Политика обработки персональных данных
Настоящая политика обработки персональных данных (далее - Политика) действует в отношении всей информации, которую медицинская организация (далее Оператор), информация о которой представлена на официальном сайте, может получить о Субъекте во время заполнения Форм для консультации.

1. НАЗНАЧЕНИЕ ПОЛИТИКИ
Настоящая Политика предназначена для определения концептуальных основ деятельности Оператора по обеспечению защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

2. ОБЛАСТЬ ПРИМЕНЕНИЯ
3.1. Настоящая Политика распространяется на деятельность всех подразделений Оператора, участвующих в обработке персональных данных.
3.2. Настоящая Политика в соответствии с требованиями п. 2 ст. 18.1 Федерального закона «О персональных данных» подлежит опубликованию на официальном сайте mrt-nagatinskaya.ru.

3. СРОК ДЕЙСТВИЯ
4.1 Настоящая Политика вводится в действие без ограничения срока действия.
4.2. Настоящая Политика может пересматриваться и заново утверждаться по мере внесения изменений:
· в нормативные правовые акты в сфере персональных данных;
· в локальные акты Оператора, регламентирующие организацию обработки и обеспечение безопасности персональных данных.

4. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
Персональные данные − любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных − любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, представление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных − обработка персональных данных с помощью средств вычислительной техники.
Представление персональных данных − действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Уничтожение персональных данных − действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных, и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных − действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных − совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Трансграничная передача персональных данных − передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Оператор – организация, обрабатывающая персональные данные.

5. НОРМАТИВНЫЕ ССЫЛКИ
5.1. Настоящая Политика разработана в соответствии с положениями следующих нормативных правовых актов:
· Кодекс Российской Федерации об административных правонарушениях
от 30.12.2001 № 195-ФЗ;
· Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
· Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
· Федеральный закон от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»;
· Федеральный закон от 03.04.1995 № 40-ФЗ «О Федеральной службе безопасности»;
· Федеральный закон от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности»;
· Вопросы Федеральной службы по техническому и экспортному контролю (утв. Указом Президента Российской Федерации от 16.08.2004 № 1085);
· Положение о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (утв. Постановлением Правительства Российской Федерации от 16.03.2009 № 228);
· Требования к защите персональных данных при их обработке в информационных системах персональных данных (утв. Постановлением Правительства Российской Федерации от 01.11.2012 № 1119);
· Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. Постановлением Правительства Российской Федерации от 15.09.2008 № 687);
· Административный регламент Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по исполнению государственной функции «Ведение реестра операторов, осуществляющих обработку персональных данных» (утв. приказом Министерства связи и массовых коммуникаций Российской Федерации от 21.12.2011 № 346);
· Административный регламент исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (утв. приказом Министерства связи и массовых коммуникаций Российской Федерации от 14.11.2011 № 312);
· Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утв. приказом Федеральной службы по техническому и экспортному контролю Российской Федерации от 18.02.2013 № 21);
· Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности (утв. приказом Федеральной службы безопасности Российской Федерации от 10.07.2014 № 378).
5.2. Во исполнение настоящей Политики у Оператора утверждены Положение о порядке организации и проведения работ по защите персональных данных, Положение о защите персональных данных работника Оператора, Положение о защите персональных данных соискателей, пациентов и иных субъектов персональных данных и иные локальные акты в сфере обработки и защиты персональных данных.

6. ОПИСАНИЕ ПОЛИТИКИ
6.1. Принципы, цели, содержание и способы обработки персональных данных
6.1.1. Оператор в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
6.1.2. Обработка персональных данных Оператором включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Оператором осуществляется обработка персональных данных с использованием средств автоматизации и без использования средств автоматизации.
6.1.3. Оператор осуществляет сбор и дальнейшую обработку персональных данных следующих категорий субъектов персональных данных:
· действительные клиенты Оператора;
· потенциальные клиенты Оператора;
· члены семей и иные родственники действительных и потенциальных клиентов Оператора;
· представители (в силу закона и по доверенности) действительных и потенциальных клиентов Оператора;
· сотрудники и представители сторонних медицинских организаций;
· сотрудники и представители действующих контрагентов Оператора (юридических лиц), включая страховые и ассистансные компании;
· лица, являющиеся соискателями на замещение вакантных должностей Опреатора;
· действующие и потенциальные контрагенты Оператора (физические лица);
· сотрудники и представители действующих и потенциальных контрагентов Оператора (юридических лиц);
· посетители частных и публичных мероприятий, организованных Оператором;
· сотрудники (представители, контактные лица) Оператора;
· сотрудники Оператора, являющиеся гражданами иностранных государств;
· члены семей сотрудников Оператора;
· получатели алиментов от сотрудников Оператора;
· сотрудники юридических лиц и физические лица, представляющие интересы Оператора;
· лица, участвующие в гражданском, арбитражном, уголовном, административном процессах и исполнительном производстве (участниками которых являются Оператор);
· посетители помещений, зданий и территории Оператора.
6.1.4. Оператор осуществляет сбор и дальнейшую обработку персональных данных в следующих целях:
· организация и осуществление комплекса мероприятий, направленных на поддержание и (или) восстановление здоровья и включающих в себя предоставление медицинских услуг, в том числе профилактику, диагностику и лечение заболеваний, медицинскую реабилитацию;
· осуществление дистанционного взаимодействия Оператора с клиентами и иными заинтересованными лицами в рамках сервисно-информационного обслуживания путем использования телефонной связи, служб мгновенных сообщений, IP-телефонии, электронной почты;
· осуществление дистанционного взаимодействия Оператора с клиентами и иными заинтересованными лицами посредством сайтов партнерских медицинских организаций;
· организация и проведение мероприятий, направленных на повышение узнаваемости и лояльности в отношении Оператора, а также продвижение услуг Оператора;
· проведение тендеров, ведение договорной работы, не связанной с основной деятельностью Оператора, в рамках возникновения, изменения и прекращения правоотношений между Оператором и третьими лицами, а также оформление доверенностей на представление интересов Оператора;
· участие Оператора в гражданском, арбитражном, уголовном, административном процессах и исполнение судебных актов;
· замещение вакантных должностей Оператора соискателями, наиболее полно соответствующими требованиям Оператора;
· оказание помощи сотрудникам Оператора, являющимся гражданами иностранных государств, в получении разрешений на работу и оформлении рабочих въездных виз в РФ;
· выполнение Оператором требований трудового законодательства, законодательства по учету труда и его оплаты;
· сохранение жизни и здоровья сотрудников Оператора в процессе трудовой деятельности и выявление нарушений состояния здоровья и медицинских противопоказаний к работе у сотрудников Оператора (включая освидетельствование на наличие медицинских противопоказаний к управлению транспортным средством), а также выполнение требований действующего законодательства по расследованию и учету несчастных случаев, происшедших с сотрудниками Оператора;
· реализация Оператором как работодателя обязанностей, предусмотренных Трудовым кодексом Российской Федерации, по выплате сотрудникам причитающейся заработной платы, компенсаций и премий, по осуществлению пенсионных и налоговых отчислений, а также расчет с контрагентами и клиентами;
· организация обучения, повышения квалификации и проверки знаний для сотрудников Оператора, осуществление оценки деловых, личностных качеств сотрудников Оператора и результатов их труда, а также осуществление оценки удовлетворенности сотрудников Оператора своим трудом;
· оформление командировочных документов для сотрудников Оператора, а также бронирования и приобретения гостиничных мест и транспортных билетов в интересах сотрудников Оператора, направляемых в командировки;
· облегчение коммуникаций между сотрудниками Оператора посредством ведения справочника контактных данных сотрудников Оператора;
· обеспечение личной безопасности сотрудников Оператора, иных лиц, посещающих объекты недвижимости (помещения, здания, территорию) Оператора, а также обеспечение сохранности материальных и иных ценностей, находящихся в ведении Оператора;
· выделение/подключение вычислительных средств, создание новых Пользователей в информационных системах Оператора, предоставления доступа к ресурсам информационных систем Оператора, а также решения проблем, возникающих у Пользователя в процессе работы с компьютерами (аппаратным и программным обеспечением) и оргтехникой;
· учёт информации об использовании услуг корпоративной стационарной и мобильной связи сотрудниками Оператора;
· проведение независимой проверки бухгалтерской (финансовой) отчетности Оператором в целях выражения мнения о достоверности такой отчетности;
· организация и осуществление Оператором внутреннего контроля качества медицинской помощи и внутренних производственных процессов.
6.1.5. Оператором установлены следующие условия прекращения обработки персональных данных:
· достижение целей обработки персональных данных и максимальных сроков хранения;
· утрата необходимости в достижении целей обработки персональных данных;
· представление субъектом персональных данных или его законным представителем документально подтвержденных сведений о том, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
· невозможность обеспечения правомерности обработки персональных данных;
· отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных;
· истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных.
6.1.6. Оператором осуществляется обработка биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) с письменного согласия субъектов персональных данных (сотрудников и пациентов).
6.1.7. Оператором осуществляется обработка специальных категорий персональных данных о состоянии здоровья в соответствии с требованиями законодательства, а также с письменного согласия субъектов персональных данных (сотрудников и клиентов).
6.1.8. Персональные данные, разрешённые к обработке в рамках настоящей Политики, предоставляются Субъектом путём заполнения Форм для консультации и включают в себя следующую информацию:
  • фамилию, имя, отчество Субъекта;
  • контактный телефон Субъекта;
  • адрес электронной почты (e-mail);
  • место, откуда Субъект обращается на диагностику.
6.1.8. Оператор осуществляет трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных в иностранные страховые компании с письменного согласия субъектов персональных данных (пациентов).
6.1.9. Оператором не принимаются решения, порождающие юридические последствия в отношении субъектов персональных данных или иным образом затрагивающие их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.
6.1.10. Оператор осуществляет уведомление уполномоченного органа по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.

