Редакция 0.3
Размещена: 13 августа 2024 года

Политика конфиденциальности

1. Общие положения

Настоящая Политика конфиденциальности разработана в соответствии с пп. 2 п.1 статьи 18.1 Федерального закона от 27 июля 2006 года № 152 «О персональных данных» и определяет основные принципы, цели, условия и способы обработки персональных данных, права и обязанности ООО «Клиника «НаПоправку»» при обработке персональных данных, права субъектов персональных данных, а также реализуемые в ООО «Клиника «НаПоправку»» меры по обеспечению безопасности персональных данных (далее «Политика»).
Оператором является Общество с ограниченной ответственностью «Клиника «НаПоправку»» ИНН 7813642889 ОГРН 1207800017732; адрес места нахождения: Российская Федерация, 197082, г.Санкт-Петербург, вн.тер.г. муниципальный округ №65, пр-кт Богатырский, д.59 к.3 литера А, помещ. 8Н, офис 101; тел:  +7 (812) 384-74-17; e-mail:  Info@napopravku.ru (далее «Компания», «Оператор»).

1.1. Обработка персональных данных осуществляется на территории Российской Федерации, трансграничная передача отсутствует.

1.2. Настоящая Политика разработана в соответствии с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», другими законодательными и нормативными правовыми актами Российской Федерации, определяющими порядок работы с персональными данными и требования к обеспечению их безопасности.

1.3. Порядок ввода в действие и изменения Политики:

1.3.1. Настоящая Политика вступает в силу с момента ее утверждения генеральным директором Компании и действует бессрочно, до замены ее новой редакцией.

1.3.2. Все изменения в настоящую Политику вносятся приказом генерального директора.

1.3.3. Все Работники должны быть ознакомлены с настоящей Политикой под роспись.

1.4. Режим конфиденциальности персональных данных снимается в случаях их обезличивания, в других случаях, предусмотренных законодательством Российской Федерации.

1.5. В настоящей Политике используются, в том числе, следующие термины:

  • Субъект персональных данных – заказчики услуг и пациенты Оператора – физические лица, в том числе потенциальные заказчики и пациенты, представители заказчиков и пациентов, пользователи мобильного приложения Оператора; а также работники Оператора, контрагенты Оператора и лица, привлеченные Оператором для оказания услуг (выполнения работ) на основании гражданско-правовых договоров.
  • Врачебная тайна – сведения о факте обращения пациента за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении.
  • Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
  • Оператор – юридическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
  • Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2. Понятие, состав персональных данных и цель их обработки

2.1. Компания обрабатывает следующие категории ПДн:

2.1.1. Персональные данные физических лиц, с которыми заключены трудовые договоры (далее «ПДн Работников»)
Компания обрабатывает ПДн Работников на следующих основаниях:

  • пп.5 п.1 ст.6 ФЗ № 152 «О персональных данных» (обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных) без уведомления уполномоченного органа, так как обработка осуществляется в соответствии с трудовым законодательством (пп.1 п.2 ст.22 ФЗ № 152 «О персональных данных»).
  • ч.1 п.1 ст.6 ФЗ № 152-ФЗ «О персональных данных» (согласие субъекта персональных данных) без уведомления уполномоченного органа, так как обработка ПДн осуществляется в соответствии с трудовым законодательством (пп.1 п.2 ст.22 ФЗ № 152 «О персональных данных»).Источник получения ПДн – субъект ПДн.

Источник получения ПДн – субъект ПДн.

Цель обработки – 1) заключение и исполнение договора в рамках трудовых отношений; 2) исполнение Оператором требований п. 7 ч. 1 ст. 79 Федерального закона от 21.11.2011 № 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации" в части информирования граждан в доступной форме, в том числе с использованием сети "Интернет", о медицинских работниках Компании, об уровне их образования и об их квалификации.

Способ обработки – автоматизированный и неавтоматизированный.

Срок обработки – в соответствии с требованиями действующего трудового законодательства РФ, законодательства РФ об архивном делопроизводстве. Личное дело работника после прекращения трудового договора передается в архив и хранится 50 лет. Личные дела руководителей Оператора хранятся постоянно.

