Политика обработки и защиты персональных данных

  1. Определения и сокращения, используемые в Политике

1.1.Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному лицу или определяемому физическому лицу (субъекту персональных данных).

1.2. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств информатизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.3.Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

1.4. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

1.5. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

1.6. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

1.7. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных к конкретному субъекту персональных данных.

1.8. Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

1.9. Информация – сведения (сообщения, данные) независимо от формы их представления.

  1. Общие положения

2.1. Настоящий документ определяет политику Оператора ООО «Медицинский центр Медэксперт Л.Д.» (далее – Оператор) в отношении обработки и защиты персональных данных.

2.2. Политика обработки и защиты персональных данных Оператора (далее – Политика) определяет:

— правовые основы и основания обработки ПДн;

— принципы и цели обработки ПДн;

— перечни субъектов ПДн и обрабатываемых ПДн;

— операции, совершаемые с ПДн, и сроки их обработки;

— права и обязанности субъектов и работников Оператора при обработке ПДн;

— меры, принимаемые Оператором для защиты ПДн;

— контроль и надзор за обработкой ПДн.

2.3 Настоящая Политика разработана в соответствии с п. 2 ст. 18.1 Федерального закона «О персональных данных» №152-ФЗ от 27 июля 2006 года и с учетом требований Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в области персональных данных.

2.4. Целью настоящей Политики является определение порядка обработки персональных данных граждан; обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным граждан, за невыполнение требований и норм, регулирующих обработку и защиту персональных данных.

2.5. Политика действует в отношении всех персональных данных, обрабатываемых Оператором, полученных как до, так и после подписания настоящей Политики.

2.6. Действие настоящей Политики распространяется на персональные данные, обрабатываемые с применением средств автоматизации и без применения таких средств.

2.7. Действие настоящей Политики распространяется на все процессы, в рамках которых осуществляется обработка персональных данных субъектов ПДн всех категорий, а также на должностных лиц, принимающих участие в указанных процессах.

2.8. Основные положения документа могут быть распространены также на подразделения других организаций и учреждений, осуществляющие взаимодействие с Оператором в качестве поставщиков и потребителей (пользователей) информации.

  1. Правовые основы и основания обработки персональных данных

3.1. Правовыми основаниями обработки Оператором персональных данных являются:

— Конституция Российской Федерации;

— Трудовой кодекс Российской Федерации;

— Гражданский кодекс Российской Федерации;

— Федеральный закон от 21 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;

— Устав Оператора;

— Договор между оператором и субъектом ПДн;

— Согласие субъекта ПДн на обработку персональных данных.

  1. Персональные данные, обрабатываемые Оператором

4.1. Оператором обрабатываются ПДн следующих категорий субъектов:

— Работники.

— Близкие родственники работников.

— Уволенные работники.

— Кандидаты на вакантную должность.

— Пациенты.

— Законные представители пациентов.

— Контрагенты.

4.2. Перечень ПДн работников, близких родственников работников, уволенных работников, кандидатов на вакантную должность:

— фамилия, имя, отчество;

— дата рождения и место рождения;

— паспортные данные (серия, номер, когда и кем выдан);

— адрес постоянной регистрации и проживания;

— гражданство;

— пол;

— фотография;

— адрес электронной почты;

— номер контактного телефона;

— семейное положение;

— сведения из свидетельства о постановке на налоговый учет (ИНН);

— сведения из свидетельства о государственном пенсионном страховании (СНИЛС);

— сведения об образовании, о повышении квалификации, о профессиональной переподготовке;

— отношение к воинской обязанности;

— сведения о начислениях по заработной плате;

— должность;

— данные о трудовом стаже, включая предыдущие места работы;

— данные о налоговых вычетах;

— номер банковского лицевого счета, наименование банка;

— состав семьи: степень родства, ФИО, дата рождения, данные документов, удостоверяющих личность ребенка;

— сведения о состоянии здоровья.

