Политика обработки персональных данных в ООО «Денталаб»

1. Общие положения

1.1. Политика обработки персональных данных (далее – Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых в ООО «Денталаб» (далее – Оператор, Медицинская организация) персональных данных, функции при обработке персональных данных, права субъектов персональных данных, а также реализуемые Оператором требования к защите персональных данных.
1.2  Настоящая Политика разработана в соответствии с  ч. 2 ст. 18.1 Федерального закона № 152-ФЗ от 27.07.2006 г. «О персональных данных» и предназначена для публичного ознакомления неограниченного круга лиц на официальном веб-сайте Медицинской организации www.dentastom.pro в информационно-телекоммуникационной сети Интернет.
1.3. Настоящая Политика разработана в целях реализации требований законодательства в области обработки и защиты персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных в Медицинской организации, в том числе защиты прав на неприкосновенность частной жизни, личной, семейной и врачебной тайн.
1.4. Политика раскрывает основные категории персональных данных, обрабатываемых в Медицинской организации, цели, способы и принципы обработки персональных данных, права субъектов персональных данных, а также перечень мер, применяемых Медицинской организацией в целях обеспечения безопасности персональных данных при их обработке.
1.5. Положения настоящей Политики являются основой для разработки локальных актов Медицинской организации, регламентирующих вопросы обработки и защиты персональных данных.
1.6. К настоящей Политике имеет доступ любой субъект персональных данных. Политика публикуется на официальном сайте оператора и размещается на информационных стендах оператора.
В настоящей Политике используются следующие основные понятия:
1.2.1. персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
1.3.1. конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
1.3.2. оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
1.3.3. субъект персональных данных – физическое лицо: посетитель сайта; Потребитель; Заказчик; поставщик товаров и услуг; работник Медицинской организации, а также иное третье лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных;
1.3.4. посетитель сайта – физическое лицо, получающее информацию и документацию, размещенную на веб-сайте Медицинской организации по сетевому адресу www.dentastom.pro и/или других онлайновых ресурсах Медицинской организации в информационно-телекоммуникационной сети Интернет;
1.3.5. потребитель – физическое лицо, имеющее намерение заказать (приобрести) либо заказывающее (приобретающее) платные медицинские услуги - медицинское вмешательство или комплекс медицинских вмешательств, направленных на профилактику, диагностику и лечение заболеваний, медицинскую реабилитацию и имеющих самостоятельное законченное значение в соответствии с договором;
1.3.6. заказчик – физическое лицо, имеющее намерение заказать (приобрести) либо заказывающее (приобретающее) платные медицинские услуги - медицинское вмешательство или комплекс медицинских вмешательств, направленных на профилактику, диагностику и лечение заболеваний, медицинскую реабилитацию и имеющих самостоятельное законченное значение в соответствии с договором в пользу потребителя;
1.3.7. поставщик товаров и услуг – физическое лицо, с которым сотрудничает Медицинская организация в рамках деятельности;
1.3.8. работник – физическое лицо, вступившее в трудовые отношения с Медицинской организацией на основании трудового законодательства и/или иных основаниях, предусмотренных Трудовым Кодексом РФ;
1.3.9. обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
1.3.10. автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
1.3.11. распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
1.3.12. предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
1.3.13. блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
1.3.14. уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
1.3.15. обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
1.3.16. информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационными технологиями и техническими средствами;
1.3.17. трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
1.3.18. общедоступные источники персональных данных – справочники. адресные книги, реестры списки, каталоги, другие систематизированные источники открытой информации, содержащие персональные данные, сообщаемые субъектом персональных данных и размещенные и опубликованные с согласия субъекта персональных данных;
1.3.19. информация – сведения (сообщения, данные) независимо от формы их представления;
1.3.20. документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

Утверждение и пересмотр

1.4.1 Настоящая Политика вступает в силу с момента ее утверждения Директором Медицинской организации, водится приказом по Медицинской организации и действует бессрочно.
1.4.2 Медицинская организация проводит пересмотр положений настоящей Политики и их актуализацию по мере необходимости, а также:
a) при изменении нормативной базы, затрагивающей принципы и/или процессы обработки персональных данных в Медицинской организации;
b) при создании новых или внесении изменений в существующие процессы обработки персональных данных.

2. Информация, предоставляемая субъектом и содержащая персональные данные

2.1. Информация, предоставляемая Субъектом и содержащая персональные данные, должна иметь документальную форму.
2.2. Состав персональных данных, которые могут быть предоставлены сотрудником при приеме на работу Оператором и в процессе его трудовой деятельности:
· фамилия, имя, отчество;
· пол;
· дата и место рождения;
· сведения об образовании, профессиональной подготовке, ученая степень и ученое звание;
· факты биографии (наличие судимостей, служба в рядах вооруженных сил РФ и др,);
 · сведения о предыдущей трудовой деятельности (место работы, размер заработка, работа на выборных должностях, на государственной и муниципальной службе и др.);
 · семейное положение, наличие детей, родственные связи;
· паспортные данные;
· идентификационный номер налогоплательщика, при его наличии;
· страховой номер индивидуального лицевого счета;
 · сведения о воинском учете;
· сведения о социальных гарантиях и льготах;
· контактная информация (адрес места жительства, контактный телефон, адрес электронной почты и др.);
· результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей;
· фотографии;
· деловые и иные личные качества, которые носят оценочный характер;
 · банковские реквизиты; - прочие сведения, на основании которых может быть идентифицирован сотрудник или сотруднику могут быть предоставлены дополнительные социальные гарантии. Из указанного списка Оператор, как работодатель, вправе получать и использовать только те сведения, которые характеризуют сотрудника как сторону трудового договора.
2.3. В состав персональных данных клиента входят:
· фамилия, имя, отчество;
· дата, место рождения, количество полных лет;
 · пол;
· фотографии;
· паспортные данные или данные иного документа, удостоверяющего личность;
 · адрес регистрации;
· адрес фактического места проживания;
· сведения о социальных льготах;
· контактная информация (адрес места жительства, контактный телефон, адрес электронной почты и др.);
· идентификационный номер налогоплательщика;
 · страховой номер индивидуального лицевого счета;
· сведения о состоянии здоровья в том числе результаты обследований.
 · в случае возникновения необходимости в предоставлении сведений относительно родителей и (или) законных представителей клиента, а также лиц, осуществляющих оплату за услуги Оператора, в перечень таких сведений включаются следующие данные: · фамилия, имя, отчество (для физического лица);
 · год и место рождения;
· паспортные данные;
· адрес регистрации (прописки) и адрес фактического места жительства;
· контактная информация (адрес места жительства, контактный телефон, адрес электронной почты и др.);
· идентификационный номер налогоплательщика;
· страховой номер индивидуального лицевого счета;
2.4. В состав персональных данных иных физических лиц, взаимодействующих с Оператором, входят:
 · фамилия, имя, отчество;
· дата, место рождения;
 · пол;
· паспортные данные или данные иного документа, удостоверяющего личность;
 · адрес регистрации;
· адрес фактического места проживания;
· контактные телефоны;
 · электронный адрес;
· идентификационный номер налогоплательщика;
· страховой номер индивидуального лицевого счета;
· иные данные, предоставленные по инициативе физического лица.
2.5. В состав персональных данных посетителей сайта  www.dentastom.pro  , входят:
 · имя
· номер телефона
· электронная почта а также иные статистические данные о действиях, совершенных на сайте
Также на сайте происходит сбор и обработка обезличенных данных о посетителях (в т.ч. файлов «cookie») с помощью сервисов интернет-статистики.
3. Основные принципы и цели обработки персональных данных.
При обработке персональных данных Оператор придерживается следующих принципов:
 3.1. обработка должна осуществляться на законной и справедливой основе.
 3.2. обработка должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка, несовместимая с целями сбора персональных данных.
3.3. не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
3.4. обработке подлежат только те персональные данные, которые отвечают целям обработки.
3.5. содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Не допускается обработка избыточных данных по отношению к заявленным целям обработки.
6.6. при обработке персональных данных должны быть обеспечены точность и достаточность персональных данных, а в необходимых случаях - актуальность по отношению к целям обработки. Оператор обеспечивает принятие необходимых мер по удалению или уточнению неполных, или неточных данных.
3.7. форма хранения персональных данных должна позволять определять принадлежность конкретных персональных данных конкретному Субъекту.
3.8. Оператор не осуществляет обработку персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных, философских и иных убеждений, интимной жизни, членства в общественных объединениях, в том числе в профессиональных союзах.
Цели обработки персональных данных:
3.2.1 реализации положений действующего законодательства о государственной социальной помощи, трудовым законодательством, законодательством о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях.
3.2.2. защиты жизни, здоровья или иных жизненно важных интересов сотрудника либо для защиты жизни, здоровья или иных жизненно важных интересов других лиц если получение согласия Субъекта невозможно.
3.2.3 установления или осуществления прав сотрудника или третьих лиц.
3.2.4.обеспечения реализации отношений в сфере охраны здоровья, ведения учетной статистической документации, используемой в медицинских организациях, в соответствии с Федеральным законом № 323-ФЗ от 21.11.2011 г. «Об основах охраны здоровья граждан в Российской Федерации», иными федеральными законами.
3.2.5. оказания медицинской (немедицинской) помощи потребителям.
3.2.6. защиты персональных данных работников от несанкционированного доступа и разглашения;
 3.2.7. осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы Субъекта.
3.2.8. реализации договорных отношений, с поставщиками товаров и услуг, налоговых отношений, бухгалтерского учета и аудита в соответствии с действующим законодательством РФ;
3.2.9. Обработка персональных данных в Медицинской организации осуществляется на законной и справедливой основе и ограничивается достижением конкретных, заранее определенных и законных целей. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки, избыточность обрабатываемых данных не допускается.
3.2.10.В случаях, установленных действующим законодательством, Оператор вправе осуществлять передачу персональных данных третьим лицам (федеральной налоговой службе, государственному пенсионному фонду и иным государственным органам).
3.2.11.Медицинская организация в рамках выполнения своей основной деятельности осуществляет обработку персональных данных следующих субъектов персональных данных: посетители сайта, потребители, заказчики, поставщики товаров и услуг, работники Медицинской организации, а также иные третьи лица, которые прямо или косвенно определены или определяемы с помощью персональных данных.
3.2.12.В целях исполнения требований действующего законодательства и своих договорных обязательств обработка персональных данных Оператором осуществляется как с использованием, так и без использования средств автоматизации
 3.3. Цель обработки персональных данных Посетителя сайта www.dentastom.pro :
- предоставление доступа Пользователю к сервисам, информации и/или материалам, содержащимся на веб-сайте www.dentastom.pro

