Положение об обработке персональных данных

Уважаемые Пациенты!
Информация представлена в ознакомительных целях.

НАШИ ВРАЧИ      НАШИ УСЛУГИ
ЗАЯВКА НА ПРИЕМ

+7 (978) 854-30-65

+7 (8692) 55-55-02

ВКонтакте

к списку статей


Положение
об обработке персональных данных


УТВЕРЖДАЮ

Директор ООО «Медикал»

Потапова С.И.

«12» мая 2026 г.

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящее Положение об обработке персональных данных (далее — Положение) разработано в соответствии с Федеральным законом №152-ФЗ от 27.07.2006 г. «О персональных данных», Федеральным законом №323-ФЗ от 21.11.2011 г. «Об основах охраны здоровья граждан в Российской Федерации», иными нормативными правовыми актами Российской Федерации и определяет порядок обработки и защиты персональных данных в Обществе с ограниченной ответственностью «Медикал» (далее — Оператор, Медицинская организация).

1.2. Настоящее Положение является внутренним локальным нормативным актом Медицинской организации и устанавливает:

- цели и правовые основания обработки персональных данных;

- категории субъектов персональных данных;

- порядок получения, хранения, использования, передачи, блокирования, удаления и уничтожения персональных данных;

- порядок доступа работников к персональным данным;

- меры по обеспечению безопасности персональных данных;

- порядок реагирования на запросы субъектов персональных данных;

- обязанности работников Медицинской организации при обработке персональных данных.

1.3. Настоящее Положение распространяется на все процессы обработки персональных данных, осуществляемые Медицинской организацией как с использованием средств автоматизации, так и без использования таких средств.

1.4. Действие настоящего Положения распространяется на персональные данные:

- пациентов;

- законных представителей пациентов;

- посетителей сайта Медицинской организации;

- лиц, обращающихся в Медицинскую организацию;

- контрагентов и представителей контрагентов;

- иных субъектов персональных данных, персональные данные которых обрабатываются Медицинской организацией в рамках осуществления деятельности.

1.5. Настоящее Положение обязательно для исполнения всеми работниками Медицинской организации, имеющими доступ к персональным данным либо осуществляющими их обработку в связи с исполнением трудовых обязанностей.

1.6. Обработка персональных данных в Медицинской организации осуществляется на принципах:

- законности и справедливости;

- ограничения обработки достижением конкретных, заранее определённых и законных целей;

- недопущения обработки персональных данных, несовместимой с целями их сбора;

- недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

- соответствия содержания и объёма обрабатываемых персональных данных заявленным целям обработки;

- точности, достаточности и актуальности персональных данных;

- хранения персональных данных не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения не установлен законодательством Российской Федерации.

1.7. Контроль исполнения требований настоящего Положения осуществляется лицом, назначенным ответственным за организацию обработки персональных данных в Медицинской организации.

2. ОСНОВНЫЕ ПОНЯТИЯ

2.1. Для целей настоящего Положения используются следующие основные понятия:

2.1.1. Персональные данные — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту персональных данных).

2.1.2. Субъект персональных данных — физическое лицо, к которому относятся персональные данные.

2.1.3. Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных и действия, совершаемые с персональными данными.

2.1.4. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными с использованием средств автоматизации или без использования таких средств.

2.1.5. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

2.1.6. Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределённому кругу лиц.

2.1.7. Предоставление персональных данных — действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц.

2.1.8. Блокирование персональных данных — временное прекращение обработки персональных данных, за исключением случаев, когда обработка необходима для уточнения персональных данных.

2.1.9. Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) уничтожаются материальные носители персональных данных.

2.1.10. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

2.1.11. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2.1.12. Специальные категории персональных данных — персональные данные, касающиеся состояния здоровья, интимной жизни и иных сведений, предусмотренных законодательством Российской Федерации.

2.1.13. Конфиденциальность персональных данных — обязательное для соблюдения требование не допускать распространения персональных данных без согласия субъекта персональных данных или наличия иного законного основания.

3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Медицинская организация осуществляет обработку персональных данных исключительно для достижения конкретных, заранее определённых и законных целей.

3.2. Обработка персональных данных осуществляется Медицинской организацией в целях:

- оказания медицинских услуг;

- организации записи на приём;

- ведения медицинской документации;

- исполнения требований законодательства Российской Федерации в сфере охраны здоровья;

- идентификации пациентов;

- взаимодействия с пациентами и их законными представителями;

- ведения бухгалтерского и налогового учёта;

- исполнения договорных обязательств;

- обработки обращений граждан;

- обеспечения функционирования сайта Медицинской организации;

- обеспечения внутренней деятельности Медицинской организации;

- защиты прав и законных интересов Медицинской организации и субъектов персональных данных;

- исполнения обязанностей, предусмотренных законодательством Российской Федерации.