4.3. Перечень ПДн пациентов, законных представителей пациентов:

— фамилия, имя, отчество;

— дата рождения;

— паспортные данные (серия, номер, когда и кем выдан);

— сведения из свидетельства о государственном пенсионном страховании (СНИЛС);

— сведения из полиса ОМС (ДМС);

— место работы;

— пол;

— адрес регистрации и проживания;

— номер контактного телефона;

— адрес электронной почты;

— сведения о состоянии здоровья;

— диагноз;

— результаты анализов.

4.4. Перечень ПДн контрагентов:

— фамилия, имя, отчество;

— сведения из Свидетельства о государственной регистрации физического лица в

— качестве индивидуального предпринимателя;

— адрес регистрации;

— номер контактного телефона;

— адрес электронной почты.

  1. Операции, совершаемые с персональными данными.

Сроки обработки персональных данных

5.1. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

5.2. Обработка ПДн осуществляется с момента их получения Оператором и прекращается:

— по достижению целей обработки ПДн;

— в связи с отсутствием необходимости в достижении заранее заявленных целей обработки ПДн;

— в связи с отзывом согласия на обработку ПДн;

— в связи с ликвидацией Оператора как юридического лица.

Срок обработки ПДн работников – в течение срока действия трудового договора и 75 лет после его окончания, если не установлен иной срок архивного хранения в соответствии с действующим законодательством.

Срок обработки ПДн близких родственников работника – в течение срока действия трудового договора работника и 75 лет после его окончания, если не установлен иной срок архивного хранения в соответствии с действующим законодательством.

Срок обработки ПДн уволенных работников –30 дней после его окончания трудового договора, если не установлен иной срок архивного хранения в соответствии с действующим законодательством.

Срок обработки ПДн кандидатов на вакантную должность – 1 год после преставления информации, если не установлен иной срок архивного хранения в соответствии с действующим законодательством.

Срок обработки ПДн пациентов – в течение срока действия договора и 25 лет после его окончания, если не установлен иной срок архивного хранения в соответствии с действующим законодательством.

Срок обработки ПДн законных представителей пациентов– в течение срока действия договора и 25 лет после его окончания, если не установлен иной срок архивного хранения в соответствии с действующим законодательством.

Срок обработки ПДн контрагентов– в течение срока действия договора и 3 года после его окончания, если не установлен иной срок архивного хранения в соответствии с действующим законодательством.

  1. Цели и принципы обработки ПДн

6.1. Целями обработки ПДн Оператором являются:

— обеспечение соблюдения законов и иных правовых актов, содействие работникам в трудоустройстве, получения образования и продвижения по службе, обеспечение личной безопасности работников, контроля количества и качества выполняемой работы и обеспечение сохранности имущества;

— оказание медицинских услуг;

— оказание услуг, предусмотренных договором между Оператором и контрагентом.

6.2. Обработка ПДн осуществляется на основе следующих принципов:

— обработка ПДн осуществляется на законной основе;

— обработка ПДн ограничивается достижением конкретных, заранее определенных целей;

— не допускается обработка ПДн, несовместимая с целями сбора ПДн;

— не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;

— обработке подлежат только ПДн, которые отвечают целям их обработки;

— содержание и объем обрабатываемых ПДн соответствует заявленным целям обработки;

— при обработке ПДн обеспечиваются их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн.

  1. Права и обязанности субъекта персональных данных

7.1. В соответствии с п.3 ст. 14 Федерального закона «О персональных данных» субъект ПДн имеет право на получение информации, касающейся обработки его ПДн.

7.2. Информация, касающаяся обработки ПДн субъекта, предоставляемая субъекту, не должна содержать ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, когда имеются законные основания для раскрытия таких данных.

7.3. Субъект ПДн вправе требовать от Оператора, уточнения этих ПДн, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

7.4. Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами.

7.5. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с субъектом ПДн (потенциальным потребителем) с помощью средств связи допускается только при условии предварительного согласия субъекта ПДн.

Оператор обязан немедленно прекратить по требованию субъекта ПДн обработку его персональных данных в вышеуказанных целях.

7.6. Если субъект ПДн считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие Оператора в Уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

7.7.Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда.

  1. Конфиденциальность персональных данных

8.1. Оператор и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.

  1. Получение и передача персональных данных третьим лицам

9.1. Оператор в ходе своей деятельности имеет право получать от третьих лиц и передавать третьим лицам обрабатываемые ПДн в интересах и с согласия субъектов ПДн, а также без согласия субъекта ПДн — в случаях, предусмотренных федеральным законодательством.

10.Общедоступные источники персональных данных

10.1.В целях информационного обеспечения Оператором могут создаваться общедоступные источники персональных данных субъектов ПДн – работников Оператора, в том числе справочники и адресные книги. В общедоступные источники персональных данных с письменного согласия субъекта ПДн могут включаться персональные данные работников.

10.2. Сведения о субъекте ПДн должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта ПДн, уполномоченного органа по защите прав субъектов персональных данных либо по решению суда.

  1. Поручение обработки персональных данных другому лицу

11.1. Оператор вправе поручить обработку ПДн другому лицу на основании заключаемого с ним договора, только с согласия субъекта ПДн, если иное не предусмотрено федеральным законом. Лицо, осуществляющее обработку ПДн по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных» и настоящей Политикой.

  1. Права и обязанности лиц, уполномоченных на обработку персональных данных

12.1. Лица, уполномоченные на обработку ПДн обязаны:

— знать и выполнять требования законодательства в области обеспечения защиты ПДн;

— хранить в тайне известные им ПДн, информировать о фактах нарушения порядка обращения с ПДн, о попытках несанкционированного доступа к ним;

— соблюдать правила использования ПДн, порядок их учета и хранения, исключить доступ к ним посторонних лиц;

— обрабатывать только те ПДн, к которым получен доступ в силу исполнения служебных обязанностей.

12.2. При обработке ПДн запрещается:

— использовать сведения, содержащие ПДн, в неслужебных целях, а также в служебных целях – при ведении переговоров по телефонной сети, в открытой переписке, статьях и выступлениях;

— передавать ПДн по незащищенным каналам связи (телетайп, факсимильная связь, электронная почта) без использования сертифицированных средств криптографической защиты информации.

12.3. Лица, уполномоченные на обработку ПДн, имеют право:

— предоставлять ПДн третьим лицам при наличии согласия на это субъекта ПДн, а также в других случаях, предусмотренных действующим законодательством;

— мотивированно отказать субъекту ПДн (его представителю) в удовлетворении запроса о предоставлении информации, касающейся обработки ПДн субъекта, при наличии оснований, предусмотренных законодательством РФ.

  1. Меры, принимаемые для защиты персональных данных

13.1. Оператор при обработке ПДн принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении их.

13.2. Обеспечение безопасности ПДн достигается, в частности, следующими способами:

— назначение ответственного за организацию обработки ПДн.

— осуществление внутреннего контроля и аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам.

— ознакомление лиц, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе с требованиями к защите ПДн, локальными актами в отношении обработки ПДн.

— определение угроз безопасности ПДн при их обработке в ИСПДн.

— применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн.

— ведение учета машинных носителей ПДн.

— выявление фактов несанкционированного доступа к ПДн и принятием соответствующих мер.

— восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

— установление правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в ИСПДн.

— контроль принимаемых мер по обеспечению безопасности ПДн и уровнем защищенности ИСПДн.

— применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.

  1. Контроль и надзор обработки персональных данных

14.1. Обязанности должностных лиц, осуществляющих контроль обработки и защиту ПДн, а также их ответственность, определяются в Инструкции ответственного за организацию обработки ПДн, в Инструкции администратора информационной безопасности в информационных системах персональных данных.

14.2. Ответственный за организацию обработки ПДн и администратор информационной безопасности в информационных системах персональных данных назначаются приказом руководителя Оператора из числа лиц, допущенных к обработке ПДн.

14.3. Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора соответствия обработки персональных данных требованиям Федерального закона от
27.07.2006 г. №152-ФЗ «О персональных данных», является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

14.4. Уполномоченный орган по защите прав субъектов ПДн рассматривает обращения субъекта ПДн о соответствии содержания ПДн и способов их обработки целям их обработки и принимает соответствующее решение.

