ПОЛИТИКА конфиденциальности ООО «Нефертити и ККЦВК» в отношении обработки и защиты персональных данных пациентов

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика устанавливает порядок обработки и защиты оператором персональных данных пациентов.

Под оператором понимается Общество с ограниченной ответственностью «Нефертити и ККЦВК» (далее – Центр), организующее и осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных.

Настоящая Политика оператора в отношении обработки персональных данных (далее Политика) применяется ко всей информации, которую оператор может получить о посетителях веб-сайта https://nefer.ru

Под пациентом понимается лицо, в отношении которого оператор оказывает медицинские услуги.

Под обработкой персональных данных понимаются действия (операции) с персональными данными, включая сбор, запись, накопление, хранение, уточнение (обновление, изменение), использование, систематизация.

1.2. Центр осуществляет свою деятельность в соответствии с действующим законодательством Российской Федерации по направлениям, обозначенным в полученной лицензии на осуществление медицинской деятельности, Устава.

1.3. Оказание медицинских услуг предполагает обработку персональных данных пациентов. В соответствии с действующим законодательством Центр внедрил комплекс организационных и технических мероприятий для обеспечения безопасности обрабатываемых персональных данных пациентов.

1.4. Приоритетной задачей в работе Центра является соблюдение действующего законодательства Российской Федерации в области информационной безопасности, а так же требований Федерального закона от 27.07.2006 года №152-ФЗ «О персональных данных», основной целью которого является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.5. Целью обработки персональных данных пациентов Центра (включая сбор, запись, систематизацию, накопление, хранение, обновление, изменение, использование) является оказание медицинских услуг в рамках заключенных договоров; связь с пациентами (прямой маркетинг).

1.6. При обработке персональных данных ООО «Нефертити и ККЦВК» придерживается следующих принципов:

• соблюдение законности получения, обработки, хранения, а также других действий с персональными данными;
• обработка персональных данных исключительно с целью исполнения своих обязательств в рамках оказания медицинских услуг;
• сбор только тех персональных данных, которые минимально необходимы для достижения заявленных целей обработки;
• выполнение мер по обеспечению безопасности персональных данных при их обработке и хранении;
• соблюдение прав субъекта персональных данных на доступ к его персональным данным;
• соответствие сроков хранения персональных данных заявленным целям обработки.

1.7. Основным требованием обработки персональных данных в Центре является конфиденциальность персональных данных. Персонал Центра и иные лица, получившие право доступа к персональным данным пациентов, подписывают соглашение о неразглашении персональных данных и обязаны обеспечивать конфиденциальность таких данных, за исключением случаев обезличенных персональных данных и в отношении общедоступных персональных данных.

1.8. Центр имеет право вносить изменения в настоящую Политику.

1.9. Настоящая Политика и изменения к ней утверждаются приказом генерального директора ООО «Нефертити и ККЦВК» и вводится со дня утверждения. Работники оператора, имеющие право доступа к персональным данным пациентов (клиентов), должны быть ознакомлены с Политикой под личную подпись.

2. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Под персональными данными пациента понимается информация, необходимая Клинике при проведении диагностических, лечебно-профилактических, оздоровительных мероприятий и касающаяся конкретного пациента, а также сведения о фактах, событиях и обстоятельствах жизни пациента, позволяющие идентифицировать его личность.

2.2. Перечень персональных данных пациентов, обрабатываемых в ООО «Нефертити и ККЦВК»:

• фамилия, имя, отчество;
• пол;
• число, месяц и год рождения;
• адрес места регистрации;
• адрес места проживания;
• номера контактных телефонов (мобильный, домашний);
• адрес электронной почты;
• данные о состоянии здоровья, заболеваниях, случаях обращения за медицинской помощью;
• ИНН;
• СНИЛС;
• биометрические (изображение с камер видеонаблюдения; фотографии, полученные до, после и в процессе оказания медицинских услуг);
• паспортные данные (номер паспорта, где, кем и когда выдан);
• свидетельство о рождении;
• данные голоса человека.

Также на сайте происходит сбор и обработка обезличенных данных о посетителях (в т.ч. файлов «cookie») с помощью сервисов интернет-статистики (Яндекс Метрика, Гугл Аналитика и других).

