечивается восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним. Разработаны правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивается регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных. Локальные акты, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Утверждена оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей.


Обеспечение физической безопасности и доступа:

  • Определены места хранения персональных данных на материальных носителях.
  • Перечень сотрудников с доступом к ПДн утверждён.
  • Обеспечено раздельное хранение данных по целям обработки.
  • Ведётся учёт всех носителей, включая маркировку и регистрационные журналы.
  • Исключён неконтролируемый доступ в помещения, где ведётся обработка ПДн.
  • Бумажные носители хранятся в сейфах или запирающихся шкафах.
  • Помещения охраняются и оборудованы пожарной сигнализацией.
  • Обеспечена регистрация всех операций с ПДн в системах.

Порядок уничтожения персональных данных в ООО «Лекарь»:

Основания для уничтожения:

  • Достижение целей обработки.
  • Отзыв согласия субъектом.
  • Невозможность устранения нарушений обработки.
  • Вывод из эксплуатации машинных носителей.
  • Получение предписания Роскомнадзора.

Если уничтожение в указанные сроки невозможно — оно производится в течение 6 месяцев с документальным обоснованием.

Хранилища персональных данных:

  • Съёмные машинные носители
  • Базы данных информационных систем
  • Бумажные носители

Документы, определяющие порядок выявления нарушений:

  • Политика обработки персональных данных
  • Порядок проверок обработки и защиты ПДн
  • Положение о взаимодействии с субъектами персональных данных

Уничтожение персональных данных осуществляется:

  • Ежегодно, по результатам инвентаризации
  • По отозванному согласию — в течение 30 дней
  • При нарушениях — в течение 10 рабочих дней
  • По предписанию Роскомнадзора — в течение 10 рабочих дней

Методы уничтожения:

  • Надёжное удаление файлов (например, WIPE, sdelete)
  • Удаление записей из основных и резервных баз данных
  • Удаление снапшотов виртуальных машин
  • Физическое уничтожение машинных носителей

Акты об уничтожении:

  • Составляются по каждому типу носителя
  • Документы на бумажных носителях уничтожаются ежегодно по акту
  • Шредеры 4 уровня используются для бумажных документов