14.5.Управление Роскомнадзора по Калининградской области:

Адрес: 236022, г. Калининград, ул. Коммунальная, дом 4

Телефон для справок: (4012) 99-40-23

Факс: (4012) 99-40-24

E-mail: rsockanc39@rkn.gov.ru

Сайт: http://39.rkn.gov.ru/ /

14.6. Лица, уполномоченные на обработку ПДн, виновные в нарушении требований законодательства в области защиты ПДн, в том числе допустившие разглашение ПДн, несут персональную гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством ответственность.

  1. Информация об Операторе

Наименование Оператора: ООО «ТРИШ-клиник, г. Калининград.».

Юридический адрес: 236022  г. Калининград, пр-кт Мира, 84

  1. Заключительные положения

16.1. Настоящая Политика утверждена приказом руководителя Оператора.

16.2. Настоящая Политика обязательна для ознакомления и соблюдения всеми лицами, осуществляющими обработку ПДн.

16.3. Срок действия Политики – не ограничен.

16.4. Во исполнение части 2 статьи 18.1. Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» настоящая Политика опубликована на сайте Оператора.

16.5. Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в наименовании Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее утверждения руководителем Оператора, если иное не предусмотрено новой редакцией Политики.

16.6. Иные локальные нормативные акты Оператора, регламентирующие порядок защиты и обработки ПДн, должны издаваться в соответствии с настоящей Политикой и законодательством в области персональных данных.

16.7. Контроль соблюдения Политики осуществляется руководителем Оператора.


Контакты

236022, г. Калининград, проспект Мира, дом 84

До Центра Медицины и Эстетики "ТРИШ-клиник, г. Калининград" можно доехать на троллейбусе № 6, маршрутном такси №79, 61, 92, 82, 81, 63, 89, 74, 83, 72, автобусе № 5K (по вc.), 32, 5, 14, 24, 38, 48, 35, 3, 9, 18, 12. Выйти на остановке «Центральный парк культуры и отдыха».
Часы работы:
Пн-Пт — c 10:00 по 20:00
Сб — с 10:00 по 16:00

Оставьте заявку

Закрыть
Узнать подробности про комплексные программы вы сможете оставив заявку в форме ниже:

Оставьте заявку

Закрыть
ПОЛОЖЕНИЕ об обработке и защите персональных данных работников и пациентов ООО «ТРИШ-клиник» I. Общие положения 1.1. Настоящим Положением определяется порядок получения, обработки, хранения, передачи и любого другого использования персональных данных субъектов, персональных данных учреждения здравоохранения (работников и пациентов), а также ведения их личных дел, медицинских карт. 1.2. Цель настоящего Положения – обеспечение в соответствии с законодательством Российской Федерации обработки, хранения и защиты персональных данных сотрудников, пациентов, а также персональных данных, содержащихся в документах, полученных из других организаций, в обращениях граждан и иных субъектов персональных данных. 1.3. Настоящее Положение разработано в соответствии с Конституцией РФ, Трудовым кодексом РФ, Федеральным законом от 27.07.06г. № 152-ФЗ «О персональных данных» (в ред. от 27.07.2010г. № 204-ФЗ), Федеральным законом от 27.07.06г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 29.07.04г. №98-ФЗ «О коммерческой тайне», Федеральным законом от 22.10.04г. № 125-ФЗ «Об архивном деле в Российской Федерации», указанием Федерального агентства по образованию от 22. 10. 09г. №17-187 «Об обеспечении защиты персональных данных», Федеральным законом РФ от 22.07.1993г. № 5487-1 «Основы законодательствава Российской Федерации об охране здоровья граждан (в ред. от 28.09.2010г. № 243-ФЗ)». 1.4. В настоящем Положении используются следующие термины и определения: Оператор персональных данных (далее оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В рамках настоящего положения оператором является ООО «ТРИШ-клиник» ; Субъект персональных данных – далее субъект. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий; Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе: фамилию, имя, отчество, пол, дату рождения, адрес проживания, контактный телефон, реквизиты полиса ОМС (ДМС), страховой номер индивидуального лицевого счета в Пенсионном фонде России (СНИЛС), данные о состоянии моего здоровья, о заболеваниях, о случаях обращения за медицинской помощью; Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; Защита персональных данных – деятельность уполномоченных лиц по обеспечению с помощью локального регулирования порядка обработки персональных данных и обеспечение организационно-технических мер защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения; Конфиденциальная информация – это информация (в документированном или электронном виде), доступ к которой ограничивается в соответствии с законодательством РФ; Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц; Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц; Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных); Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных; Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных; Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств; Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. II. Сбор и обработка персональных данных субъектов персональных данных 2.1. Информационные системы классифицируются государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее – оператор), в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства. Сбор и обработка персональных данных осуществляется исключительно с письменного согласия субъекта. Образцы форм заявления о согласии на обработку персональных данных и отказа от нее, утверждаются соответствующими нормативными документами клиники. Персональные данные субъекта ПД относятся к конфиденциальной информации. Требования при обработке персональных данных работника установлены ст. 86 Трудового кодекса РФ и не подлежат изменению и исключению. 2.2. В целях обеспечения прав и свобод человека и гражданина оператор и его представители при обработке персональных данных субъекта ПД обязаны соблюдать следующие общие требования: 2.2.1. Обработка персональных данных субъекта может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности, количества и качества выполняемой работы, обследования, наблюдения и лечения пациентов и обеспечения сохранности имущества оператора, работника (пациента) и третьих лиц. 2.2.2. Обработка персональных данных может осуществляться для статистических или иных научных целей при условии обязательного обезличивания персональных данных. 2.2.3. При определении объема и содержания обрабатываемых персональных данных оператор должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом РФ и иными федеральными законами. 2.2.4. Информация о персональных данных субъекта предоставляется оператору субъектом устно, либо путем заполнения личных карточек формы Т-2 для работников (медицинских карт для пациентов), которые хранятся в личном деле в отделе кадров (регистратуре/архиве). Если персональные данные субъекта возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом и от него должно быть получено письменное согласие (либо письменный отказ). В письменном уведомлении оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных (например, оформление запроса в медицинское учреждение о прохождении обследования и лечения и т.п.) и последствиях отказа субъекта дать письменное согласие на их получение. 