В состав ПДн Работника входит информация, касающаяся конкретного работника, а также сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность для вышеустановленных целей обработки.

  • Данные, в отношении которых не требуется согласие субъекта ПДн:
    — сведения о гражданстве;
    — сведения об образовании;
    — сведения о трудовом стаже;
    — сведения о предыдущем месте работы;
    — сведения о близких родственниках в объеме, предусмотренном унифицированной формой Т-2 «Личная — карточка работника» либо в случаях, установленных законодательством Российской Федерации — (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат);
    — паспортные данные;
    — число, месяц, год и место рождения;
    — данные об ИНН;
    — данные о страховом номере индивидуального лицевого счета;
    — сведения о воинском учете;
    — сведения о заработной плате сотрудника;
    — сведения о социальных льготах;
    — занимаемая должность;
    — адрес места жительства и/или места временного пребывания;
    — содержание трудового договора;
    — содержание сведений, подаваемых в налоговую инспекцию;
    — подлинники и копии приказов по личному составу и основания к приказам;
    — трудовые книжки;
    — данные по повышению квалификации и переподготовке сотрудников, их аттестации;
    — копии отчетов, направляемые в органы статистики;
    — рекомендации, характеристики с предыдущих мест работы;
    — данные о реквизитах банковского счета для перечисления заработной платы.
  • Данные, в отношении которых требуется согласие субъекта ПДн:
    — адрес электронной почты;
    — номер мобильного телефона.

Обработка ПДн близких родственников работника (мобильный номер для связи в экстренных ситуациях) может осуществляться только на основании их письменного согласия.

Способ получения согласия работников на обработку их ПДн – на бумажном носителе до заключения трудового договора.

2.1.2. Персональные данные соискателей на трудоустройство в Компанию (далее «ПДн Соискателей»)
Компания обрабатывает ПДн Соискателей на следующих основаниях:

  • ч.1 п.1 ст.6 ФЗ № 152-ФЗ «О персональных данных» (согласие субъекта персональных данных) без уведомления уполномоченного органа, так как обработка ПДн осуществляется в соответствии с трудовым законодательством (пп.1 п.2 ст.22 ФЗ № 152 «О персональных данных»).

Источник получения ПДн – субъект ПДн.

Цель обработки – 1) возможное дальнейшее заключение трудового договора 2) сбор, формирование и хранение ПДн Соискателя в базе данных соискателей (потенциальных работников) Компании.

Способ обработки – автоматизированный и неавтоматизированный.

Сроки обработки – до момента заключения трудового договора с соискателем либо в течение 6 (шести) месяцев после принятия решения об отказе в заключении такого договора, если иной срок не указан в согласии соискателя на обработку его персональных данных Оператором. Обработка персональных данных должна быть прекращена Оператором при отзыве соискателем своего согласия на обработку персональных данных.

В состав ПДн Соискателей входят (требуется согласие субъекта ПДн):

  • фамилия, имя, отчество;
  • число, месяц, год и место рождения;
  • данные, указанные соискателем в его резюме (опыт работы, данные об образовании и т.п.);
  • рекомендации, характеристики с предыдущих мест работы;
  • номер мобильного телефона;
  • адрес электронной почты.

Способ предоставления согласия соискателей на обработку их ПДн:

  • на бумажном носителе до проведения очного собеседования;
  • либо в электронном виде при направлении резюме Оператору на электронную почту hr@napopravku.ru. Направляя резюме Оператору на электронную почту hr@napopravku.ru, соискатель дает согласие с условиями Политики конфиденциальности Компании, размещенной на сайте https://plus.napopravku.ru/ и на обработку его персональных данных Компанией свободно, своей волей и в своем интересе.
    В случае получения резюме соискателя по каналам электронной почты Компании необходимо дополнительно провести мероприятия, направленные на подтверждение факта направления указанного резюме самим соискателем (приглашение соискателя на личную встречу с уполномоченными сотрудниками Компании, обратная связь посредством электронной почты.).
    При поступлении в адрес Компании резюме, составленного в произвольной форме, при которой однозначно определить физическое лицо, его направившее, не представляется возможным, данное резюме подлежит уничтожению в день поступления.

2.1.3. Персональные данные исполнителей по договору гражданско-правового характера (далее «ПДн Контрагентов»)

Компания обрабатывает ПДн Контрагентов на следующих основаниях:

  • пп.5 п.1 ст.6 ФЗ № 152 (обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных) без уведомления уполномоченного органа, так как ПДн получены Оператором в связи с заключением договора, стороной которого является субъект персональных данных, ПДн не распространяются, а также не предоставляются третьим лицам без согласия субъекта ПДн и используются Оператором исключительно для исполнения указанного договора и заключения договоров с субъектом ПДн (пп.2 п.2 ст.22 ФЗ № 152 «О персональных данных»);
  • пп.2 п.1 ст.6 ФЗ №152-ФЗ «О персональных данных» (обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей).

Источник получения ПДн – субъект ПДн.

Цель обработки – заключение и исполнение договора в рамках гражданско-правовых отношений.

Способ обработки – автоматизированный и неавтоматизированный.

Срок обработки – В соответствии с требованиями действующего законодательства РФ, но не менее, чем до истечения 5 (пяти) лет с момента окончания срока действия гражданско-правового договора.

В состав ПДн Контрагентов входят (согласие субъекта ПДн не требуется):

  • фамилия, имя, отчество;
  • сведения о гражданстве;
  • число, месяц, год и место рождения;
  • паспортные данные;
  • адрес места жительства и/или места временного пребывания;
  • данные об ИНН;
  • о страховом номере индивидуального лицевого счета;
  • данные о реквизитах банковского счета для перечисления вознаграждения;
  • номер мобильного телефона;
  • адрес электронной почты.

2.1.4. Персональные данные пациентов, с которыми заключены договоры на оказание платных медицинских и иных услуг (далее по тексту «ПДн Пациентов»)
Компания обрабатывает ПДн Пациентов с предварительным уведомлением уполномоченного органа (п.1 ст.22 ФЗ № 152 «О персональных данных») на следующих основаниях:

  • ч.1 п.5 ст.6 ФЗ №152-ФЗ «О персональных данных» (обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому, является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем);
  • пп.1 п.1 ст.6 ФЗ №152-ФЗ «О персональных данных» (согласие субъекта персональных данных в отношении специальной категории персональных данных);
  • пп.4 п.2 ст.10 ФЗ №152-ФЗ «О персональных данных» (обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну).

Источник получения ПДн – субъект ПДн.

Цель обработки – заключение и исполнение договора на оказание платных медицинских и иных услуг.

Способ обработки – автоматизированный и неавтоматизированный.

Срок обработки – В соответствии с требованиями действующего законодательства РФ в отношении сроков хранения соответствующей медицинской документации.

В состав ПДн Пациентов входят:

  • Данные, в отношении которых не требуется согласие субъекта ПДн:
    — фамилия;
    — имя;
    — отчество;
    — дата рождения;
    — пол, вес, рост;
    — специальная категория персональных данных: сведения о состоянии здоровья, в том числе, но не ограничительно, сведения о факте обращения за медицинской помощью, диагнозе, иные сведения, полученные при его медицинском обследовании и лечении.
  • Данные, в отношении которых требуется согласие субъекта ПДн: — номер контактного телефона;
    — адрес электронной почты.

Способ предоставления согласия пациентов на обработку их ПДн – в электронном виде путем выражения согласия с формой согласия на обработку персональных данных, разработанной Компанией, и с условиями Политики конфиденциальности Компании путем проставления отметок (в том числе галочек) и/или нажатия кнопки «Оплатить» в мобильном приложении «Напоправку» при заключении договора на оказание платных медицинских и иных услуг.

2.1.5. Персональные данные учредителей и участников Оператора, в том числе конечных бенефициаров (далее по тексту «ПДн Собственников»)
Компания обрабатывает ПДн Собственников на следующих основаниях:

  • пп. 2 п.1 ст.6 ФЗ №152-ФЗ «О персональных данных» (обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей) без уведомления уполномоченного органа, так как обработка ПДн осуществляется в связи с заключением договора, стороной которого является субъект персональных данных (пп.2 п.2 ст.22 ФЗ № 152 «О персональных данных»).
  • пп. 7 п.1 ст.6 ФЗ №152-ФЗ «О персональных данных» (обработка персональных данных необходима для осуществления прав и законных интересов оператора).

Источник получения ПДн – субъект ПДн.

Цель обработки – Обработка персональных данных учредителей осуществляется в целях исполнения обязанностей, возложенных на Оператора законодательством РФ (Федеральный закон «Об обществах с ограниченной ответственностью» от 08.02.1998 № 14-ФЗ; Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»).Способ обработки – автоматизированный и неавтоматизированный.

Срок обработки – В соответствии с требованиями действующего законодательства РФ, но не менее чем до истечения 5 (пяти) лет с момента предоставления ПДн Оператору.

В состав ПДн Собственников входят (согласие субъекта ПДн не требуется):

  • фамилия;
  • имя;
  • отчество;
  • гражданство;
  • дата рождения;
  • реквизиты документа, удостоверяющего личность;
  • данные документов, подтверждающих право иностранного гражданина или лица без гражданства на пребывание (проживание) в Российской Федерации
  • контактные данные;
  • адрес места жительства (регистрации) или места пребывания,
  • идентификационный номер налогоплательщика (при его наличии),
  • иные сведения, предусмотренные требованиями законодательства РФ.

Согласно п.5 ст.6.1 Федерального закона от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» передача такой информации (сведений) в соответствии с положениями статьи 6.1 не является нарушением законодательства Российской Федерации о персональных данных.

3. Требования к согласию на обработку ПДн

Согласие на обработку ПДн должно отвечать следующим требованиям:

  • должно быть конкретным, информированным и сознательным;
  • может быть дано субъектом или его представителем в любой позволяющей подтвердить факт его получения форме, если законодательством РФ не установлена обязанность получать согласие в письменной форме;
  • должно быть дано свободно, своей волей и в своем интересе.

Обработка персональных данных субъектов в целях продвижения товаров, работ, услуг на рынке путем прямых контактов с Субъектом с помощью средств связи должна осуществляться только при условии предварительного согласия Субъекта.

3.1. Согласие субъекта в письменной форме и в форме электронного документа.
Согласие субъекта в письменной форме оформляется на бумажном носителе с собственноручной подписью субъекта или его представителя. Равнозначным, содержащему собственноручную подпись субъекта, согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с требованиями федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи».

3.2. Согласие Субъекта в любой форме

3.2.1. В случаях, не требующих в соответствии с действующим законодательством оформлять Оператору согласие в письменной форме, может быть получено согласие в любой форме с применением сервисов Оператора, принадлежащих или используемых Оператором, позволяющей подтвердить факт его получения. К таким случаям относятся получение согласий в письменной форме и в форме электронного документа, а также в случаях совершения Субъектом явного действия, например, но не ограничиваясь:

  • нажатие субъектом на кнопку «Подтверждаю», «Согласен», «Принимаю», «Продолжить», «Оплатить» и т.п. после процедуры ознакомления с текстом согласия на обработку персональных данных;
  • заполнение чек-бокса рядом с текстом согласия на обработку персональных данных в графическом интерфейсе сервиса Оператора;
  • ответное электронное письмо на электронный почтовый ящик Оператора, исходящее от субъекта с информацией о согласии на обработку персональных данных.

3.2.2. Оператор осуществляет учет и хранение согласий в течение срока действия согласия, увеличенного на три года (общий срок исковой давности).

3.2.3. Хранение Согласий, оформленных на бумажном носителе, в зависимости от вида осуществляется в ответственных подразделениях оператора.

3.2.4. Место хранения согласий, а также лица ответственные за организацию хранения, определяется внутренним локальным нормативным документом Оператора. В целях обеспечения подтверждения получения Оператором согласий в электронном виде, в информационных системах Оператора должны быть реализованы функции учета полученных согласий и хранение подтверждений (с возможностью их выгрузки для последующей печати).

4. Получение, обработка, передача и хранение ПДн

4.1. Все ПДн следует получать у самого субъекта ПДн. Если ПДн возможно получить только у третьей стороны, то субъект ПДн должен быть уведомлен об этом заранее, и от него должно быть получено письменное согласие.