3.3. Обработка специальных категорий персональных данных, касающихся состояния здоровья, осуществляется Медицинской организацией исключительно в объёме, необходимом для оказания медицинской помощи, проведения диагностики, лечения, медицинской профилактики и иных целей, предусмотренных законодательством Российской Федерации в сфере охраны здоровья.

3.4. Не допускается обработка персональных данных, несовместимая с целями их сбора.

4. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Правовыми основаниями обработки персональных данных в Медицинской организации являются:

- Конституция Российской Федерации;

- Федеральный закон №152-ФЗ от 27.07.2006 г. «О персональных данных»;

- Федеральный закон №323-ФЗ от 21.11.2011 г. «Об основах охраны здоровья граждан в Российской Федерации»;

- Федеральный закон №149-ФЗ от 27.07.2006 г. «Об информации, информационных технологиях и о защите информации»;

- иные нормативные правовые акты Российской Федерации;

- согласия субъектов персональных данных;

- договоры, заключаемые с субъектами персональных данных;

- локальные нормативные акты Медицинской организации.

4.2. Обработка персональных данных осуществляется:

- с согласия субъекта персональных данных;

- без согласия субъекта персональных данных в случаях, предусмотренных законодательством Российской Федерации.

4.3. Обработка специальных категорий персональных данных осуществляется Медицинской организацией в случаях и порядке, предусмотренных законодательством Российской Федерации в сфере охраны здоровья и персональных данных.

5. КАТЕГОРИИ СУБЪЕКТОВ И СОСТАВ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Медицинская организация осуществляет обработку персональных данных следующих категорий субъектов персональных данных:

- пациентов;

- законных представителей пациентов;

- посетителей сайта Медицинской организации;

- лиц, направляющих обращения в Медицинскую организацию;

- контрагентов — физических лиц;

- представителей юридических лиц и индивидуальных предпринимателей;

- иных лиц, персональные данные которых обрабатываются в рамках деятельности Медицинской организации.

5.2. В зависимости от целей обработки Медицинская организация может обрабатывать следующие персональные данные:

- фамилия, имя, отчество;

- дата рождения;

- пол;

- адрес места жительства и регистрации;

- контактные данные (номер телефона, адрес электронной почты);

- сведения документа, удостоверяющего личность;

- сведения полиса обязательного медицинского страхования;

- сведения о состоянии здоровья;

- сведения о медицинских обследованиях, диагнозах и назначениях;

- сведения, содержащиеся в медицинской документации;

- иные персональные данные, необходимые для достижения целей обработки.

5.3. Медицинская организация не осуществляет обработку персональных данных, не соответствующих заявленным целям обработки.

5.4. Обработка биометрических персональных данных осуществляется только при наличии законных оснований и в случаях, предусмотренных законодательством Российской Федерации.

5.5. Обработка специальных категорий персональных данных осуществляется с соблюдением требований законодательства Российской Федерации, включая требования о врачебной тайне и конфиденциальности медицинской информации.

6. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Обработка персональных данных в Медицинской организации осуществляется с соблюдением принципов и правил, предусмотренных законодательством Российской Федерации в области персональных данных.

6.2. Обработка персональных данных осуществляется:

- с использованием средств автоматизации;

- без использования средств автоматизации;

- смешанным способом.

6.3. Обработка персональных данных включает:

- сбор;

- запись;

- систематизацию;

- накопление;

- хранение;

- уточнение (обновление, изменение);

- извлечение;

- использование;

- предоставление (доступ);

- обезличивание;

- блокирование;

- удаление;

- уничтожение персональных данных.

6.4. Обработка персональных данных осуществляется:

- с согласия субъекта персональных данных;

- без согласия субъекта персональных данных в случаях, предусмотренных законодательством Российской Федерации.

6.5. Медицинская организация обеспечивает получение согласия субъекта персональных данных в случаях, когда такое согласие является обязательным в соответствии с законодательством Российской Федерации.

6.6. Обработка специальных категорий персональных данных, касающихся состояния здоровья, осуществляется Медицинской организацией в объёме, необходимом для оказания медицинской помощи и исполнения обязанностей, предусмотренных законодательством Российской Федерации.

6.7. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

6.8. Медицинская организация не осуществляет принятие решений, порождающих юридические последствия в отношении субъекта персональных данных, исключительно на основании автоматизированной обработки персональных данных.

6.9. Предоставление персональных данных и доступ к персональным данным допускаются:

- с согласия субъекта персональных данных;

- в случаях, предусмотренных законодательством Российской Федерации.

6.10. При предоставлении персональных данных и доступе к персональным данным Медицинская организация обеспечивает соблюдение требований конфиденциальности и безопасности персональных данных.

6.11. Медицинская организация вправе поручить обработку персональных данных третьим лицам на основании договора поручения обработки персональных данных с соблюдением требований законодательства Российской Федерации.

6.12. При использовании сайта Медицинской организации и отдельных технических сервисов может осуществляться автоматическая обработка технических данных, необходимая для обеспечения функционирования сайта, обработки обращений, обеспечения информационной безопасности и функционирования информационных сервисов Медицинской организации.

6.13. Обработка технических данных осуществляется в объёме, необходимом для функционирования сайта и информационных систем Медицинской организации, с соблюдением требований законодательства Российской Федерации о персональных данных.

7. ПОРЯДОК ДОСТУПА К ПЕРСОНАЛЬНЫМ ДАННЫМ И РАЗГРАНИЧЕНИЕ ДОСТУПА

7.1. Доступ к персональным данным предоставляется только тем работникам Медицинской организации, которым такой доступ необходим для исполнения должностных обязанностей.

7.2. Перечень работников, имеющих доступ к персональным данным, определяется Медицинской организацией с учётом:

- должностных обязанностей работников;

- характера обрабатываемых персональных данных;

- категории персональных данных;

- необходимости доступа для исполнения трудовых функций.

7.3. Работники Медицинской организации допускаются к обработке персональных данных после:

- ознакомления с требованиями законодательства Российской Федерации о персональных данных;

- ознакомления с локальными нормативными актами Медицинской организации;

- принятия обязательств о неразглашении персональных данных и врачебной тайны.

7.4. Работникам Медицинской организации запрещается:

- использовать персональные данные в личных целях;

- передавать персональные данные третьим лицам без законных оснований;

- копировать и распространять документы и сведения, содержащие персональные данные, вне установленного порядка;

- сообщать персональные данные лицам, не имеющим права доступа к ним.

7.5. Доступ работников к персональным данным подлежит разграничению в зависимости от:

- уровня полномочий;

- категории персональных данных;

- целей обработки;

- должностных обязанностей работников.

7.6. Медицинская организация принимает меры по предотвращению несанкционированного доступа к персональным данным, включая:

- организационные меры;

- технические меры;

- ограничение физического доступа к помещениям и носителям информации;

- использование средств защиты информации.

7.7. Работники Медицинской организации несут ответственность за нарушение порядка обработки и защиты персональных данных в соответствии с законодательством Российской Федерации и локальными нормативными актами Медицинской организации.

8. ПОРЯДОК ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения не установлен законодательством Российской Федерации.

8.2. Хранение медицинской документации и сведений, содержащих персональные данные пациентов, осуществляется в сроки, установленные законодательством Российской Федерации в сфере здравоохранения, архивного дела и обязательного хранения медицинской документации.

8.3. Персональные данные хранятся:

- на бумажных носителях;

- в информационных системах персональных данных;

- в медицинских информационных системах;

- в иных информационных ресурсах Медицинской организации.

8.4. При хранении персональных данных Медицинская организация обеспечивает:

- предотвращение несанкционированного доступа;

- сохранность персональных данных;

- защиту от уничтожения, изменения, блокирования, копирования и распространения;

- соблюдение требований конфиденциальности.

8.5. Документы и материальные носители, содержащие персональные данные, хранятся в помещениях и местах хранения, обеспечивающих ограничение доступа посторонних лиц.

8.6. Доступ к архивам, информационным системам и материальным носителям персональных данных предоставляется только уполномоченным работникам Медицинской организации.

8.7. По достижении целей обработки персональных данных либо при утрате необходимости в их достижении персональные данные подлежат уничтожению или обезличиванию, если иной срок хранения не установлен законодательством Российской Федерации.

9. ПОРЯДОК УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Уничтожение персональных данных осуществляется Медицинской организацией:

- при достижении целей обработки персональных данных;

- при отзыве субъектом персональных данных согласия на обработку персональных данных, если отсутствуют иные законные основания для обработки;

- при выявлении неправомерной обработки персональных данных;

- по истечении сроков хранения персональных данных;

- в иных случаях, предусмотренных законодательством Российской Федерации.

9.2. Уничтожение персональных данных осуществляется способами, исключающими возможность восстановления содержания персональных данных.

9.3. Уничтожение персональных данных на бумажных носителях осуществляется путём:

- механического уничтожения;

- измельчения;

- иными способами, исключающими восстановление информации.

9.4. Уничтожение персональных данных, содержащихся в информационных системах, осуществляется путём:

- удаления данных;

- уничтожения носителей информации;

- применения технических способов уничтожения информации.

9.5. Уничтожение персональных данных осуществляется уполномоченными работниками Медицинской организации.

9.6. Факт уничтожения персональных данных подлежит фиксации в установленном Медицинской организацией порядке.

9.7. В случае невозможности уничтожения персональных данных в сроки, установленные законодательством Российской Федерации, Медицинская организация осуществляет блокирование таких персональных данных и обеспечивает их уничтожение в сроки, предусмотренные законодательством Российской Федерации.

10. ПОРЯДОК РЕАГИРОВАНИЯ НА ЗАПРОСЫ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. Медицинская организация рассматривает обращения и запросы субъектов персональных данных либо их законных представителей в порядке и сроки, установленные законодательством Российской Федерации.

10.2. Субъект персональных данных имеет право:

- получать сведения об обработке его персональных данных;

- требовать уточнения, блокирования или уничтожения персональных данных;

- отзывать согласие на обработку персональных данных;

- обжаловать действия Медицинской организации в уполномоченные органы или в судебном порядке.

10.3. Запрос субъекта персональных данных должен содержать:

- сведения, позволяющие идентифицировать субъекта персональных данных;

- сведения, подтверждающие отношения с Медицинской организацией;

- содержание запроса;

- подпись субъекта персональных данных либо его представителя.

10.4. Медицинская организация вправе запросить дополнительные сведения, необходимые для идентификации субъекта персональных данных и подтверждения его полномочий.

10.5. Ответ на запрос субъекта персональных данных предоставляется в сроки, установленные законодательством Российской Федерации.

10.6. Медицинская организация вправе отказать в предоставлении сведений в случаях, предусмотренных законодательством Российской Федерации.

10.7. Основаниями для отказа могут являться:

- отсутствие у заявителя полномочий на получение сведений;

- нарушение прав и законных интересов третьих лиц;

- случаи, предусмотренные законодательством Российской Федерации.

10.8. Рассмотрение запросов субъектов персональных данных осуществляется уполномоченными работниками Медицинской организации.

10.9. Формы запросов субъектов персональных данных утверждаются приложениями к настоящему Положению.

11. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

11.1. Медицинская организация принимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных при их обработке.

11.2. Обеспечение безопасности персональных данных направлено на защиту персональных данных от:

- неправомерного или случайного доступа;

- уничтожения;

- изменения;

- блокирования;

- копирования;

- распространения;

- предоставления;

- иных неправомерных действий в отношении персональных данных.

11.3. Меры по обеспечению безопасности персональных данных включают:

- назначение лица, ответственного за организацию обработки персональных данных;

- принятие локальных нормативных актов в области обработки и защиты персональных данных;

- ограничение доступа работников к персональным данным;

- организацию учёта и хранения материальных носителей персональных данных;

- применение средств защиты информации;

- использование антивирусных средств защиты;

- предотвращение несанкционированного доступа к информационным системам;

- проведение внутреннего контроля соблюдения требований законодательства Российской Федерации;

- ознакомление работников Медицинской организации с требованиями законодательства Российской Федерации и локальными нормативными актами;

- обеспечение сохранности носителей персональных данных;

- выявление фактов несанкционированного доступа к персональным данным;

- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа.

11.4. Обработка специальных категорий персональных данных, касающихся состояния здоровья, осуществляется с соблюдением требований законодательства Российской Федерации о врачебной тайне и конфиденциальности медицинской информации.

11.5. Медицинская организация организует хранение документов и материальных носителей, содержащих персональные данные, в условиях, обеспечивающих их защиту от неправомерного доступа и утраты.

11.6. Работники Медицинской организации, имеющие доступ к персональным данным, обязаны соблюдать требования конфиденциальности и не раскрывать персональные данные третьим лицам без законных оснований.

11.7. В случае выявления нарушений порядка обработки персональных данных Медицинская организация принимает меры по:

- устранению нарушений;

- минимизации возможного вреда;

- предотвращению повторного возникновения нарушений.

12. ЛИЦО, ОТВЕТСТВЕННОЕ ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

12.1. Медицинская организация назначает лицо, ответственное за организацию обработки персональных данных.

12.2. Лицо, ответственное за организацию обработки персональных данных:

- организует внутренний контроль соблюдения законодательства Российской Федерации о персональных данных;

- осуществляет контроль соблюдения работниками Медицинской организации требований локальных нормативных актов;

- организует ознакомление работников Медицинской организации с требованиями законодательства Российской Федерации о персональных данных;

- организует приём и рассмотрение обращений субъектов персональных данных;

- участвует в организации мероприятий по обеспечению безопасности персональных данных;

- взаимодействует с уполномоченными государственными органами по вопросам обработки персональных данных.

12.3. Лицо, ответственное за организацию обработки персональных данных, вправе:

- запрашивать у работников Медицинской организации сведения и документы, необходимые для осуществления контроля;

- участвовать в проверках соблюдения требований законодательства Российской Федерации о персональных данных;

- вносить предложения по совершенствованию системы защиты персональных данных.

13. ВНУТРЕННИЙ КОНТРОЛЬ И АУДИТ

13.1. Медицинская организация осуществляет внутренний контроль соответствия обработки персональных данных требованиям законодательства Российской Федерации и локальных нормативных актов Медицинской организации.

13.2. Внутренний контроль осуществляется путём:

- проведения проверок соблюдения порядка обработки персональных данных;

- анализа соблюдения работниками требований настоящего Положения;

- проверки соблюдения порядка хранения и уничтожения персональных данных;

- контроля соблюдения требований конфиденциальности;

- проверки актуальности и достаточности принимаемых мер защиты персональных данных.

13.3. Внутренний контроль может проводиться:

- планово;

- внепланово;

- по поручению руководителя Медицинской организации;

- при выявлении нарушений либо инцидентов, связанных с обработкой персональных данных.

13.4. По результатам внутреннего контроля могут приниматься меры:

- по устранению выявленных нарушений;

- по совершенствованию организационных и технических мер защиты;

- по привлечению виновных лиц к ответственности;

- по актуализации локальных нормативных актов.

14. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ В ОБЛАСТИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

14.1. Работники Медицинской организации, виновные в нарушении требований законодательства Российской Федерации и локальных нормативных актов в области обработки и защиты персональных данных, несут ответственность в соответствии с законодательством Российской Федерации.

14.2. Нарушением требований в области обработки персональных данных является:

- неправомерное использование персональных данных;

- разглашение персональных данных;

- предоставление доступа к персональным данным лицам, не имеющим соответствующих полномочий;

- нарушение порядка хранения, передачи или уничтожения персональных данных;

- несоблюдение требований конфиденциальности;

- иные нарушения требований законодательства Российской Федерации и настоящего Положения.

14.3. В зависимости от характера нарушения виновные лица могут быть привлечены:

- к дисциплинарной ответственности;

- к материальной ответственности;

- к гражданско-правовой ответственности;

- к административной ответственности;

- к уголовной ответственности.

14.4. Медицинская организация вправе применять к работникам меры дисциплинарного воздействия в порядке, установленном трудовым законодательством Российской Федерации и локальными нормативными актами Медицинской организации.

15. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

15.1. Настоящее Положение утверждается руководителем Медицинской организации и вводится в действие соответствующим приказом.

15.2. Настоящее Положение подлежит пересмотру:

- при изменении законодательства Российской Федерации;

- при изменении процессов обработки персональных данных;

- при изменении организационной структуры Медицинской организации;

- при выявлении необходимости актуализации положений документа.

15.3. Изменения и дополнения в настоящее Положение утверждаются руководителем Медицинской организации.

15.4. Контроль исполнения настоящего Положения осуществляется лицом, ответственным за организацию обработки персональных данных.

15.5. Настоящее Положение подлежит доведению до сведения работников Медицинской организации, допущенных к обработке персональных данных.


Информация представлена в ознакомительных целях, не предназначена для самодиагностики и самолечения,
не может рассматриваться в качестве замены КОНСУЛЬТАЦИИ со СПЕЦИАЛИСТОМ.
Если у Вас наблюдаются схожие симптомы, советуем ЗАПИСАТЬСЯ НА ПРИЕМ к врачу в регистратуре.

+7 (978) 854-30-65

+7 (8692) 55-55-02

ВКонтакте

260510

Информация - Информация для пациентов