2.2.5. Оператор не имеет права получать и обрабатывать персональные данные субъекта, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации, оператор вправе получать и обрабатывать данные о частной жизни субъекта только с его письменного согласия. 2.2.6. Оператор не имеет права получать и обрабатывать персональные данные субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами. 2.2.7. При принятии решений, затрагивающих интересы субъекта, оператор не имеет права основываться на персональных данных субъекта, полученных исключительно в результате их автоматизированной обработки или электронного получения. 2.3. При поступлении на работу работник представляет сотрудникам отдела кадров следующие документы, содержащие персональные данные о себе: - паспорт или иной документ, удостоверяющий личность; - трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства; - страховое свидетельство государственного пенсионного страхования; - свидетельство о регистрации индивидуального налогового номера (ИНН); - документы воинского учета - для военнообязанных и лиц, подлежащих призыву на военную службу; - документ об образовании, о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки; 2.4. При приеме к врачу пациент представляет следующие документы, содержащие персональные данные о себе: - паспорт или иной документ, удостоверяющий личность, гражданство; - полис ОМС; - страховой номер индивидуального лицевого счета в Пенсионном фонде России (СНИЛС); - в отдельных случаях с учетом специфики обследования в медицинском учреждении действующим законодательством РФ может предусматриваться необходимость предъявления дополнительных документов. 2.5. Запрещается требовать от лица, поступающего на работу (или прием), документы помимо предусмотренных Трудовым кодексом РФ, иными федеральными законами, указами Президента Российской Федерации, постановлениями Правительства Российской Федерации и настоящего положения. 2.6. При заключении трудового договора и в ходе трудовой деятельности может возникнуть необходимость в предоставлении служащим документов: - о возрасте детей; - об инвалидности; - о донорстве; - о составе семьи; - о необходимости ухода за больным членом семьи; - прочие. 2.7. После того, как будет принято решение о приеме работника на работу, а также впоследствии в процессе трудовой деятельности, к документам, содержащим персональные данные субъекта, также будут относиться: - трудовой договор; - приказ о приеме на работу; - приказы о поощрениях и взысканиях; - медицинский осмотр сотрудника при приеме на работу (флюрограмма грудной клетки, анализ крови на RW, ВИЧ, гепатиты); - приказы, связанные с прохождением учебы сотрудников; - карточка унифицированной формы Т-2, утвержденная постановлением Госкомстата России от 05.01.04 №1; - другие документы согласно законодательству Российской Федерации 2.8. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, электронные базы). В общедоступные источники персональных данных могут включаться фамилия, имя, отчество, должность, подразделение, служебные телефоны и адрес электронной почты, субъекта ПД с его письменного соглсия. 2.9. К числу массовых потребителей персональных данных вне учреждения относятся государственные и негосударственные функциональные структуры: налоговые инспекции; правоохранительные органы; органы статистики; страховые агентства; военкоматы; органы социального страхования; пенсионные фонды; подразделения федеральных, областных и муниципальных органов управления. Надзорно - контрольные органы имеют доступ к информации только в сфере своей компетенции.   III. Хранение и защита персональных данных субъектов персональных данных   3.1. Персональные данные субъектов хранятся на бумажных носителях в помещении отдела кадров (регистратуре). Для этого используются специально оборудованные шкафы и сейфы. Личные дела уволенных (прошедших обследование, лечение) субъектов хранятся в архиве медицинского учреждения. 3.2. Сведения о начислении и выплате заработной платы работникам клиники хранятся на бумажных носителях согласно приказа о хранении материальных носителей ПДн. По истечении сроков хранения, установленных законодательством РФ, данные сведения передаются в архив 3.3. Конкретные обязанности по ведению, хранению личных дел субъектов, заполнению, хранению и выдаче трудовых книжек, иных документов, отражающих персональные данные субъектов, возлагается на работников медицинского учреждения в соответствии с ихдолжностыми обязанностями. 3.4. Персональные данные субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном HYPERLINK "http://base.garant.ru/12137300.htm" \l "0" \o "Федеральный закон от 22 октября 2004 г. N 125-ФЗ \"Об архивном деле в..."архивным законодательством Российской Федерации. 3.5. Сведения о субъектах ПДн медицинского учреждения хранятся также на электронных носителях – в базах данных сервиса записи клиентов и ведения базы данных клиентов на сайте www.yclients.com, «1С: Предприятие. Бухгалтерия». 3.6. При получении сведений, составляющих персональные данные субъектов заинтересованные лица имеют право получать только те персональные данные, которые необходимы для выполнения конкретных функций и заданий. 3.7. Защита информации о персональных данных. 3.7.1. Сотрудники ООО «ТРИШ-клиник», имеющие доступ к персональным данным, обязаны принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, модифицирования, блокирования, копирования, распространения, а также от иных неправомерных действий в отношении данной информации. 3.7.3. Сотрудники ООО «ТРИШ-клиник», имеющие доступ к персональным данным, при пользовании доступом в сеть Интернет обязаны принимать максимальные меры по обеспечению безопасности: - установить и использовать антивирусное ПО (с обновлением баз вирусов); - установить и использовать брэндмауэр; - устанавливать обновление для операционной системы. 3.7.4. Защита персональных данных работников и пациентов в Учреждении возлагается на: Генерального директора (персональные данные работников в том числе ведение трудовых книжек, личных карточек формы Т-2, личных дел, ведение документации по учету труда и его оплате); Главный врач (персональные данные работников, персональные данные пациентов, в том числе касающиеся состояния здоровья) Администратор (персональные данные пациентов за исключением касающихся состояния здоровья) Врачи клиники (персональные данные пациентов в том числе касающиеся состояния здоровья). 3.7.5. Сотрудники ООО «ТРИШ-клиник» при обработке персональных данных обязаны руководствоваться настоящим положением, должностной инструкцией, и другими локальными нормативными документами клиники регламентирующими обработку и защиту персональных данных. 3.7.6. За нарушение правил обработки персональных данных установленных нормативными документами клиники сотрудники клиники несут дисциплинарную ответственность. Сотрудники клиники так же несут другие виды ответственности за нарушение законодательства в области защиты и обработки персональных данных. IV. Передача персональных данных субъектов ПД   4.1. При передаче персональных данных субъектов сотрудники ООО «ТРИШ-клиник», имеющие доступ к персональным данным, должны соблюдать следующие требования: 4.1.1. Не сообщать персональные данные субъекта третьей стороне без письменного согласия работника субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в других случаях, предусмотренных Трудовым кодексом РФ или иными федеральными законами. Учитывая, что Трудовой кодекс РФ не определяет критерии ситуаций, представляющих угрозу жизни или здоровью субъекта, оператор в каждом конкретном случае делает самостоятельную оценку серьезности, неминуемости, степени такой угрозы. Если же лицо, обратившееся с запросом, не уполномочено федеральным законом на получение персональных данных субъекта, либо отсутствует письменное согласие субъекта на предоставление его персональных сведений, либо, по мнению оператора, отсутствует угроза жизни или здоровью субъекта, оператор обязан отказать в предоставлении персональных данных лицу. 4.1.2. Не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия. 4.1.3. Предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. 4.1.4. Разрешать доступ к персональным данным субъектов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные субъектов, которые необходимы для выполнения конкретных функций. 4.1.5. Все сведения о передаче персональных данных субъекта регистрируются в Журнале учета передачи персональных данных в целях контроля правомерности использования данной информации лицами, ее получившими. В журнале фиксируются сведения о лице, направившим запрос, дата передачи персональных данных или дата уведомления об отказе в их предоставлении, а также отмечается какая именно информация была передана. Форма журнала учета передачи персональных данных представлена в приложении № 2 к настоящему Положению. 4.1.6. Передавать персональные данные работника представителю работника в порядке, установленном Трудовым кодексом РФ и настоящим Положением, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанным представителем его функций. 4.2. Требования п.4.1. Положения не подлежат изменению, исключению, так как являются обязательными для сторон трудовых отношений на основании ст. 88 ТК РФ.   V. Обязанности субъекта и оператора ПД  5.1. В целях обеспечения достоверности персональных данных субъект обязан: 5.1.1. При приеме на работу (к врачу) предоставить оператору полные достоверные данные о себе. 5.1.2. В случае изменения сведений, составляющих персональные данные, работник незамедлительно должен предоставить данную информацию в отдел кадров учреждения здравоохранения. 5.2. Оператор обязан: 5.2.1. Осуществлять защиту персональных данных субъектов. 5.2.2. Обеспечить хранение первичной учетной документации по учету труда и его оплаты, к которой в частности, относятся документы по учету кадров, документы по учету использования рабочего времени и расчетов с работниками по оплате труда, медицинская документация и др. При этом персональные данные не должны храниться дольше, чем это оправдано выполнением задач, для которых они собирались, или дольше, чем это требуется в интересах лиц, о которых собраны данные. 5.2.3. Заполнение документации, содержащей персональные данные работника, осуществлять в соответствии с унифицированными формами первичной учетной документации по учету труда и его оплаты, утвержденными постановлением Госкомстата России от 05.01.04 №1. 