6.2. Меры по надлежащей организации обработки и обеспечению безопасности персональных данных
6.2.1. Обеспечение безопасности персональных данных Оператором достигается, в частности, следующими способами:
· назначением ответственного лица за организацию обработки персональных данных, права и обязанности которого определяются локальными актами Оператора;
· осуществлением внутреннего контроля и/или аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, требованиями к защите персональных данных, локальными актами Оператора;
· ознакомлением сотрудников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных и/или обучением указанных сотрудников;
· определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
· применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
· оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
· учетом машинных (материальных) носителей персональных данных;
· выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер;
· восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
· установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
· контролем над соблюдением требований в сфере обеспечения безопасности персональных данных и к уровням защищенности информационных систем персональных данных.
6.2.2. Обязанности сотрудников Оператора, непосредственно осуществляющих обработку персональных данных, а также их ответственность определяются в локальных актах Оператора.

6.3. Права субъектов персональных данных
6.3.1. Субъект персональных данных имеет право на получение сведений
об обработке его персональных данных Оператора.
6.3.2. Субъект персональных данных вправе требовать уточнения этих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.3.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
6.3.4. Для реализации и защиты своих прав и законных интересов субъект персональных данных имеет право обратиться к Оператору. Оператор рассматривает обращения и запросы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций.
6.3.5. Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
6.3.6. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных в случаях, не противоречащих федеральным законам.
6.3.7. Субъект может отозвать согласие на обработку персональных данных, предоставив письменное заявление в организацию, осуществляющую сбор персональных данных или иным другим способом, предусмотренным российским законодательством.
6.3.8. В случае отзыва субъектом персональных данных или его представителем согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона №152-ФЗ "О персональных данных" от 27.07.2006 г.

7. ОТВЕТСТВЕННОСТЬ
7.1. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут дисциплинарную, материальную, гражданско-правовую, административную и уголовную ответственность в порядке, установленном федеральными законами, локальными актами Оператора и договорами, регламентирующими правоотношения с третьими лицами.