2.3. Вышеперечисленные данные далее по тексту Политики объединены общим понятием Персональные данные, целью сбора которых является:

• информирование пациента посредством электронных писем либо сообщений в мессенжерах;
• заключение, исполнение и прекращение гражданско-правовых договоров;
• предоставление доступа пациенту к сервисам, информации и/или материалам, содержащимся на веб-сайте https://nefer.ru

2.4. ООО «Нефертити и ККЦВК» осуществляет обработку данных о состоянии здоровья пациентов в целях оказания медицинских услуг, установления медицинского диагноза, при этом обработка персональных данных осуществляется лицами, профессионально занимающимися медицинской деятельностью и обязанными в соответствии с законодательством Российской Федерации сохранять врачебную тайну.

3. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Сбор персональных данных осуществляется исключительно с письменного согласия пациента (согласие на обработку персональных данных). Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Образец формы согласия на обработку персональных данных находится у администраторов (ресепшн Центра), заполняется при первичном посещении Центра.

Персональные данные пациента Центр получает только лично от пациента. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.

3.2. В случае недееспособности субъекта персональных данных, все персональные данные субъекта оператор получает от его законных представителей (родителей, попечителей, опекунов и т.д.).

Законный представитель самостоятельно принимает решение о предоставлении персональных данных своего подопечного и дает письменное согласие на их обработку оператором.

Полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

3.3. Согласие субъекта персональных данных не требуется в следующих случаях:

• предусмотренных частью 4 статьи 13 Федерального закона № 323-ФЗ от 21 ноября 2011 года «Об основах охраны здоровья граждан в Российской Федерации»;
• при оказании медицинской помощи несовершеннолетнему гражданину в возрасте до 15 лет для информирования его родителей или законных представителей;
• иных случаях, предусмотренных действующим законодательством РФ.

3.4. Согласие на обработку персональных данных может быть отозвано субъектом и(или) его законным представителем путем подачи письменного заявления.

3.5. В случаях, когда оператор может получить необходимые персональные данные субъекта только у третьей стороны, субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. В уведомлении оператор обязан сообщить о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа субъекта дать письменное согласие на их получение.

3.6. Обработка персональных данных в ООО «Нефертити и ККЦВК» ведется с использованием средств автоматизации и без использования средств автоматизации.

3.7. К обработке персональных данных в Центре допускается персонал, прошедший установленную процедуру допуска:

• ознакомление с локальными нормативными актами (настоящая Политика, приказы, инструкции и т.д.), регламентирующими порядок и процедуру работы с персональными данными;
• оформление подписки о соблюдении конфиденциальности в отношении персональных данных при работе с ними;
• получение и использование в работе индивидуальных атрибутов доступа к информационным системам, содержащим в себе персональные данные.

Каждому работнику даны минимально необходимые для исполнения трудовых обязанностей права на доступ в информационные системы.

3.8. Право внутреннего доступа (доступа внутри Центра) к персональным данным пациентов имеют:

• генеральный директор ООО «Нефертити и ККЦВК»,
• определенные перечнем работники Центра, доступ которых к персональным данным пациентов необходим в целях выполнения ими своих должностных обязанностей;
• сам субъект, носитель данных;
• представители субъекта персональных данных.

3.9. К числу массовых потребителей персональных данных, вне Центра, относятся государственные и негосударственные функциональные структуры: налоговые инспекции, правоохранительные органы, органы статистики, страховые агентства, военкоматы, органы социального страхования, подразделения федеральных, республиканских и муниципальных органов управления.

Права внешнего доступа при предоставлении соответствующего запроса предоставляются судам общей юрисдикции, мировому суду, арбитражному суду, органам МВД, прокуратуры, ФСБ РФ.

Контрольные и надзорные органы имеют доступ к информации в сфере своей компетенции.

4. УСЛОВИЯ ХРАНЕНИЯ И УНИЧТОЖЕНИЯ ДОКУМЕНТОВ, СОДЕРЖАЩИХ ПЕРСОНАЛЬНЫЕ ДАННЫЕ ПАЦИЕНТОВ

4.1. Центр осуществляет хранение персональных данных пациентов на бумажных и электронных носителях с ограниченным доступом.

4.2. Персональные данные, зафиксированные на бумажных носителях, хранятся в специально отведенных помещениях с ограниченным правом доступа.

Доступ посетителей в кабинеты оператора возможен только во время нахождения там работников Клиники Центра. При отсутствии работников данные кабинеты закрываются.

4.3. В электронном виде персональные данные пациентов хранятся в информационной системе персональных данных, а также в архивных копиях баз данных этих систем. Работники Центра обеспечивают их защиту от несанкционированного доступа и копирования.

4.4. При хранении персональных данных как на бумажных, так и на электронных носителях соблюдаются организационные и технические меры, обеспечивающие их сохранность и исключающие несанкционированный доступ к ним:

• назначение работника ответственного за тот или иной способ хранения персональных данных;
• ограничение физического доступа к местам хранения и носителям;
• использование персональных паролей при работе с ПК;
• учет всех информационных систем и электронных носителей, а также архивных копий.

4.5. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого является субъект персональных данных. На протяжении всего срока хранения оператор обеспечивает сохранность, неизменность и достоверность сведений, содержащихся в указанной документации.

4.6. Уничтожение персональных данных осуществляется:

• по достижении цели обработки персональных данных;
• в случае утраты необходимости в достижении целей обработки персональных данных;
• в случае отзывам пациентом (законным представителем) согласия на обработку персональных данных;
• по требованию субъекта персональных данных или уполномоченного органа по защите прав субъектов в случае выявления совершения Центром неправомерных действий с персональными данными.

4.7. Уничтожение бумажных носителей, содержащих персональные данные, производится путем сожжения (допускается применение шредера).

Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.

Факт уничтожения персональных данных подтверждается документально актом об уничтожении носителей, установленной формы.

4.7. Передача персональных данных третьим лицам возможна в исключительных случаях и при соблюдении следующих требований:

4.7.1. сообщать персональные данные пациента третьей стороне только с согласия пациента (законного представителя), за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью пациента, а также в случаях, предусмотренных федеральным законодательством Российской Федерации;

4.7.2. передавать персональные данные только с целью исполнения обязанностей перед пациентом в рамках договора;

4.7.3. предупреждать лиц, получающих персональные данные пациента, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные пациента, обязаны соблюдать требования конфиденциальности;

4.7.4. передавать персональные данные пациента (в том числе результаты исследований) родственникам или членам его семьи только с письменного разрешения самого пациента, в качестве которого может быть:

• нотариально заверенная доверенность;
• собственноручно написанная клиентом доверенность в присутствии уполномоченного работника Клиники и им заверенная;

за исключением случаев, когда передача персональных данных без его согласия допускается действующим законодательством РФ;

4.7.5. не сообщать персональные данные пациента в коммерческих целях без его письменного согласия.

4.8. Обеспечение безопасности персональных данных в ООО «Нефертити и ККЦВК» достигается следующими мерами:

• разработкой политики в отношении обработки персональных данных;
• назначением ответственного лица за организацию обработки персональных данных;
• определением списка лиц, допущенных к работе с персональными данными и разграничение прав доступа к обрабатываемым персональным данным;
• разработкой и утверждением локальных нормативных актов, регламентирующих порядок обработки персональных данных;
• реализацией организационных и технических мер, снижающих вероятность реализаций угроз безопасности персональных данных;
• осуществлением внутреннего контроля.

5. ПРАВА ПАЦИЕНТОВ В ЦЕЛЯХ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ, ХРАНЯЩИХСЯ У ОПЕРАТОРА

5.1. В целях обеспечения защиты персональных данных, хранящихся у оператора, пациенты имеют право на:

5.1.1. Получение полной информации об их персональных данных и обработке этих данных, включающей:

• подтверждение факта обработки персональных данных;
• правовые основания, цели и применяемые способы обработки персональных данных;
• наименование и место нахождения Центра, как оператора, сведения о лицах (за исключением работников организации), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора или на основании федерального закона;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок не предусмотрен Федеральным законом;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных своих прав;
• информацию об осуществленной или о предполагаемой передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению организации, если обработка поручена или будет поручена такому лицу.

Соответствующая информация предоставляется потребителю или его представителю при обращении либо при получении запроса пациента (клиента) или его законного представителя. Запрос должен быть составлен в соответствии с требованиями законодательства.

5.1.2. Доступ к своим персональным данным, определенный Конституцией РФ, другими нормативными актами.

5.1.3. Требование исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением законодательства.

5.1.4. Отказ от обработки персональных данных, оформленный и предоставленный оператору надлежащим образом.

5.1.5. Обжалование в суде любых неправомерных действий оператора при обработке и защите его персональных данных.

6. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ ПАЦИЕНТОВ

6.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных пациента, привлекаются к дисциплинарной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

7. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

7.1 Пациент может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обработки его персональных данных, обратившись к оператору с помощью электронной почты: nefer@scn.ru.

7.2. В данном документе будут отражены любые изменения Политики.

Политика действует бессрочно до замены ее новой версии.

7.3 Актуальная версия Политики в свободном доступе расположена в сети Интернет по адресу https://nefer.ru/policy/.