5.2.4. По письменному заявлению субъекта не позднее трех рабочих дней со дня подачи этого заявления выдать копии документов, связанных с работой и учебой (копии приказа о приеме на работу, приказов о переводах, приказа об увольнении с работы); выписки из трудовой книжки; справки о заработной плате, о начисленных и фактически уплаченных страховых взносах на обязательное пенсионное страхование, о периоде работы у данного оператора и другие. Копии документов, связанных с работой или учебой, должны быть заверены надлежащим образом и предоставляться субъекту безвозмездно. 5.2.5. Субъекты или их законные представители должны быть ознакомлены под расписку с документами оператора, устанавливающими порядок обработки персональных данных субъектов, а также их права и обязанности в этой области. 5.2.6. Все сотрудники, имеющие доступ к персональным данным субъектов, обязаны подписать соглашение о неразглашении персональных данных. Форма соглашения о неразглашении персональных данных представлена в приложении № 1 настоящего положения. VI. Права субъектов в целях защиты персональных данных   6.1. В целях обеспечения защиты персональных данных, хранящихся у оператора, субъекты имеют право на: 6.1.1. Полную и безвозмездную информацию об их персональных данных и обработке этих данных. 6.1.2. Свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные субъекта, за исключением случаев, предусмотренных федеральным законом. 6.1.3. Определение своих представителей для защиты своих персональных данных. 6.1.4. Требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса РФ или иного федерального закона. При отказе оператора исключить или исправить персональные данные субъекта он имеет право заявить в письменной форме оператору о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера субъект имеет право дополнить заявлением, выражающим его собственную точку зрения. 6.1.5. Требование об извещении оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них исключениях, исправлениях или дополнениях. 6.1.6. Обжалование в суд любых неправомерных действий или бездействия оператора при обработке и защите его персональных данных.   VII. Ответственность за нарушение норм, регулирующих получение, обработку и защиту персональных данных субъекта 7.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, привлекаются к ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.    VIII. Заключительные положения 8.1. Настоящее Положение вступает в силу с момента его введения в действие приказом Генерального Директора ООО «ТРИШ-клиник». 8.2. Настоящее Положение доводится до сведения всех работников и субъектов ПД. 8.3. До работников, допущенных к обработке персональных данных, настоящее Положение доводится под роспись. Приложение № 1 Утверждено приказом Генерального директора ООО «ТРИШ-клиник» № _______________ от «___» ____________ 2017 СОГЛАШЕНИЕ о неразглашении персональных данных субъекта Я, _________________________________, паспорт серии ________, номер _______________, выданный ___________________________________________________________________________ "___"___________ ____ года, понимаю, что получаю доступ к персональным данным работников и/или пациентов ООО «ТРИШ-клиник». Я также понимаю, что во время исполнения своих обязанностей, мне приходится заниматься сбором, обработкой и хранением персональных данных. Я понимаю, что разглашение такого рода информации может нанести ущерб субъектам персональных данных, как прямой, так и косвенный. В связи с этим, даю обязательство, при работе (сбор, обработка и хранение) с персональными данными соблюдать все описанные в "Положении об обработке и защите персональных данных работников и пациентов ООО «ТРИШ-клиник» требования. Я подтверждаю, что не имею права разглашать сведения: - биографические данные; - сведения об образовании; - сведения о трудовом и общем стаже; - сведения о составе семьи; - паспортные данные; - сведения о воинском учете; - сведения о заработной плате сотрудника; - сведения о социальных льготах; - специальность; - занимаемая должность; - наличие судимостей; - адрес места жительства; - домашний телефон; - содержание трудового договора; - содержание декларации, подаваемой в налоговую инспекцию; - подлинники и копии приказов по личному составу; - личные дела и трудовые книжки сотрудников; - основания к приказам по личному составу; - дела, содержащие материалы по повышению квалификации и переподготовке, их аттестации; - копии отчетов, направляемые в органы статистики; - прочие сведения сотрудников, - сведения о состоянии здоровья пациентов, - прочие сведения пациентов. Я предупрежден(а) о том, что в случае разглашения мной сведений, касающихся персональных данных или их утраты я несу ответственность в соответствии со HYPERLINK "http://base.garant.ru/12125268.htm" \l "90" \o "Трудовой кодекс Российской Федерации от 30 декабря 2001 г. N 197-ФЗ ..."ст. 90 Трудового кодекса Российской Федерации и HYPERLINK "http://bezopasnik.org/article/33.htm" \o "Выдержки из Уголовного Кодекса Российской Федерации"ст. 183 Уголовного кодекса РФ.   "___"__________ 200__ г. _____________________ (подпись) Приложение № 2 Утверждено приказом Генерального директора ООО «ТРИШ-клиник» № _______________ от «___» ____________ 2017 Журнал учета передачи персональных данных № п/пСведения о запрашивающем лицеСостав запрашиваемых персональных данныхЦель получения персональных данныхОтметка о передаче или отказе в передаче персональных данныхДата передачи/отказа в передаче персональных данныхПодпись запрашивающего лицаПодпись ответственного сотрудника