ПОЛИТИКА обработки персональных данных

УТВЕРЖДЕНО: Директором АНО по оказанию медицинской и реабилитационной помощи «Служба милосердия КИЯ» Беркович Л.С. от 14.01.2025г. №14/01

1. Общие положения

1.1. Настоящая Политика определяет порядок обработки персональных данных, в том числе данных пользователей веб-сайта, и меры по обеспечению безопасности персональных данных в АНО по оказанию медицинской и реабилитационной помощи «Служба милосердия КИЯ» (далее — Организация) с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, гарантируемых Конституцией.
1.2. Настоящая Политика является локальным нормативным актом Организации и разработана в соответствии со следующими нормативными правовыми актами РФ:
- Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Федеральным законом от 21.07.2014г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской федерации в части уточнения порядка обработки персональных данных в информационно телекоммуникационных сетях»;
- Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
- Постановлениями Правительства от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Приказом ФСТЭК от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
1.3. Настоящая Политика раскрывает принципы, порядок и условия обработки персональных данных физических лиц при обращении за медицинской и реабилитационной помощью в Организацию.
1.4. Организация имеет право вносить изменения в настоящую Политику.При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.
1.5. Действующая редакция хранится в месте нахождения Учреждения по адресу: г. Челябинск, проспект Победы, 290Б, электронная версия Политики — на сайтах: kiya-med.ru, цм-кия.рф.
1.6. Персональные данные обрабатывают с использованием средств автоматизации или без них.

2. Термины и определения, используемые в Политике

2.1. Для целей настоящей Политики в тексте применяются следующие термины и определения:
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
Оператор персональных данных (оператор) - учреждение, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Субъект персональных данных - физическое лицо, данные которого обрабатываются;
Конфиденциальность персональных данных - обязательное для оператора и иных лиц, получивших доступ к персональным данным, требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

3. Объём и категории обрабатываемых персональных данных

3.1. АНО «Служба милосердия КИЯ» обрабатывает персональные данные субъектов следующих категорий:
- пациенты;
- законные представители.
3.2. Персональные данные пациентов и законных представителей, которые подлежат обработке:
- фамилия, имя, отчество;
– пол;
– возраст;
– дата и место рождения;
– адреса места жительства и регистрации;
– серия и номер основного документа, удостоверяющего личность, сведения о выдаче указанного документа и выдавшем его орган;
– гражданство;
– информация о состоянии здоровья;
– контактный телефон;
- другая информация.
Данные сведения являются конфиденциальными. Конфиденциальность персональных данных снимается в случаях обезличивания или по истечении срока хранения, если иное не определено законом.
3.3. Список персональных данных, которые обрабатывает оператор на сайтах Организации - kiya-med.ru, цм-кия.рф: ФИО, возраст, диагноз, номер телефона.

3.4. Перечень формируемых документов при обращении пациента в Организацию предусматривается Гражданским кодексом, Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», приказом МЗ РФ от 14.09.2020 № 972н «Об утверждении порядка выдачи медицинскими организациями справок и медицинских заключений».

4. Цели и сроки обработки персональных данных

4.1. Оператор обрабатывает персональные данные в целях:
– выполнения требований действующего законодательства;
- осуществление уставных задач Организации;
– исполнение договора на оказание медицинских и реабилитационных услуг, стороной которого является пациент.
4.2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
4.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
4.5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.6. Сроки обработки персональных данных напрямую зависят от сроков хранения гражданско-правовых договоров и медицинской документации и составляют:
– для персональных данных, полученных в связи с заключением договора на оказание медицинских и реабилитационных услуг – 5 лет;
 – для персональных данных специальных категорий (данные о здоровье) – 25 лет (в архиве).

5. Принципы и условия обработки персональных данных

5.1. Обработка персональных данных в Организации производится на основе следующих принципов:
– законности и справедливости целей и способов обработки;
– ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
– недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
– недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
– обработки только тех персональных данных, которые отвечают целям их обработки;
– соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;
– недопущения обработки избыточных персональных данных по отношению к заявленным целям их обработки;
– уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей.
5.2. Организация обрабатывает персональные данные только при наличии хотя бы одного из следующих условий:
– обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
– обработка персональных данных необходима для достижения целей, предусмотренных законом (подп. 4 п. 2 ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ);
– обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных;
– производится обработка персональных данных, доступ неограниченного круга лиц, к которым предоставлен субъектом персональных данных либо по его просьбе (общедоступные данные);
– обрабатываются персональные данные, подлежащие опубликованию или обязательному раскрытию в соответствии с федеральным законом;
– обработка персональных данных производится в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.
5.3. Организация и иные лица, получившие доступ к персональным данным в силу трудовых обязанностей, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

6. Права субъекта персональных данных

6.1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе без принуждения или введения в заблуждение с чьей-либо стороны.
6.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами.
6.3. Субъект персональных данных вправе требовать уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.4. Запрещается принимать на основании исключительно автоматизированной обработки персональных данных решения, порождающие юридические последствия в отношении субъекта персональных данных или иным образом затрагивающие его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, или при наличии согласия в письменной форме субъекта персональных данных.
6.5. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
6.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

7. Права и обязанности Оператора

7.1. Отстаивать свои интересы в суде;
7.2. Предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
7.3. Использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством.

8. Обеспечение безопасности персональных данных

8.1. Безопасность персональных данных, обрабатываемых Организацией, обеспечивается реализацией правовых, организационных, технических и программных мер, необходимых и достаточных для обеспечения требований федерального законодательства в области защиты персональных данных.
8.2. Основной задачей обеспечения безопасности персональных данных при их обработке в Организации является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения персональных данных, разрушения (уничтожения) или искажения их в процессе обработки.
8.3. Меры по обеспечению безопасности персональных данных включают в себя, в частности:
– назначение ответственного за организацию обработки персональных данных;
– издание локальных правовых актов, регулирующих права и обязанности оператора персональных данных, описывающих систему мер по защите персональных данных, определяющих доступ к информационным системам персональных данных;
– определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
– применение методов (способов) защиты информации;
– оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
– учет машинных носителей персональных данных;
– обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
– восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
– установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
– контроль принимаемых мер по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
8.4. В Организации не производится обработка персональных данных, несовместимая с целями их сбора. Если иное не предусмотрено федеральным законом, по окончании обработки персональных данных.
8.5. Организации, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, обрабатывавшиеся Организацией персональные данные уничтожаются или обезличиваются.

9. Заключительные положения

9.1. Настоящая Политика является локальным правовым актом, общедоступна и подлежит размещению на официальном сайте Организации.
9.2. Контроль исполнения требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных.