Политика обработки персональных данных


1.         Политика обработки персональных данных.
2.         Положение об обработке и защите персональных данных.
3.         Положение о работе с персональными данными работников. 
ПОЛИТИКА
обработки персональных данных в медицинской организации
Общество с ограниченной ответственностью «Медикал»
 
1.   ОБЩИЕ ПОЛОЖЕНИЯ
1.1.                  Назначение документа.
1.1.1.      Настоящая Политика в отношении обработки персональных данных (далее – Политика) является основополагающим локальным актом медицинской организации ООО «Медикал» (Далее – «Медицинская организация»), регулирующим вопросы обработки и защиты персональных данных в Медицинской организации.
1.1.2.      Настоящая Политика разработана в соответствии с пп 2 ч. 1 статьи 18.1 Закона № 152-ФЗ от 27 июля 2006 г. «О персональных данных» и предназначена для ознакомления неограниченного круга лиц, путем опубликования на веб-сайте Медицинской организации.
1.1.3.      Настоящая Политика разработана в целях реализации требований законодательства в области обработки и защиты персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных в Медицинской организации, в том числе защиты прав на неприкосновенность частной жизни, личной, семейной и врачебной тайн.
1.1.4.      Политика раскрывает основные категории персональных данных, обрабатываемых в Медицинской организации, цели, способы и принципы обработки персональных данных, права субъектов персональных данных, а также перечень мер, применяемых Медицинской организацией в целях обеспечения безопасности персональных данных при их обработке.
1.1.5       Положения настоящей Политики являются основой для разработки локальных актов компании, регламентирующих вопросы обработки и защиты персональных данных в Медицинской организации.
1.2.                  Область действия настоящей Политики.
1.2.1.      Действие настоящей Политики распространяется на все процессы Медицинской организации, в рамках которых осуществляется обработка персональных данных, как с использованием средстве вычислительной техники, в том числе с использованием информационно-телекоммуникационных сетей, так и без использования таких средств.
1.3.                  Основные понятия.
1.3.1       В настоящей Политике используются следующие основные понятия:
персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
субъект персональных данных – физическое лицо: посетитель сайта; Потребитель; Заказчик; поставщик товаров и услуг; работник Медицинской организации, а также иное третье лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных;
посетитель сайта – физическое лицо, получающее информацию и документацию, размещенную на сайте https://medikal.com.ru/ и/или других онлайновых ресурсах Медицинской организации;
потребитель – физическое лицо, имеющее намерение получить либо получающее платные медицинские услуги лично в соответствии с договором;
заказчик – физическое лицо, имеющее намерение заказать (приобрести) либо заказывающее (приобретающее) платные медицинские услуги в соответствии с договором в пользу Потребителя.
поставщик товаров и услуг – физическое лицо, с которым сотрудничала Медицинская организация в рамках деятельности.
работник – физическое лицо, вступившее в трудовые отношения с «Медицинской организацией» на основании трудового законодательства и/или иных основаниях, предусмотренных Трудовым Кодексом РФ;
обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
общедоступные источники персональных данных – справочники. адресные книги, реестры списки, каталоги, другие систематизированные источники открытой информации, содержащие персональные данные, сообщаемые субъектом персональных данных и размещенные и опубликованные с согласия субъекта персональных данных;
информация – сведения (сообщения, данные) независимо от формы их представления;
документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
1.4.                  Утверждение и пересмотр.
1.4.1.      Настоящая Политика вступает в силу с момента ее утверждения Директором Медицинской организации, водится приказом по Медицинской организации и действует бессрочно.
1.4.2.      Медицинская организация проводит пересмотр положений настоящей Политики и их актуализацию по мере необходимости, но не реже одного раза в три года, а также:
a)                     при изменении нормативной базы, затрагивающей принципы и/или процессы обработки персональных данных в Медицинской организации;
b)                    при создании новых или внесении изменений в существующие процессы обработки персональных данных.
2.   ЦЕЛИ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.
2.1.                  Медицинская организация осуществляет сбор и обработку персональных данных с целью: обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации; реализации договорных отношений, с поставщиками товаров и услуг, налоговых отношений, бухгалтерского учета и аудита в соответствии с действующим законодательством РФ; защиты персональных данных работников от несанкционированного доступа и разглашения; обеспечения реализации отношений в сфере охраны здоровья, ведения учетной статистической документации, используемой в медицинских организациях, в соответствии с Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», иными федеральными законами.
2.2.                  Обработка персональных данных в Медицинской организации осуществляется на законной и справедливой основе и ограничивается достижением конкретных, заранее определенных и законных целей. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки, избыточность обрабатываемых данных не допускается.
2.3.                  При обработке персональных данных Медицинской организацией обеспечивается точность персональных данных, их достаточность и, в необходимых случаях, актуальность по отношению к целям обработки персональных данных. Медицинская организация принимает и обеспечивает принятие необходимых мер по удалению или уточнению неполных или неточных персональных данных.
2.4.                  Медицинская организация в рамках выполнения своей основной деятельности осуществляет обработку персональных данных следующих субъектов персональных данных: посетители сайта; потребители; заказчики; поставщики товаров и услуг; работники Медицинской организации, а также иные третьи лица, которые прямо или косвенно определены или определяемы с помощью персональных данных.
3.   ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.
3.1 Правовыми основаниями обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Медицинская организация осуществляет обработку персональных данных, в том числе: Конституция Российской Федерации; Гражданский кодекс Российской Федерации; Налоговый кодекс Российской Федерации; Трудовой Кодекс Российской Федерации; Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»; Федеральный закон от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации"; Федеральный закон от 06.12.2011 N 402-ФЗ "О бухгалтерском учете", Федеральный закон от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации", Устав и иные локальные нормативные акты Медицинской организации; иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти; согласие субъектов персональных данных на обработку их персональных данных, договоры с поставщиками товаров и услуг.
4.   ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1.                  Медицинская организация осуществляет обработку персональных данных субъектов персональных данных в объеме и категориях, определенных нормативно-правовым актами Российской Федерации и локальными нормативными актами Медицинской организации, размещенными на веб-сайте Медицинской организации.
5.   ПОРЯДОК И УСЛОВИЯ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1.                  Медицинская организация при сборе персональных данных обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных с использованием баз данных, находящихся на территории Российской Федерации.
5.2.                  Обработка персональных данных осуществляется с согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
5.3.                  К обработке персональных данных допускаются только те работники Медицинской организации, которые в силу своих должностных обязанностей осуществляют сбор, хранение и обработку персональных данных. Указанные работники имеют право получать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей и соблюдения требований Федерального закона № 152-ФЗ от 27 июля 2006 г. «О персональных данных», Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», Трудового Кодекса и иных нормативных актов Российской Федерации.
5.4.                  Медицинская организация не размещает персональные данные субъекта персональных данных в общедоступных источниках без его предварительного согласия.
5.5.                  Передача персональных данных третьим лицам (в том числе трансграничная передача) допускается с письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в иных случаях, установленных законодательством Российской Федерации.
5.6.                  При передаче персональных данных третьим лицам в соответствии с заключенными договорами Медицинская организация обеспечивает обязательное выполнение требований законодательства Российской Федерации и нормативных актов Медицинской организации в области персональных данных.
5.7.                  Передача персональных данных в уполномоченные органы исполнительной власти и организации (Министерство внутренних дел Российской Федерации, Министерство иностранных дел Российской Федерации, Федеральную налоговую службу, Пенсионный фонд Российской Федерации, Федеральный фонд обязательного медицинского страхования Российской Федерации и другие) осуществляется в соответствии с требованиями законодательства Российской Федерации.
5.8.                  Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъекта персональных данных, осуществляется в соответствии с законодательством Российской Федерации и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства. Трансграничная передача персональных данных на территорию иностранного государства, не являющегося стороной указанной Конвенции, осуществляется в соответствии с законодательными актами Российской Федерации при условии соответствия действующих в этом государстве норм права и применяемых мер безопасности персональных данных положениям Конвенции.
5.9.                  Медицинская организация вправе поручить обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю с согласия субъекта персональных данных на основании заключаемого договора. Юридическое лицо или индивидуальный предприниматель, осуществляющие обработку персональных данных по поручению Медицинской организации, обязаны соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством Российской Федерации в области персональных данных.
5.10.       В случае, когда Медицинская организация на основании договора передает или поручает обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю, существенным условием договора должна быть обязанность обеспечения указанным лицом условий конфиденциальности и обеспечения безопасности персональных данных при их передаче или обработке.
5.11.       Хранение персональных данных Медицинской организацией осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если срок хранения персональных данных не установлен федеральным законом, локальным нормативным актом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
5.12.       Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5.13.       Сроки хранения персональных данных субъекта персональных данных в Медицинской организации определяются в соответствии с законодательством Российской Федерации и нормативными локальными Медицинской организации.
6.   ОБРАБОТКА ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ.
6.1.                  Для обеспечения соблюдения установленных законодательством прав субъектов персональных данных, в Медицинской организации локальными нормативными актами определен порядок работы с обращениями и запросами субъектов персональных данных, а также порядок предоставления субъектам персональных данных информации, установленной законодательством Российской Федерации в области персональных данных.
6.2.                  Запросы субъектов должны быть направлены по почте по адресу: ООО «Медикал», 299003, г. Севастополь, ул. Сафронова, 77.
6.2.1.      Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
6.3.             Работники Медицинской организации не имеют право отвечать на вопросы, связанные с передачей или разглашением персональных данных по телефону или факсу в связи с тем, что в таком случае нет возможности идентифицировать личность обращающегося человека.






ПОЛОЖЕНИЕ
о работе с персональными данными работников
Общества с ограниченной ответственностью «Медикал»
 
1.   ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящим Положением определяется политика Медицинской организации в отношении обработки персональных данных работников Медицинской организации и порядок обращения с персональными данными работников ООО "Медикал" (далее – «Медицинская организация»).
1.1.1. Настоящее Положение устанавливает порядок получения, учета, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным работников Медицинской организации. Упорядочение обращения с персональными данными имеет целью обеспечить соблюдение законных прав и интересов Медицинской организации и ее работников в связи с необходимостью получения (сбора), систематизации (комбинирования), хранения и передачи сведений, составляющих персональные данные.
1.2. Цель настоящего Положения - защита персональных данных работников от несанкционированного доступа и разглашения. Персональные данные всегда являются конфиденциальной, строго охраняемой информацией (составляющей охраняемую законом тайну Медицинской организации). Режим конфиденциальности в отношении персональных данных снимается:
- в случае их обезличивания;
- по истечении 75 лет срока их хранения;
- в других случаях, предусмотренных федеральными законами.
1.3. Основанием для разработки настоящего Положения являются: Конституция РФ, гл. 14 Трудовой Кодекс РФ, Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", другие действующие нормативно-правовые акты Российской Федерации.
1.4. Настоящее Положение и изменения к нему утверждаются Директором предприятия и вводятся приказом по предприятию. Все работники предприятия должны быть ознакомлены под расписку с данным Положением и изменениями к нему.
1.5. Должности, ответственные за сбор персональных данных, - работники бухгалтерии.
1.6. Должности, ответственные за обработку персональных данных, - работники бухгалтерии.
1.7. Настоящее положение вступает в силу с ___ ________ 2017 года.
2.   ОСНОВНЫЕ ПОНЯТИЯ. СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ
2.1. Для целей настоящего Положения используются следующие основные понятия:
2.1.1. Персональными данными является любая информация, относящаяся прямо или косвенно к конкретному работнику (субъекту персональных данных), а также сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность, и используемая Медицинской организацией, в частности, в целях выполнения требований:
- трудового законодательства при приеме на работу и заключении трудового договора, в процессе трудовых отношений, при предоставлении гарантий и компенсаций и др.;
- налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога;
- пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение;
- заполнения первичной статистической документации в соответствии с Постановлением Госкомстата России от 05.01.2004 N 1 "Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты".
2.1.1.1. Персональные данные являются строго конфиденциальными, любые лица, получившие к ним доступ, обязаны хранить эти данные в тайне, за исключением данных, относящихся к следующим категориям:
- обезличенные персональные данные - данные, в отношении которых невозможно определить их принадлежность конкретному физическому лицу;
- общедоступные персональные данные.
2.1.1.2. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении соответствующего срока хранения.
2.1.2. Обработка персональных данных работника – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);
2.1.3. Распространение персональных данных – действия, направленные на раскрытие персональных данных работников неопределенному кругу лиц;
2.1.4. Предоставление персональных данных – действия, направленные на раскрытие персональных данных работников определенному лицу или определенному кругу лиц;
2.1.5. Блокирование персональных данных – временное прекращение обработки персональных данных работников (за исключением случаев, если обработка необходима для уточнения персональных данных);
2.1.6. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных работников и (или) в результате которых уничтожаются материальные носители персональных данных работников (п. 8 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);
2.1.7. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному работнику (п. 9 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);
2.1.8. информация - сведения (сообщения, данные) независимо от формы их представления;
2.1.9. документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
3.   ПОЛУЧЕНИЕ И ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ
3.1. Персональные данные работника Медицинская организация получает непосредственно от работника. Медицинская организация вправе получать персональные данные работника от третьих лиц только при наличии письменного согласия или в иных случаях, прямо предусмотренных в законодательстве.
3.2. Информация, представляемая Медицинской организации работником при поступлении на работу должна иметь документальную форму.
3.2.1. При поступлении на работу работник заполняет анкету, в которой указывает следующие сведения о себе:
- фамилию, имя, отчество;
- дату рождения;
- семейное положение;
- отношение к воинской обязанности;
- место жительства и домашний телефон;
- образование, специальность;
- предыдущее(ие) место(а) работы;
- иные сведения, с которыми работник считает нужным ознакомить Медицинскую организацию.
3.2.2. При заключении трудового договора в соответствии со ст. 65 ТК РФ, работник предъявляет:
- паспорт или иной документ, удостоверяющий личность;
- трудовую книжку, за исключением случаев, когда договор заключается впервые, или работник поступает на работу на условиях совместительства, или трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;
- страховое свидетельство государственного пенсионного страхования;
- документы воинского учета – для лиц, подлежащих воинскому учету;
- документ об образовании, о квалификации или наличии специальных знаний – при поступлении на работу, требующую специальных знаний или специальной подготовки;
- свидетельство о присвоении ИНН (при его наличии у работника);
- справку, выданную органами МВД России о наличии (отсутствии) судимости и/или факта уголовного преследования, либо о прекращении уголовного преследования по реабилитирующим основаниям (при поступлении на работу, к которой в соответствии с Трудовым кодексом РФ или иным федеральным законом не допускаются лица, имеющие или имевшие судимость, подвергающиеся или подвергавшиеся уголовному преследованию).
3.3. Медицинская организация не вправе требовать от работника предоставления информации о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях и о его частной жизни.
3.4. Работник предоставляет Медицинской организации достоверные сведения о себе. Медицинская организация проверяет достоверность сведений, сверяя данные, предоставленные работником, с имеющимися у работника документами.
3.5. Представление работником подложных документов или ложных сведений при поступлении на работу является основанием для расторжения трудового договора.
3.6. При изменении персональных данных работник письменно уведомляет Медицинскую организацию о таких изменениях в разумный срок, не превышающий 3 календарных дня.
3.7. По мере необходимости Медицинская организация истребует у работника дополнительные сведения. Работник представляет требуемые сведения и с случае необходимости предъявляет документы, подтверждающие достоверность этих сведений.
4.   ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ
4.1. Персональные данные работников хранятся на бумажных носителях:
- трудовая книжка;
- журналы учета трудовых книжек;
- журнал учета командировок;
- листки нетрудоспособности;
- материалы по учету рабочего времени;
- личная карточка Т-2;
-входящая и исходящая корреспонденция военкомата, страховой компании, службы судебных приставов;
- приказы по личному составу.
4.2. Анкета работника хранится в его личном деле.
4.3. Личное дело оформляется после издания приказа о приеме на работу.
4.4. Личное дело ведется на протяжении всей трудовой деятельности работника. Изменения, вносимые в личное дело, должны быть подтверждены соответствующими документами.
4.5. Перечень документов, содержащихся в личном деле работника при приеме на работу:
- анкета претендента, резюме, характеристики, рекомендации, предъявляемые работником при принятии решения о заключении трудового договора претендента, представляют собой перечень вопросов о персональных данных работника;
- копия паспорта;
- копия свидетельства о присвоении ИНН;
- копия страхового пенсионного свидетельства;
- копия военного билета (у военнообязанных);
-копия документов об образовании (в том числе и дополнительного образования, если работник представляет их при приеме на работу или это требуется при выполнении определенных трудовых функций);
- копия водительского удостоверения и документов на машину, если это требуется в связи с выполнением трудовой функции работника;
- трудовой договор;
- документы о прохождении обучения, испытательного срока;
-документы о составе семьи работника, необходимые для предоставления ему гарантий, связанных с выполнением семейных обязанностей;
- иные документы персонального учета, относящиеся к персональным данным работника.
4.6. Перечень возможных документов, содержащихся в личном деле работника при дальнейшей работе:
- дополнительные соглашения;
-копии документов о повышении квалификации (письменные аттестации, дипломы, свидетельства и т.д.);
-копии документов о состоянии здоровья детей и других близких родственников, когда с наличием таких документов связано предоставление работнику каких либо гарантий и компенсаций;
-копии документов, подтверждающие право на дополнительные гарантии и компенсации по определенным основаниям, предусмотренным законодательством;
-копии документов о беременности работницы и возрасте детей для предоставления матери (отцу, другим родственникам) установленных законом условий труда, гарантий и компенсаций;
-иные документы персонального учета, относящиеся к изменениям персональных данных работника.
4.6. Персональные данные на бумажных носителях находятся в отделе бухгалтерии в специально отведенном шкафу, обеспечивающем защиту от несанкционированного доступа.
4.7. Электронные носители персональных данных - базы данных по учету работников предприятия.
4.8. Персональные данные на электронных носителях защищены паролем доступа, доступ к специализированной программе осуществляется только через личный доступ - пароль, право на использование персональных данных имеют только работники, ответственные за обработку персональных данных.
5.   ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ РАБОТНИКА
5.1. Право доступа к персональным данным работников имеют:
5.1.1. Внутренний доступ (доступ внутри организации):
- руководство Медицинской организации;
- работники отдела кадров, бухгалтерии;
- руководители структурных подразделений по направлению деятельности (доступ к личным данным только работников своего подразделения);
- при переводе из одного структурного подразделения в другое доступ к персональным данным работника может иметь руководитель нового подразделения;
- сам работник, носитель данных.
5.1.2. Внешний доступ:
5.1.2.1. Массовые потребители персональных данных вне организации - государственные и негосударственные функциональные структуры:
- налоговые инспекции;
- правоохранительные органы;
- органы статистики;
- страховые агентства;
- военкоматы;
- органы социального страхования;
- пенсионные фонды;
- подразделения муниципальных органов управления.
5.1.2.2. Другие организации:
- сведения о работающем или уволенном работнике могут быть предоставлены другой организации с письменного разрешения работника, при наличии письменного запроса на бланке организации.
- сведения о работающем или уволенном работнике могут быть предоставлены другой организации без письменного согласия работника в целях предупреждения угрозы жизни и здоровью работника, а также в иных случаях прямо предусмотренных действующим законодательством.
5.2. Родственники и члены семей:
- персональные данные работника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого работника;
- в случае развода бывшая супруга (супруг) имеет право обратиться в организацию с письменным запросом о размере заработной платы работника без его согласия (ТК РФ).
6.   ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ
6.1. Источником информации обо всех персональных данных работника является непосредственно работник. Если персональные данные возможно получить только у третьей стороны, то работник должен быть заранее в письменной форме уведомлен об этом и от него должно быть получено письменное согласие. Медицинская организация обязана сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о последствиях отказа работника дать письменное согласие на их получение.
6.2. Обработка персональных данных работников Медицинской организацией возможна без их согласия в случаях, когда:
- персональные данные являются общедоступными;
- персональные данные относятся к состоянию здоровья работника, их обработка необходима для защиты его жизни, здоровья и иных жизненно важных интересов других лиц и получение согласия работника невозможно;
- обработка персональных данных необходима для установления или осуществления прав их субъекта или третьих лиц либо в связи с осуществлением правосудия;
- обработка персональных данных осуществляется в соответствии с законодательством РФ об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, об исполнительном производстве, с уголовно-исполнительным законодательном РФ;
- обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;
- по требованию полномочных государственных органов - в случаях, предусмотренных федеральным законом.
6.3. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов или иных правовых актов, содействия работникам в трудоустройстве, обучении и профессиональном продвижении, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
6.4. При принятии решения, затрагивающих интересы работников, Медицинская организация не имеет права основываться на персональных данных, полученным о нем исключительно в результате их автоматизированной обработки или электронного получения.
6.5 Работник, ответственный за обработку информации, при получении персональных данных или получении измененных персональных данных работника должен:
- подшить в личное дело работника;
- внести соответствующие изменения в кадровые документы;
-при необходимости подготовить и подписать соответствующие документы, в которых отразить соответствующие изменения;
-донести до сведения работников, ответственных за обработку персональных данных, об изменениях этих данных.
6.6. Защита персональных данных работника от неправомерного их использования, утраты обеспечивается Медицинской организацией за счет ее средств в порядке, установленном федеральным законом.
6.7. В случае выявления неправомерных действий с персональными данными работника:
- работник или его законный представитель либо уполномоченный органа по защите прав субъектов персональных данных обращается к директору с заявлением;
- директор издает распоряжение о блокировании персональных данных, относящихся к соответствующему работнику, с момента такого обращения или получения такого запроса на период проверки, и назначает ответственного за проведение служебного расследования;
- если в ходе служебного расследования подтвердился факт использования недостоверных персональных данных, то работник, ответственный за получение персональных данных, обязан уточнить персональные данные, внести соответствующие изменения и поправки в документы и снять их блокирование;
- если в ходе служебного расследования выявлен факт неправомерных действий с персональными данными, то работник, ответственный за обработку данных и допустивший подобные действия, в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений данный работник в срок, не превышающий трех рабочих дней с даты такого выявления, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных работник, ответственный за сбор персональных данных, обязан уведомить работника или его законного представителя, а в случае если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган.
7.   ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА
7.1. При передаче персональных данных работника специалисты, ответственные за получение и обработку персональных данных, должны соблюдать следующие требования:
- не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;
- не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
- предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать конфиденциальность.
- осуществлять передачу персональных данных работников в пределах Медицинской организации в соответствии с настоящим Положением;
- разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получить только те персональные данные, которые необходимы для выполнения конкретной функции;
- на запрашивать информацию о состоянии здоровья работника за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
- передавать персональные данные работника его законным, полномочным представителям в порядке, установленном Трудовым кодексом РФ, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.
7.2. Персональные данные работников обрабатываются и хранятся в бухгалтерии.
7.3. Персональные данные работников могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде (посредством локальной компьютерной сети).
7.4. При получении персональных данных не от работника (за исключением случаев, если персональные данные являются общедоступными) Медицинская организация до начала обработки таких персональных данных обязана предоставить работнику следующую информацию:
- наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
- цель обработки персональных данных и ее правовое основание;
- предполагаемые пользователи персональных данных;
- установленные федеральными законами права субъекта персональных данных.
8.   ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ИНФОРМАЦИИ, СВЯЗАННОЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ РАБОТНИКА
8.1.Информация, относящаяся к персональным данным работника, является служебной тайной и охраняется законом.
12.2.       Лица, виновные в нарушении требований законодательства Российской Федерации и локальных нормативных актов Медицинской организации в сфере персональных данных при обработке персональных данных работника обработки и защиты персональных данных привлекаются к дисциплинарной и материальной ответственности, а также привлекаются к гражданско-правовой административной и уголовной ответственности, в порядке установленном законодательством Российской Федерации, настоящим Положением, Правилами внутреннего трудового распорядка Общества с ограниченной ответственностью «Медикал».
9.   ВНЕСЕНИЕ ИЗМЕНЕНИЙ В НАСТОЯЩЕЕ ПОЛОЖЕНИЕ
9.1.         Положение утверждается директором
9.2.         Медицинская организация оставляет за собой право по решению директора вносить изменения и дополнения в настоящее Положение.






ПОЛОЖЕНИЕ
об обработке и защите персональных данных Общества с ограниченной ответственностью «Медикал»
 
1.   ОБЩИЕ ПОЛОЖЕНИЯ И СФЕРА ПРИМЕНЕНИЯ
1.1.                  Общество с ограниченной ответственностью «Медикал» (Далее – Медицинская организация) уважает права, касающиеся персональных данных субъектов персональных данных, которые она получает в ходе осуществления своей деятельности и желает защитить их.
1.2.                  Настоящее Положение разработано на основании Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» (Далее – Закон) и принятыми в соответствии с ним нормативными правовыми актами.
1.3.                  Настоящее Положение определяет политику Медицинской организации в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
1.4.                  Настоящее Положение определяет способы сбора, обработки, использования и защиты персональных данных, к которым относятся (в том числе, но не исключительно) данные о следующих субъектах персональных данных:
a)            посетителях сайта и других онлайновых ресурсов Медицинской организации (далее – Сайт);
b)           физических лицах, имеющих намерение получить либо получающих платные медицинские услуги лично в соответствии с договором (Далее – Потребитель);
c)            физических лицах, имеющих намерение заказать (приобрести) либо заказывающих (приобретающих) платные медицинские услуги  в соответствии с договором в пользу Потребителя (Далее – Заказчик);
d)           физических лиц, с которыми сотрудничала Медицинская организация в рамках деятельности (поставщики товаров и услуг);
e)            любых других третьих лиц, в рамках сотрудничества с которыми Медицинская организация могла получить доступ к персональным данным таких третьих лиц.
1.5.         Действие настоящего Положения не распространяется на отношения, связанные с сбором, обработкой, использованием и защитой персональных данных работников Медицинской организации.
1.5.1.      Порядок получения, учета, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным работников Медицинской организации определяется Положением о работе с персональными данными работников.
1.6.         Настоящее Положение является обязательным для применения всеми сотрудниками Медицинской организации, а также теми лицами, которые на законных основаниях непосредственно осуществляют обработку и/или имеют доступ к персональным данным в связи с исполнением ими своих обязанностей.
2.   ОСНОВНЫЕ ПОНЯТИЯ, ИСПОЛЬЗУЕМЫЕ В ПОЛОЖЕНИИ.
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
субъект персональных данных – физическое лицо: посетитель Сайта; Потребитель; Заказчик; поставщик товаров и услуг; а также иное третье лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных за исключением работников Медицинской организации (Далее – Субъект);
оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
общедоступные источники персональных данных – справочники. адресные книги, реестры списки, каталоги, другие систематизированные источники открытой информации, содержащие персональные данные, сообщаемые Субъектом и размещенные и опубликованные с согласия Субъекта.
3.   ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1.         Медицинская организация осуществляет сбор и обработку персональных данных с целью обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации; реализации договорных отношений, с поставщиками товаров и услуг, налоговых отношений, бухгалтерского учета и аудита в соответствии с действующим законодательством РФ; обеспечения реализации отношений в сфере охраны здоровья, ведения учетной статистической документации, используемой в медицинских организациях, в соответствии с Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», иными федеральными законами.
4.   ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Правовыми основаниями обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Медицинская организация осуществляет обработку персональных данных, в том числе: Конституция Российской Федерации; Гражданский кодекс Российской Федерации; Налоговый кодекс Российской Федерации; Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»; Федеральный закон от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации"; Устав и иные локальные нормативные акты Медицинской организации; иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти; согласие Субъектов на обработку их персональных данных.
5.   ПОРЯДОК И УСЛОВИЯ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1.                  Обработка персональных данных осуществляется с согласия Субъектов , если иное не предусмотрено законодательством Российской Федерации.
5.2.                  Обработка персональных данных может осуществляться с помощью средств вычислительной техники (автоматизированная обработка) либо при непосредственном участии человека без использования средств вычислительной техники (неавтоматизированная обработка).
5.3.                  К обработке персональных данных допускаются только те работники Медицинской организации, которые в силу своих должностных обязанностей осуществляют сбор, хранение и обработку персональных данных. Указанные работники имеют право получать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей и соблюдения требований Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» и иных нормативных актов.
5.4.                  Медицинская организация может собирать персональные данные Субъекта в следующих случаях (но не исключительно):
a)            в ходе деятельности, в том числе при помощи Сайта;
b)           в ходе общения с Медицинской организацией электронной почтой или иными средствами связи;
c)            в ходе осуществления Субъектом записи на прием к специалистам Медицинской организации через Сайт или при помощи иных средств связи;
d)           в ходе личного обращения Субъекта в Медицинскую организацию.
5.5.         Обработка персональных данных осуществляется путем:
a)            получения информации, содержащей персональные данные, в устной или письменной форме, включая электронную, непосредственно от Субъекта;
b)           предоставления Субъектом оригиналов необходимых документов;
c)            получения заверенных в установленном порядке копий документов, содержащих персональные данные или копирования оригиналов документов;
d)           получения персональных данных при направлении запросов в органы государственной власти, государственные внебюджетные фонды, иные государственные органы, органы местного самоуправления, коммерческие и некоммерческие организации, физическим лицам в случаях и порядке, предусмотренных законодательством Российской Федерации;
e)            получения персональных данных из общедоступных источников;
f)             фиксации (регистрации) персональных данных в журналах, книгах, реестрах и других учетных формах;
g)            внесения персональных данных в информационные системы Медицинской организации;
h)           использования иных средств и способов фиксации персональных данных, получаемых в рамках осуществляемой Медицинской организацией деятельности.
5.6.                  Передача персональных данных третьим лицам (в том числе трансграничная передача) допускается с письменного согласия Субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Субъекта, а также в иных случаях, установленных законодательством Российской Федерации.
5.7.                  При передаче персональных данных третьим лицам в соответствии с заключенными договорами Медицинская организация обеспечивает обязательное выполнение требований законодательства Российской Федерации и нормативных актов Медицинской организации в области персональных данных.
5.8.                  Передача персональных данных в уполномоченные органы исполнительной власти и организации (Министерство внутренних дел Российской Федерации, Министерство иностранных дел Российской Федерации, Федеральную налоговую службу, Пенсионный фонд Российской Федерации, Федеральный фонд обязательного медицинского страхования Российской Федерации и другие) осуществляется в соответствии с требованиями законодательства Российской Федерации.
5.9.                  Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав Субъекта, осуществляется в соответствии с Законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства. Трансграничная передача персональных данных на территорию иностранного государства, не являющегося стороной указанной Конвенции, осуществляется в соответствии с законодательными актами Российской Федерации при условии соответствия действующих в этом государстве норм права и применяемых мер безопасности персональных данных положениям Конвенции.
5.10.       Медицинская организация вправе поручить обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю с согласия Субъекта на основании заключаемого договора. Юридическое лицо или индивидуальный предприниматель, осуществляющие обработку персональных данных по поручению Медицинской организации, обязаны соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством Российской Федерации в области персональных данных.
5.11.       В случае, когда Медицинская организация на основании договора передает или поручает обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю, существенным условием договора должна быть обязанность обеспечения указанным лицом условий конфиденциальности и обеспечения безопасности персональных данных при их передаче или обработке.
5.12.       Хранение персональных данных в Медицинской организации осуществляется в форме, позволяющей определить Субъекта, не дольше, чем этого требуют цели их обработки. При достижении целей обработки персональных данных, а также в случае отзыва Субъектом согласия на их обработку персональные данные подлежат уничтожению, если:
·                              иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект, иным соглашением между Медицинской организацией и Субъектом;
·                              Медицинская организация не вправе осуществлять обработку без согласия Субъекта на основаниях, предусмотренных Законом или иными федеральными законами.
5.13.       Сроки хранения персональных данных Субъекта в Медицинской организации определяются в соответствии с законодательством Российской Федерации и нормативными актами локальными Медицинской организации.
6.   ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
В зависимости от целей, предусмотренных в разделе 3 настоящего Положения, в Медицинской организации могут обрабатываться персональные данные следующих категорий субъектов:
6.1.                  Посетитель Сайта:
a)            фамилия, имя, отчество;
b)           контактные данные (номер телефона; электронная почта);
c)            иные сведения, сообщаемые Субъектом.
6.2.         Потребитель, Заказчик:
a)   фамилия, имя, отчество;
b)  дата рождения;
c)   место фактического проживания, регистрации;
d)  контактные данные (номер телефона, электронная почта);
e)   другие персональные данные, необходимость обработки которых определена деятельностью по охране здоровья:
·                                  сведения о состоянии здоровья и половой жизни;
·                                  сведения о медицинских обследованиях;
·                                  сведения о физиологических параметрах.
f)    иные сведения, сообщаемые Субъектом.
6.3.         Поставщик товаров и услуг, а также иное третье лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных за исключением работников Медицинской организации (Далее – Субъект);
a)   фамилия, имя, отчество;
b)  регистрационные данные субъекта предпринимательской деятельности;
c)   другие персональные данные, необходимость обработки которых определена хозяйственной деятельностью Медицинской организации:
·                 сведения о месте регистрации, фактического проживания, осуществления предпринимательской деятельности;
·                 контактные данные (номер телефона, электронная почта, адрес абонентского ящика;
·                 сведения о расчетных счетах в банках;
·                 сведения о датах осуществления заказов, оплаты, поставок;
·                 сведения о суммах, перечисленных за товары (работы услуги);
·                 сведения о номенклатуре, стоимости предоставляемых товаров (работ, услуг).
7.   ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1.         Субъект персональных данных имеет право:
a)            на безвозмездное ознакомление со своими персональными данными, за исключением случаев, предусмотренных Законом;
b)           на получение информации, касающейся обработки своих персональных данных, в том числе содержащей:
·                                            подтверждение факта обработки персональных данных Медицинской организацией;
·                                            правовые основания и цели обработки персональных данных;
·                                            цели и применяемые Медицинской организацией способы обработки персональных данных;
·                                            наименование и место нахождения Медицинской организации, сведения о лицах (за исключением работников Медицинской организации), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Медицинской организацией или на основании федерального закона;
·                                            обрабатываемые персональные данные, относящиеся к соответствующему Субъекту, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
·                                            сроки обработки персональных данных, в том числе сроки их хранения;
·                                            порядок осуществления Субъектом прав, предусмотренных Законом;
·                                            информацию об отсутствии трансграничной передачи данных;
·                                            наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Медицинской организации, если обработка поручена или будет поручена такому лицу;
·                                            иные сведения, предусмотренные законодательством Российской Федерации;
c)            требовать от Субъекта уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
d)           обжаловать действия или бездействие Медицинской организации в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;
e)            на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
7.2.                  Субъекты обязаны:
a)            сообщать достоверную информацию о себе и предоставлять документы, содержащие персональные данные, состав которых установлен законодательством Российской Федерации и локальными нормативными документами Медицинской организации в объеме, необходимом для цели обработки;
b)           сообщать в Медицинскую организацию об уточнении (обновлении, изменении) своих персональных данных.
7.3.         Субъект может пользоваться другими правами в соответствии с законодательством о защите персональных данных.
8.   ОБЯЗАННОСТИ МЕДИЦИНСКОЙ ОРГАНИЗАЦИИ
8.1.                  Медицинская организация в лице работников, собирающих и обрабатывающих персональные данные, в зависимости от целей обработки, Работники Медицинской организации, обрабатывающие персональные данные, в зависимости от целей обработки, предусмотренных в разделе 3 настоящего Положения, вправе:
a)            получать документы, содержащие персональные данные;
b)           требовать от субъекта своевременного уточнения предоставленных персональных данных;
8.2.         Работники Медицинской организации, обрабатывающие персональные данные Субъектов, обязаны:
a)            обрабатывать персональные данные, полученные в установленном действующим законодательством порядке;
b)           рассматривать обращения Субъекта (законного представителя Субъекта, уполномоченного органа по защите прав субъектов персональных данных) по вопросу обработки его персональных данных и давать мотивированные ответы в срок, не превышающий 7 (семи) рабочих дней с даты поступления обращения (запроса);
c)            предоставлять Субъекту (законному представителю Субъекта) возможность безвозмездного доступа к своим персональным данным, обрабатываемым в ТПП РФ;
d)           принимать меры по уточнению, уничтожению персональных данных субъекта персональных данных в связи с его (законного представителя) обращением с законными и обоснованными требованиями;
e)            организовывать оперативное и архивное хранение документов Медицинской организации, содержащих персональные данные субъектов персональных данных, в соответствии с требованиями законодательства Российской Федерации.
9.   ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1.         Сведения, указанные в части 7 статьи 14 Закона, предоставляются Субъекту или его представителю Медицинской организацией при обращении или получении запроса Субъекта персональных данных или его представителя.
9.2.         Сведения предоставляются в доступной форме, в них не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
9.3.         Если в обращении (запросе) Субъекта не отражены в соответствии с требованиями Закона все необходимые сведения или Субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
9.4.         Запрос должен содержать:
a)            данные основного документа, удостоверяющего личность Субъекта или его представителя;
b)           сведения, подтверждающие участие Субъекта в отношениях с Медицинской организацией (номер договора, дата заключения договора), либо сведения, иным образом подтверждающие факт обработки персональных данных Медицинской организацией, подпись (в том числе электронная) Субъекта или его представителя.
9.4.1.      Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
9.4.2.      Формы запросов (обращений) Субъектов и их представителей приведены в приложениях 1 - 4 к настоящему Положению.
9.5.                  В случае, если сведения, указанные в части 7 ст. 14 Закона, а также обрабатываемые персональные данные были предоставлены для ознакомления Субъекту по его запросу, Субъект вправе обратиться повторно в Медицинскую организацию или направить повторный запрос в целях получения сведений, указанных в части 7 ст. 14 Закона и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект.
9.6.                  Субъект вправе обратиться повторно в Медицинскую организацию или направить повторный запрос в целях получения сведений, указанных в части 7 ст. 14 Закона, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в части 4 ст. 14 Закона, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в части 3 ст. 14 Закона, должен содержать обоснование направления повторного запроса.
9.7.                  Медицинская организация вправе отказать Субъекту в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 ст. 14 Закона. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Медицинской организации.
9.8.                  Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона "О персональных данных" в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
9.9.                  В срок, не превышающий семи рабочих дней со дня предоставления Субъектом или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Медицинская организация вносит в них необходимые изменения.
9.10.       В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Медицинская организация уничтожает такие персональные данные.
9.11.       Медицинская организация уведомляет Субъекта или его представителя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
9.12.       Медицинская организация обязана сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.
9.13.       Согласие на обработку персональных данных может быть отозвано Субъектом персональных данных.
9.14.       В случае отзыва Субъектом согласия на обработку его персональных данных Медицинская организация прекращает их обработку или обеспечивает прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Медицинской организации) и в случае если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Медицинской организации) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект, иным соглашением между Медицинской организацией и Субъектом, либо если Медицинская организация не вправе осуществлять обработку персональных данных без согласия Субъекта на основаниях, предусмотренных Законом или другими федеральными законами. Медицинская организация сохраняет только те копии информации, которые необходимы для защиты законных интересов Медицинской организации либо третьих лиц, рассмотрения споров или исполнения любого соглашения, которое Субъект заключил с Медицинской организацией.
9.15.       В случае отзыва Субъектом согласия на обработку персональных данных Медицинская организация вправе продолжить обработку персональных данных без согласия Субъекта при наличии оснований, указанных в части 2 статьи 9 Закона.
9.16.       В случае отсутствия возможности уничтожения персональных данных в течение вышеуказанного срока Медицинская организация осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
10. ЛИЦА, ОТВЕТСТВЕННЫЕ ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В МЕДИЦИНСКОЙ ОРГАНИЗАЦИИ
10.1.       Медицинская организация назначает лицо, ответственное за организацию обработки персональных данных.
10.2. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа Медицинской организации, и подотчетно ему.
10.3. Медицинская организация обязана предоставлять лицу, ответственному за организацию обработки персональных данных, сведения, указанные в части 3 статьи 22 Закона.
10.4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:
a)            осуществлять внутренний контроль за соблюдением Медицинской организацией и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
b)           доводить до сведения работников Медицинской организации положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
c)            организовывать прием и обработку обращений и запросов Субъектов или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
11. ТРЕБОВАНИЯ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1.       Обеспечение безопасности персональных данных при их обработке в Медицинской организации осуществляется в соответствии с законодательством Российской Федерации и требованиями уполномоченного органа государственной власти по защите прав субъектов персональных данных, федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации.
11.2.       Медицинская организация предпринимает необходимые организационные и технические меры для защиты персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.
11.3.       Меры защиты, реализуемые Медицинской организацией при обработке персональных данных, включают:
a)            принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных;
b)           - назначение должностных лиц, ответственных за обеспечение безопасности персональных данных в подразделениях и информационных системах Медицинской организации;
c)            организацию обучения и проведение методической работы с работниками, осуществляющими обработку персональных данных в Медицинской организации;
d)           создание необходимых условий для работы с материальными носителями и информационными системами, в которых обрабатываются персональные данные;
e)            организацию учета материальных носителей персональных данных и информационных систем, в которых обрабатываются персональные данные;
f)             хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
g)            обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации;
h)           обеспечение раздельного хранения материальных носителей персональных данных, на которых содержатся персональные данные разных категорий или содержатся персональные данные, обработка которых осуществляется в разных целях;
i)              установление запрета на передачу персональных данных по открытым каналам связи, вычислительным сетям и сети Интернет без применения установленных в Медицинской организации мер по обеспечению безопасности персональных данных;
j)              обеспечение защиты документов, содержащих персональные данные, на бумажных и иных материальных носителях при их передаче третьим лицам с использованием услуг почтовой связи;
k)           осуществление внутреннего контроля за соблюдением в Медицинской организации законодательства Российской Федерации и локальных нормативных актов Медицинской организации при обработке персональных данных.
 
12. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ ЗАКОНА И НАСТОЯЩЕГО ПОЛОЖЕНИЯ
12.1.       Работники Медицинской организации, имеющие доступ к персональным данным и осуществляют их обработку, обязаны не допускать разглашения любым способом персональных данных, которые им были доверены или которые стали им известны в связи с исполнением профессиональных или служебных или трудовых обязанностей.
12.2.       Лица, виновные в нарушении требований законодательства Российской Федерации и локальных нормативных актов Медицинской организации в сфере обработки и защиты персональных данных привлекаются к дисциплинарной и материальной ответственности, а также привлекаются к гражданско-правовой административной и уголовной ответственности, в порядке установленном законодательством Российской Федерации, настоящим Положением, Положением о работе с персональными данными работников Общества с ограниченной ответственностью «Медикал», Правилами внутреннего трудового распорядка Общества с ограниченной ответственностью «Медикал».
12.3.       Моральный вред, причиненный Субъекту вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Законом, а также требований к защите персональных данных, установленных в соответствии с Законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных Субъектом убытков.
13. ВНЕСЕНИЕ ИЗМЕНЕНИЙ В НАСТОЯЩЕЕ ПОЛОЖЕНИЕ
13.1.       Положение утверждается директором
13.2.       Медицинская организация оставляет за собой право по решению директора вносить изменения и дополнения в настоящее Положение.
13.2. Заверенная копия настоящего Положения доступно для публичного ознакомления на Сайте, а также размещается размещается в доступном месте в помещении Медицинской организации.