Положение об обработке и защите персональных данных
Уважаемые Пациенты!
Информация представлена в ознакомительных целях.
НАШИ ВРАЧИ НАШИ УСЛУГИ
ЗАЯВКА НА ПРИЕМ
Положение
об обработке и защите персональных данных
УТВЕРЖДАЮ:
Директор ООО «Медикал»
Потапова С.И.
«09» января 2019 г.
ПОЛОЖЕНИЕ
об обработке и защите персональных данных в медицинской организации
1. ОБЩИЕ ПОЛОЖЕНИЯ И СФЕРА ПРИМЕНЕНИЯ.
1.1. Медицинская организация Общество с ограниченной ответственностью «Медикал», именуемая в дальнейшем «Медицинская организация», уважает права, касающиеся персональных данных субъектов персональных данных, которые она получает в ходе осуществления своей деятельности и желает защитить их.
1.2. Настоящее Положение разработано на основании Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», именуемого в дальнейшем «Закон» и принятыми в соответствии с ним нормативными правовыми актами.
1.3. Настоящее Положение определяет политику Медицинской организации в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.
1.4. Настоящее Положение определяет способы сбора, обработки, использования и защиты персональных данных, к которым относятся (в том числе, но не исключительно) данные о следующих субъектах персональных данных:
1.4.1. посетителях веб-сайта Медицинской организации и/или других онлайновых ресурсах Медицинской организации в информационно-телекоммуникационной сети Интернет, именуемых в дальнейшем «Сайт»;
1.4.2. физических лицах, имеющих намерение заказать (приобрести) либо заказывающих (приобретающих) платные медицинские услуги - медицинское вмешательство или комплекс медицинских вмешательств, направленных на профилактику, диагностику и лечение заболеваний, медицинскую реабилитацию и имеющих самостоятельное законченное значение в соответствии с договором, именуемых в дальнейшем «Потребитель»;
1.4.3. физических лицах, имеющих намерение заказать (приобрести) либо заказывающих (приобретающих) платные медицинские услуги - медицинское вмешательство или комплекс медицинских вмешательств, направленных на профилактику, диагностику и лечение заболеваний, медицинскую реабилитацию и имеющих самостоятельное законченное значение в соответствии с договором в пользу потребителя, именуемых в дальнейшем «Заказчик»;
1.4.4. физических лиц, с которым сотрудничает Медицинская организация в рамках деятельности, именуемых в дальнейшем «Поставщики товаров и услуг»;
1.4.5. любых других третьих лиц, в рамках сотрудничества с которыми Медицинская организация могла получить доступ к персональным данным таких третьих лиц.
1.5. Действие настоящего Положения не распространяется на отношения, связанные с сбором, обработкой, использованием и защитой персональных данных работников Медицинской организации.
1.5.1. Порядок получения, учета, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным работников Медицинской организации определяется Положением о работе с персональными данными работников.
1.6. Настоящее Положение является обязательным для применения всеми работниками Медицинской организации, а также теми лицами, которые на законных основаниях непосредственно осуществляют обработку и/или имеют доступ к персональным данным в связи с исполнением ими своих обязанностей.
2. ОСНОВНЫЕ ПОНЯТИЯ, ИСПОЛЬЗУЕМЫЕ В ПОЛОЖЕНИИ.
2.1. персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
2.2. субъект персональных данных - физическое лицо: посетитель Сайта; Потребитель; Заказчик; Поставщик товаров и услуг; а также иное третье лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных за исключением работников Медицинской организации, именуемое в дальнейшем «Субъект»;
2.3. оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
2.4. обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
2.5. автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
2.6. распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
2.7. предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
2.8. блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
2.9. уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
2.10. обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
2.11. информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
2.12. трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
2.13. общедоступные источники персональных данных - справочники, адресные книги, реестры, списки, каталоги, другие систематизированные источники открытой информации, содержащие персональные данные, сообщаемые Субъектом и размещенные и опубликованные с согласия Субъекта.
3. ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ.
3.1. Медицинская организация осуществляет сбор и обработку персональных данных с целью обеспечения соблюдения Конституции РФ, федеральных законов и иных нормативных правовых актов РФ; реализации договорных отношений, с Поставщиками товаров и услуг, налоговых отношений, бухгалтерского учета и аудита в соответствии с действующим законодательством РФ; обеспечения реализации отношений в сфере охраны здоровья, ведения учетной статистической документации, используемой в медицинских организациях, в соответствии с Федеральным законом № 323-ФЗ от 21.11.2011 г. «Об основах охраны здоровья граждан в Российской Федерации», иными федеральными законами.
4. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.
4.1. Правовыми основаниями обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Медицинская организация осуществляет обработку персональных данных, в том числе:
4.1.1. Конституция РФ;
4.1.2. Гражданский кодекс РФ;
4.1.3. Налоговый кодекс РФ;
4.1.5. Федеральный закон №152-ФЗ от 27.07.2006 г. «О персональных данных»;
4.1.7. Устав и иные локальные нормативные акты Медицинской организации;
4.1.8. иные нормативные правовые акты РФ и нормативные документы уполномоченных органов государственной власти;
4.1.9. согласие субъектов персональных данных на обработку их персональных данных.
5. ПОРЯДОК И УСЛОВИЯ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.
5.1. Обработка персональных данных осуществляется с согласия Субъектов , если иное не предусмотрено законодательством РФ.
5.2. Обработка персональных данных может осуществляться с помощью средств вычислительной техники (автоматизированная обработка) либо при непосредственном участии человека без использования средств вычислительной техники (неавтоматизированная обработка).
5.3. К обработке персональных данных допускаются только те работники Медицинской организации, которые в силу своих должностных обязанностей осуществляют сбор, хранение и обработку персональных данных. Указанные работники имеют право получать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей и соблюдения требований Федерального закона № 323-ФЗ от 21.11.2011 г. «Об основах охраны здоровья граждан в Российской Федерации» и иных нормативных актов.
5.4. Медицинская организация может собирать персональные данные Субъекта в следующих случаях (но не исключительно):
5.4.1. в ходе деятельности, в том числе при помощи Сайта;
5.4.2. в ходе общения с Медицинской организацией электронной почтой или иными средствами связи;
5.4.3. в ходе осуществления Субъектом записи на прием к специалистам Медицинской организации через Сайт или при помощи иных средств связи;
5.4.4. в ходе личного обращения Субъекта в Медицинскую организацию.
5.5. Обработка персональных данных осуществляется путем:
5.5.1. получения информации, содержащей персональные данные, в устной или письменной форме, включая электронную, непосредственно от Субъекта;
5.5.2. предоставления Субъектом оригиналов необходимых документов;
5.5.3. получения заверенных в установленном порядке копий документов, содержащих персональные данные или копирования оригиналов документов;
5.5.4. получения персональных данных при направлении запросов в органы государственной власти, государственные внебюджетные фонды, иные государственные органы, органы местного самоуправления, коммерческие и некоммерческие организации, физическим лицам в случаях и порядке, предусмотренных законодательством РФ;
5.5.5. получения персональных данных из общедоступных источников;
5.5.6. фиксации (регистрации) персональных данных в журналах, книгах, реестрах и других учетных формах;
5.5.7. внесения персональных данных в информационные системы Медицинской организации;
5.5.8. использования иных средств и способов фиксации персональных данных, получаемых в рамках осуществляемой Медицинской организацией деятельности.
5.6. Передача персональных данных третьим лицам (в том числе трансграничная передача) допускается с письменного согласия Субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Субъекта, а также в иных случаях, установленных законодательством РФ.
5.7. При передаче персональных данных третьим лицам в соответствии с заключенными договорами Медицинская организация обеспечивает обязательное выполнение требований законодательства РФ и нормативных актов Медицинской организации в области персональных данных.
5.8. Передача персональных данных в уполномоченные органы исполнительной власти и организации (Министерство внутренних дел РФ, Министерство иностранных дел РФ, Федеральную налоговую службу, Пенсионный фонд РФ, Федеральный фонд обязательного медицинского страхования РФ и другие) осуществляется в соответствии с требованиями законодательства РФ.
5.9. Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав Субъекта, осуществляется в соответствии с Законом и может быть запрещена или ограничена в целях защиты основ конституционного строя РФ, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства. Трансграничная передача персональных данных на территорию иностранного государства, не являющегося стороной указанной Конвенции, осуществляется в соответствии с законодательными актами РФ при условии соответствия действующих в этом государстве норм права и применяемых мер безопасности персональных данных положениям Конвенции.
5.10. Медицинская организация вправе поручить обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю с согласия Субъекта на основании заключаемого договора. Юридическое лицо или индивидуальный предприниматель, осуществляющие обработку персональных данных по поручению Медицинской организации, обязаны соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством РФ в области персональных данных.
5.11. В случае, когда Медицинская организация на основании договора передает или поручает обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю, существенным условием договора должна быть обязанность обеспечения указанным лицом условий конфиденциальности и обеспечения безопасности персональных данных при их передаче или обработке.
5.12. Хранение персональных данных в Медицинской организации осуществляется в форме, позволяющей определить Субъекта, не дольше, чем этого требуют цели их обработки. При достижении целей обработки персональных данных, а также в случае отзыва Субъектом согласия на их обработку персональные данные подлежат уничтожению, если:
5.12.1. иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект, иным соглашением между Медицинской организацией и Субъектом;
5.12.2. Медицинская организация не вправе осуществлять обработку без согласия Субъекта на основаниях, предусмотренных Законом или иными федеральными законами.
5.13. Сроки хранения персональных данных Субъекта в Медицинской организации определяются в соответствии с законодательством РФ и нормативными актами локальными Медицинской организации.
6. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ.
В зависимости от целей, предусмотренных в разделе 3 настоящего Положения, в Медицинской организации могут обрабатываться персональные данные следующих категорий субъектов:
6.1. Посетитель Сайта:
6.1.1. фамилия, имя, отчество;
6.1.2. контактные данные (номер телефона, электронная почта);
6.1.3. иные сведения, сообщаемые Субъектом.
6.2. Потребитель, Заказчик:
6.2.1. фамилия, имя, отчество;
6.2.2. дата рождения;
6.2.3. место фактического проживания, регистрации;
6.2.4. контактные данные (номер телефона, электронная почта);
6.2.5. другие персональные данные, необходимость обработки которых определена деятельностью по охране здоровья:
6.2.5.1. сведения о состоянии здоровья и половой жизни;
6.2.5.2. сведения о медицинских обследованиях;
6.2.5.3. сведения о физиологических параметрах.
6.2.6. иные сведения, сообщаемые Субъектом.
6.3. Поставщик товаров и услуг, а также иное третье лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных за исключением работников Медицинской организации:
6.3.1. фамилия, имя, отчество;
6.3.2. регистрационные данные субъекта предпринимательской деятельности;
6.3.3. другие персональные данные, необходимость обработки которых определена хозяйственной деятельностью Медицинской организации:
6.3.3.1. сведения о месте регистрации, фактического проживания, осуществления предпринимательской деятельности;
6.3.3.2. контактные данные (номер телефона, электронная почта, адрес абонентского ящика;
6.3.3.3. сведения о расчетных счетах в банках;
6.3.3.4. сведения о датах осуществления заказов, оплаты, поставок;
6.3.3.5. сведения о суммах, перечисленных за товары (работы услуги);
6.3.3.6. сведения о номенклатуре, стоимости предоставляемых товаров (работ, услуг).
7. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ.
7.1. Субъект персональных данных имеет право:
7.1.1. на безвозмездное ознакомление со своими персональными данными, за исключением случаев, предусмотренных Законом;
7.1.2. на получение информации, касающейся обработки своих персональных данных, в том числе содержащей:
7.1.2.1. подтверждение факта обработки персональных данных Медицинской организацией;
7.1.2.2. правовые основания и цели обработки персональных данных;
7.1.2.3. цели и применяемые Медицинской организацией способы обработки персональных данных;
7.1.2.4. наименование и место нахождения Медицинской организации, сведения о лицах (за исключением работников Медицинской организации), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Медицинской организацией или на основании федерального закона;
7.1.2.5. обрабатываемые персональные данные, относящиеся к соответствующему Субъекту, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
7.1.2.6. сроки обработки персональных данных, в том числе сроки их хранения;
7.1.2.7. порядок осуществления Субъектом прав, предусмотренных Законом;
7.1.2.8. информацию об отсутствии трансграничной передачи данных;
7.1.2.9. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Медицинской организации, если обработка поручена или будет поручена такому лицу;
7.1.2.10. иные сведения, предусмотренные законодательством РФ;
7.1.3. требовать от Субъекта уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
7.1.4. обжаловать действия или бездействие Медицинской организации в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;
7.1.5. на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
7.2. Субъекты обязаны:
7.2.1. сообщать достоверную информацию о себе и предоставлять документы, содержащие персональные данные, состав которых установлен законодательством РФ и локальными нормативными документами Медицинской организации в объеме, необходимом для цели обработки;
7.2.2. сообщать в Медицинскую организацию об уточнении (обновлении, изменении) своих персональных данных.
7.3. Субъект может пользоваться другими правами в соответствии с законодательством о защите персональных данных.
8. ОБЯЗАННОСТИ МЕДИЦИНСКОЙ ОРГАНИЗАЦИИ.
8.1. Медицинская организация в лице работников, собирающих и обрабатывающих персональные данные, в зависимости от целей обработки; Работники Медицинской организации, обрабатывающие персональные данные, в зависимости от целей обработки, предусмотренных в разделе 3 настоящего Положения, вправе:
8.1.1 получать документы, содержащие персональные данные;
8.1.2. требовать от субъекта своевременного уточнения предоставленных персональных данных.
8.2. Работники Медицинской организации, обрабатывающие персональные данные Субъектов, обязаны:
8.2.1. обрабатывать персональные данные, полученные в установленном действующим законодательством порядке;
8.2.2. рассматривать обращения Субъекта (законного представителя Субъекта, уполномоченного органа по защите прав субъектов персональных данных) по вопросу обработки его персональных данных и давать мотивированные ответы в срок, не превышающий 7 (семи) рабочих дней с даты поступления обращения (запроса);
8.2.3. предоставлять Субъекту (законному представителю Субъекта) возможность безвозмездного доступа к своим персональным данным, обрабатываемым в ТПП РФ;
8.2.4. принимать меры по уточнению, уничтожению персональных данных субъекта персональных данных в связи с его (законного представителя) обращением с законными и обоснованными требованиями;
8.2.5. организовывать оперативное и архивное хранение документов Медицинской организации, содержащих персональные данные субъектов персональных данных, в соответствии с требованиями законодательства РФ.
9. ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ.
АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ.
9.1. Сведения, указанные в ч. 7 ст. 14 Закона, предоставляются Субъекту или его представителю Медицинской организацией при обращении или получении запроса Субъекта персональных данных или его представителя.
9.2. Сведения предоставляются в доступной форме, в них не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
9.3. Если в обращении (запросе) Субъекта не отражены в соответствии с требованиями Закона все необходимые сведения или Субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
9.4.1. Запрос должен содержать:
9.4.1.1. данные основного документа, удостоверяющего личность Субъекта или его представителя;
9.4.1.2. сведения, подтверждающие участие Субъекта в отношениях с Медицинской организацией (номер договора, дата заключения договора), либо сведения, иным образом подтверждающие факт обработки персональных данных Медицинской организацией, подпись (в том числе электронная) Субъекта или его представителя.
9.4.2. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ.
9.4.3. Формы запросов (обращений) Субъектов и их представителей приведены в приложениях 1 - 4 к настоящему Положению.
9.5. В случае, если сведения, указанные в ч. 7 ст. 14 Закона, а также обрабатываемые персональные данные были предоставлены для ознакомления Субъекту по его запросу, Субъект вправе обратиться повторно в Медицинскую организацию или направить повторный запрос в целях получения сведений, указанных в ч. 7 ст. 14 Закона и ознакомления с такими персональными данными не ранее чем через 30 (тридцать) дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является Субъект.
9.6. Субъект вправе обратиться повторно в Медицинскую организацию или направить повторный запрос в целях получения сведений, указанных в ч. 7 ст. 14 Закона, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в ч. 4 ст. 14 Закона, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в ч. 3 ст. 14 Закона, должен содержать обоснование направления повторного запроса.
9.7. Медицинская организация вправе отказать Субъекту в выполнении повторного запроса, не соответствующего условиям, предусмотренным ч.ч. 4 и 5 ст. 14 Закона. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Медицинской организации.
9.8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
9.9. В срок, не превышающий 7 (семи) рабочих дней со дня предоставления Субъектом или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Медицинская организация вносит в них необходимые изменения.
9.10. В срок, не превышающий 7 (семи) рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Медицинская организация уничтожает такие персональные данные.
9.11. Медицинская организация уведомляет Субъекта или его представителя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
9.12. Медицинская организация обязана сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 30 (тридцати) дней с даты получения такого запроса.
9.13. Согласие на обработку персональных данных может быть отозвано Субъектом персональных данных.
9.14. В случае отзыва Субъектом согласия на обработку его персональных данных Медицинская организация прекращает их обработку или обеспечивает прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Медицинской организации) и в случае если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Медицинской организации) в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект, иным соглашением между Медицинской организацией и Субъектом, либо если Медицинская организация не вправе осуществлять обработку персональных данных без согласия Субъекта на основаниях, предусмотренных Законом или другими федеральными законами. Медицинская организация сохраняет только те копии информации, которые необходимы для защиты законных интересов Медицинской организации либо третьих лиц, рассмотрения споров или исполнения любого соглашения, которое Субъект заключил с Медицинской организацией.
9.15. В случае отзыва Субъектом согласия на обработку персональных данных Медицинская организация вправе продолжить обработку персональных данных без согласия Субъекта при наличии оснований, указанных в ч. 2 ст. 9 Закона.
9.16. В случае отсутствия возможности уничтожения персональных данных в течение вышеуказанного срока Медицинская организация осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем 6 (шесть) месяцев, если иной срок не установлен федеральными законами.
10. ЛИЦА, ОТВЕТСТВЕННЫЕ ЗА ОРГАНИЗАЦИЮ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В МЕДИЦИНСКОЙ ОРГАНИЗАЦИИ.
10.1. Медицинская организация назначает лицо, ответственное за организацию обработки персональных данных.
10.2. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа Медицинской организации, и подотчетно ему.
10.3. Медицинская организация обязана предоставлять лицу, ответственному за организацию обработки персональных данных, сведения, указанные в ч. 3 ст. 22 Закона.
10.4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:
10.4.1 осуществлять внутренний контроль за соблюдением Медицинской организацией и его работниками законодательства РФ о персональных данных, в том числе требований к защите персональных данных;
10.4.2. доводить до сведения работников Медицинской организации положения законодательства РФ о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
10.4.3. организовывать прием и обработку обращений и запросов Субъектов или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
11. ТРЕБОВАНИЯ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ.
11.1. Обеспечение безопасности персональных данных при их обработке в Медицинской организации осуществляется в соответствии с законодательством РФ и требованиями уполномоченного органа государственной власти по защите прав субъектов персональных данных, федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации.
11.2. Медицинская организация предпринимает необходимые организационные и технические меры для защиты персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.
11.3. Меры защиты, реализуемые Медицинской организацией при обработке персональных данных, включают:
11.3.1. принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных;
11.3.2. назначение должностных лиц, ответственных за обеспечение безопасности персональных данных в подразделениях и информационных системах Медицинской организации;
11.3.3. организацию обучения и проведение методической работы с работниками, осуществляющими обработку персональных данных в Медицинской организации;
11.3.4. создание необходимых условий для работы с материальными носителями и информационными системами, в которых обрабатываются персональные данные;
11.3.5. организацию учета материальных носителей персональных данных и информационных систем, в которых обрабатываются персональные данные;
11.3.6. хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
11.3.7. обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации;
11.3.8. обеспечение раздельного хранения материальных носителей персональных данных, на которых содержатся персональные данные разных категорий или содержатся персональные данные, обработка которых осуществляется в разных целях;
11.3.9. установление запрета на передачу персональных данных по открытым каналам связи, вычислительным сетям и сети Интернет без применения установленных в Медицинской организации мер по обеспечению безопасности персональных данных;
11.3.10. обеспечение защиты документов, содержащих персональные данные, на бумажных и иных материальных носителях при их передаче третьим лицам с использованием услуг почтовой связи;
11.3.11. осуществление внутреннего контроля за соблюдением в Медицинской организации законодательства РФ и локальных нормативных актов Медицинской организации при обработке персональных данных.
12. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ ЗАКОНА И НАСТОЯЩЕГО ПОЛОЖЕНИЯ.
12.1. Работники Медицинской организации, имеющие доступ к персональным данным и осуществляют их обработку, обязаны не допускать разглашения любым способом персональных данных, которые им были доверены или которые стали им известны в связи с исполнением профессиональных или служебных или трудовых обязанностей.
12.2. Лица, виновные в нарушении требований законодательства РФ и локальных нормативных актов Медицинской организации в сфере обработки и защиты персональных данных привлекаются к дисциплинарной и материальной ответственности, а также привлекаются к гражданско-правовой административной и уголовной ответственности, в порядке установленном законодательством РФ, настоящим Положением, Положением о работе с персональными данными работников, Правилами внутреннего трудового распорядка.
12.3. Моральный вред, причиненный Субъекту вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Законом, а также требований к защите персональных данных, установленных в соответствии с Законом, подлежит возмещению в соответствии с законодательством РФ. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных Субъектом убытков.
13. ВНЕСЕНИЕ ИЗМЕНЕНИЙ В НАСТОЯЩЕЕ ПОЛОЖЕНИЕ.
13.1. Положение утверждается директором.
13.2. Медицинская организация оставляет за собой право по решению директора вносить изменения и дополнения в настоящее Положение.
13.3. Настоящее Положение доступно для публичного ознакомления неограниченного круга лиц на официальном веб-сайте Медицинской организации в информационно-телекоммуникационной сети Интернет medikal.com.ru в разделе «Положение о работе с персональными данными», а также на информационном стенде (стойке) и в регистратуре Медицинской организации.
Информация представлена в ознакомительных целях, не предназначена для самодиагностики и самолечения,
не может рассматриваться в качестве замены КОНСУЛЬТАЦИИ со СПЕЦИАЛИСТОМ.
Если у Вас наблюдаются схожие симптомы, советуем ЗАПИСАТЬСЯ НА ПРИЕМ к врачу в регистратуре.