4.2. Компания обязана не сообщать ПДн субъекта третьей стороне без письменного согласия субъекта ПДн, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта ПДн, а также в случаях, установленных федеральным законом.

4.3. Хранение и использование ПДн субъектов ПДн.

4.3.1. Информация о ПДн может содержаться:

  • на бумажных носителях;
  • на электронных носителях;
  • в информационно-телекоммуникационных сетях и иных информационных системах.

4.3.2. Оператор использует следующие способы обработки ПДн:автоматизированная обработка;:

  • автоматизированная обработка;
  • без использования средств автоматизации;
  • смешанная обработка (с применением объектов вычислительной техники).

Оператор самостоятельно устанавливает способы обработки ПДн в зависимости от целей такой обработки и материально-технических возможностей Оператора.

4.4. ПДн при их обработке обособляются от иной информации путем фиксации их на отдельных носителях, в специальных разделах или на полях форм (бланков) или в отдельных папках на персональных компьютерах.

4.5. При фиксации ПДн на материальных носителях не допускается фиксация на одном материальном носителе (флешка; бумага) ПДн, цели обработки которых заведомо несовместимы. Для обработки различных категорий ПДн для каждой категории ПДн используется отдельный носитель.

4.6. Материальные носители хранятся в металлических шкафах, при этом должно быть обеспечено раздельное хранение ПДн, обработка которых осуществляется в различных целях.

4.6. Материальные носители хранятся в металлических шкафах, при этом должно быть обеспечено раздельное хранение ПДн, обработка которых осуществляется в различных целях.

5. Доступ к ПДн

5.1. Внутренний доступ (доступ внутри Компании).
Право доступа к ПДн Работников, ПДн Контрагентов имеют:

  • Генеральный директор;
  • Директор по персоналу;
  • Юрист;
  • Отдел бухгалтерии.

Право доступа к ПДн Пациентов имеют:

  • Генеральный директор/Глав.врач;
  • Врачебный персонал из числа работников Оператора.

Право доступа к ПДн Собственников имеют:

  • Генеральный директор;
  • Директор по персоналу;
  • Руководитель подразделения, в которое осуществляется кадровый подбор;
  • Отдел бухгалтерии.

5.2. Внешний доступ.

5.2.1. ПДн могут предоставляться государственным и негосударственным структурам только на основании письменного запроса на бланке учреждения, подписанного уполномоченным лицом, и только на основаниях, предусмотренных действующим законодательством РФ:

  • налоговые инспекции;
  • налоговые инспекции;
  • органы статистики;
  • страховые компании ОМС и ДМС;
  • военкоматы;
  • органы социального страхования;
  • пенсионные фонды;
  • органы здравоохранения;
  • судебные органы и т.д.

5.2.2. ПДн врачебного персонала из числа работников Оператора в части информации о медицинских работниках (ФИО), об уровне их образования и об их квалификации раскрываются Оператором в сети Интернет в рамках исполнения своих обязанностей об информировании граждан согласно пп.7 п.1 ст.79 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».
Основаниями для опубликования или обязательного раскрытия ПДн врачебного персонала Оператора является пп.11 п. 1 ст.6 ФЗ №152-ФЗ «О персональных данных», а также необходимость обработки таких данных для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей согласно пп.2 п. 1 ст.6 ФЗ №152-ФЗ «О персональных данных».

5.3. Предоставление информации субъекту ПДн:
Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, на основании письменного запроса в соответствии с ФЗ № 152 «О персональных данных».
Срок для предоставления информации составляет 30 (тридцать) календарных дней со дня получения запроса от субъекта ПДн.

5.4. Работникам Компании, которые имеют доступ к ПДн запрещается:

  • разглашать в любой форме ПДн, ставшие известными им в процессе трудовой деятельности в Компании, в том числе передавать третьим лицам через сеть Интернет или передавать материальный носитель с ПДн;
  • вести обсуждение информации, отнесенной к ПДн, с лицами, не наделенными правами обработки такой информации;
  • передавать другим лицам средства доступа к ПДн.