3.4. Также Оператор имеет право направлять Посетителю сайта уведомления о новых продуктах и услугах, специальных предложениях и различных событиях. Посетитель сайта всегда может отказаться от получения информационных сообщений, направив Оператору письмо на адрес электронной почты dentastomgroup@gmail.com с пометкой «Отказ от уведомлений о новых продуктах и услугах и специальных предложениях».

3.5. Обезличенные данные, собираемые с помощью сервисов интернет-статистики, служат для сбора информации о действиях Посетителей на сайте, улучшения качества сайта и его содержания.

4. Порядок и условия сбора и обработки персональных данных
4.1. Медицинская организация при сборе персональных данных обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных с использованием баз данных, находящихся на территории РФ.
4.2. Обработка персональных данных осуществляется с согласия субъекта персональных данных, если иное не предусмотрено законодательством РФ.
4.3. К обработке персональных данных допускаются только те работники Медицинской организации, которые в силу своих должностных обязанностей осуществляют сбор, хранение и обработку персональных данных. Указанные работники имеют право получать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей и соблюдения требований Федерального закона № 152-ФЗ от 27.07.2006 г. «О персональных данных»; Федерального закона № 323-ФЗ от 21.11.2011 г. «Об основах охраны здоровья граждан в Российской Федерации»; Трудового Кодекса и иных нормативных актов РФ.
4.4. Медицинская организация не размещает персональные данные субъекта персональных данных в общедоступных источниках без его предварительного согласия.
4.5. Передача персональных данных третьим допускается с письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в иных случаях, установленных законодательством РФ.
4.6. При передаче персональных данных третьим лицам в соответствии с заключенными договорами Медицинская организация обеспечивает обязательное выполнение требований законодательства РФ и нормативных актов Медицинской организации в области персональных данных.
4.7. Передача персональных данных в уполномоченные органы исполнительной власти и организации (Министерство внутренних дел РФ; Министерство иностранных дел РФ; Федеральную налоговую службу; Пенсионный фонд РФ; Федеральный фонд обязательного медицинского страхования РФ и другие) осуществляется в соответствии с требованиями законодательства РФ.
4.8. Трансграничная передача персональных данных не осуществляется.
4.9. Медицинская организация вправе поручить обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю с согласия субъекта персональных данных на основании заключаемого договора. Юридическое лицо или индивидуальный предприниматель, осуществляющие обработку персональных данных по поручению Медицинской организации, обязаны соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством РФ в области персональных данных.
4.10. В случае, когда Медицинская организация на основании договора передает или поручает обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю, существенным условием договора должна быть обязанность обеспечения указанным лицом условий конфиденциальности и обеспечения безопасности персональных данных при их передаче или обработке.
4.11. Хранение персональных данных Медицинской организацией осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если срок хранения персональных данных не установлен федеральным законом, локальным нормативным актом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
4.12. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4.13. Сроки хранения персональных данных субъекта персональных данных в Медицинской организации определяются в соответствии с законодательством РФ и нормативными локальными Медицинской организации.
4.14. Работники Медицинской организации не имеют право отвечать на вопросы, связанные с передачей или разглашением персональных данных по телефону или факсу в связи с тем, что в таком случае нет возможности идентифицировать личность обращающегося человека.
5. Меры по обеспечению безопасности персональных данных при их обработке
5.1.Медицинская организация при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

5.1.2 Обеспечение безопасности персональных данных достигается, в том числе:

5.1.3. применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

5.2. оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.

5.3. учетом машинных носителей персональных данных;

5.4. обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
5.5. восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
5.6. установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
5.7. осуществлением внутреннего контроля и (или) аудита соответствия обработки персональных данных законодательству о персональных данных, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
5.8. оценкой вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства о персональных данных, соотношением указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством о персональных данных;
а так же иными мерами, предусмотренными законодательством.

6. средства обеспечения безопасности
 определены угрозы безопасности персональных данных при их обработке в информационных системах персональных данных, применяются модели актуальных угроз и выполняются меры по их нейтрализации, обеспечен учет машинных носителей персональных данных, осуществляется контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных, ограничен доступ посторонних лиц в помещения, предназначенные для обработки персональных данных

7. Права и обязанности при обработке персональных данных

7.1. При обработке персональных данных в медицинской организации соблюдаются права и обязанности, установленные действующим законодательством.
7.2. При обработке персональных данных соблюдаются следующие права субъекта персональных данных:
7.2.1. право субъекта персональных данных на доступ к его персональным данным;
7.2.2. права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации;
7.2.3. права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных;
7.2.4. право на обжалование действий или бездействия оператора;
а также иные права, установленные действующим законодательством.
7.3. При обработке персональных данных оператор соблюдает выполнение следующих обязанностей:
7.3.1. обязанности оператора при сборе персональных данных;
7.3.2. меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных»;
7.3.3. меры по обеспечению безопасности персональных данных при их обработке;
7.3.4. обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных;
7.3.5. обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных
а также иные обязанности, установленные действующим законодательством.

8. Заключительные положения

7.1. Политика вступает в законную силу с момента утверждения её руководителем организации и действует до утверждения новой.
7.2. Настоящая Политика доводится до сведения субъектов персональных данных, обработка персональных данных которых осуществляется Оператором.
7.3. Лица, виновные в нарушении требований законодательства в области персональных данных, несут предусмотренную законодательством Российской Федерации ответственность.