5.5. Лица, осуществляющие обработку ПДн, должны быть проинформированы о факте и особенностях обработки ими ПДн. Они несут персональную ответственность за обеспечение конфиденциальности обрабатываемых ПДн.

5.6. Принятие на себя обязательств о неразглашении ПДн и о недопущении неправомерных действий с ПДн осуществляется работником на добровольной основе.

5.7. Допуск к ПДн осуществляется только после дачи работником, которому такой доступ необходим в процессе трудовой деятельности, обязательств о неразглашении персональных данных и о недопущении неправомерных действий с персональными данными.

6. Защита ПДн

6.1. В целях обеспечения сохранности и конфиденциальности ПДн все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться только лицами, осуществляющими данную работу в соответствии со своими служебными обязанностями, зафиксированными в их должностных инструкциях.

6.2. Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме на бланке Компании и в том объеме, который позволяет не разглашать излишний объем ПДн.

6.3. Передача информации, содержащей сведения о ПДн по телефону, факсу, электронной почте без письменного согласия субъекта ПДн запрещается.

6.4. Персональные компьютеры, в которых содержатся персональные данные, защищены паролями доступа.

6.5. Все работники Компании обязаны строго следовать настоящей Политике и требованиям нормативно-правовых актов. В случае наличия вопросов работники могут направлять их специалисту по персоналу Компании.

7. Порядок уничтожения, блокирования ПДн

7.1. В случае выявления неправомерной обработки ПДн, при обращении субъекта Пдн Компания обязана осуществить блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, с момента такого обращения на период проверки. Период проверки не должен превышать 30 (тридцать) календарных дней, за исключением случаев, когда проверка продлена по независящим от Компании обстоятельствам (например: ожидание ответа от государственных органов в установленный ими срок и т.д.).

7.2. В случае выявления неточных ПДн при обращении субъекта Пдн Компания обязана осуществить блокирование ПДн, относящихся к этому субъекту ПДн, с момента такого обращения на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц. Период проверки не должен превышать 30 (тридцать) календарных дней, за исключением случаев, когда проверка продлена по независящим от Компании обстоятельствам (например: ожидание ответа от государственных органов в установленный ими срок и т.д.).

7.3. В случае подтверждения факта неточности ПДн Компания на основании сведений, представленных субъектом ПДн, или иных необходимых документов обязана уточнить ПДн в течение 7 (семи) рабочих дней со дня представления таких сведений и снять блокирование ПДн.

7.4. В случае выявления неправомерной обработки ПДн, осуществляемой Компанией, Компания в срок, не превышающий 3 (три) рабочих дня с даты этого выявления, обязана прекратить неправомерную обработку ПДн.

7.5. В случае, если обеспечить правомерность обработки ПДн невозможно, Компания в срок, не превышающий 10 (десять) рабочих дней с даты выявления неправомерной обработки ПДн, обязана уничтожить такие персональные данные.

7.6. Об устранении допущенных нарушений или об уничтожении ПДн Компания обязана уведомить субъекта ПДн.

7.7. В случае достижения цели обработки ПДн Компания обязана прекратить обработку ПДн и уничтожить ПДн в срок, не превышающий 30 (тридцать) календарных дней с даты достижения цели обработки ПДн, если иной срок не предусмотрен законодательством РФ.

7.8. В случае отзыва субъектом ПДн согласия на обработку его ПДн Компания обязана прекратить их обработку и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн в срок, не превышающий 30 (тридцать) календарных дней с даты поступления указанного отзыва, если иной срок не предусмотрен законодательством РФ.

7.9. В случае отсутствия возможности уничтожения ПДн в течение срока, указанного в п.п.7.5-7.8. настоящей Политике, Компания осуществляет блокирование таких ПДн и обеспечивает уничтожение ПДн в срок не более чем 6 (шесть) месяцев, если иной срок не установлен законодательством РФ.

7.10. Компания обязана обеспечить субъекту ПДн свободный бесплатный доступ к своим ПДн, включая право на получение копий любой записи, содержащей его ПДн, за исключением случаев, предусмотренных законодательством РФ.

7.11. Компания обязана по требованию субъекта ПДн предоставить ему полную информацию о его ПДн и обработке этих данных.

8. Меры, применяемые Компанией для обеспечения выполнения обязанностей, предусмотренных статьей 18.1 Федерального закона от 27 июля 2006 года № 152 «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами

Компания считает необходимым и достаточным применение следующих мер:

Организационного характера:

8.1. назначение лица, ответственного за организацию обработки ПДн;

8.2. определение перечня лиц и ПДн, которые доступны таким лицам в связи с исполнением ими своих должностных обязанностей;

8.3. ведение учета машинных носителей ПДн (компьютеры, ноутбуки);

8.4. установление режима обеспечения безопасности:

  • помещения, в котором размещены ПДн путем заключения договора с охранным предприятием;
  • машинных носителей ПДн (компьютеров, ноутбуков), на которых хранятся ПДн в электронном виде, путем установления логина и пароля на вход на такие машинные носители;
  • сейфов, шкафов, в которых хранятся ПДн в бумажном виде, путем использования замков, кодов. Ключи и коды должны храниться у ограниченного круга лиц, непосредственно имеющего доступ к ПДн, в связи с исполнением ими своих должностных обязанностей.

В случае утраты у лица доступа к ПДн, в целях поддержания режима обеспечения безопасности ПДн, Компания незамедлительно должна произвести смену логинов, паролей, кодов; замену ключей и/или личинок; и иное.

8.5. издание, изменение, дополнение, поддержание в актуальном состоянии в соответствии с требованиями законодательства РФ настоящей Политики;

8.6. осуществление лицом, ответственным за организацию обработки ПДН, ежегодно по состоянию на 31 декабря внутренней проверки соответствия обработки ПДн в Компании Федеральному закону и принятым в соответствии с ним нормативным правовым актам;

87. инструктаж работников, непосредственно осуществляющих обработку ПДн, на тему обработки ПДн, их ознакомление с законодательством РФ о ПДн (п. 6 ч. 1 ст. 18.1 Закона № 152-ФЗ);

8.8. обеспечить неограниченный доступ к настоящей Политике путем ее размещения на сайте Оператора, расположенном по адресу https://plus.napopravku.ru/;

8.9. обеспечить получение письменных согласий субъектов на обработку их ПДн и получение подтверждения их ознакомления с настоящей Политикой;

Организационного характера:

8.10. обеспечение антивирусной защиты и криптографического метода защиты (шифрование) машинных носителей ПДн (компьютеры, ноутбуки);

8.11. обеспечение постоянного резервного копирования данных, содержащихся на машинных носителях ПДн (компьютеры, ноутбуки);

8.12. в части обработки специальной категории ПДн Пациентов использовать информационную систему, соответствующую требованиям к защите персональных данных при их обработке в информационных системах персональных данных, утвержденным постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 и иным требованиям, установленными законодательством РФ для соответствующего типа используемой Оператором информационной системы.

Правового характера:

8.13. поддерживать настоящую Политику в соответствии с действующим законодательством;

8.14. разрабатывать формы согласий субъектов на обработку их ПДн.

9. Права работника на защиту его ПДн

9.1. Субъект ПДн в целях обеспечения защиты своих ПДн, хранящихся в Компании, имеет право:

  • получать полную информацию о своих ПДн, их обработке, хранении и передаче;
  • определять своих представителей для защиты своих ПДн;
  • на доступ к относящимся к нему медицинских данных с помощью медицинского специалиста по его выбору;
  • требовать исключения или исправления неверных или неполных ПДн, а также данных, обработанных с нарушениями настоящей Политики и законодательства.
  • при отказе Компании исключить или исправить ПДн субъект вправе заявить Компании в письменном виде о своем несогласии с соответствующим обоснованием;
  • требовать от Компании извещения всех лиц, которым ранее были сообщены неверные или неполные ПДн субъекта, обо всех произведенных в них исключениях, исправлениях или дополнениях.

9.2. Если субъект ПДн считает, что Компания осуществляет обработку его ПДн с нарушением требований законодательства или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие Компании в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

10. Ответственность за разглашение информации, связанной с ПДн

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.