ПОЛИТИКА обработки персональных данных
УТВЕРЖДЕНО: Директором АНО по оказанию медицинской и реабилитационной помощи «Служба милосердия КИЯ» Беркович Л.С. от 14.01.2025г. №14/01
1.2. Настоящая Политика является локальным нормативным актом Организации и разработана в соответствии со следующими нормативными правовыми актами РФ:
- Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Федеральным законом от 21.07.2014г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской федерации в части уточнения порядка обработки персональных данных в информационно телекоммуникационных сетях»;
- Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
- Постановлениями Правительства от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Приказом ФСТЭК от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
1.3. Настоящая Политика раскрывает принципы, порядок и условия обработки персональных данных физических лиц при обращении за медицинской и реабилитационной помощью в Организацию.
1.4. Организация имеет право вносить изменения в настоящую Политику.При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.
1.5. Действующая редакция хранится в месте нахождения Учреждения по адресу: г. Челябинск, проспект Победы, 290Б, электронная версия Политики — на сайтах: kiya-med.ru, цм-кия.рф.
1.6. Персональные данные обрабатывают с использованием средств автоматизации или без них.
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
Оператор персональных данных (оператор) - учреждение, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Субъект персональных данных - физическое лицо, данные которого обрабатываются;
Конфиденциальность персональных данных - обязательное для оператора и иных лиц, получивших доступ к персональным данным, требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
- пациенты;
- законные представители.
3.2. Персональные данные пациентов и законных представителей, которые подлежат обработке:
- фамилия, имя, отчество;
– пол;
– возраст;
– дата и место рождения;
– адреса места жительства и регистрации;
– серия и номер основного документа, удостоверяющего личность, сведения о выдаче указанного документа и выдавшем его орган;
– гражданство;
– информация о состоянии здоровья;
– контактный телефон;
- другая информация.
Данные сведения являются конфиденциальными. Конфиденциальность персональных данных снимается в случаях обезличивания или по истечении срока хранения, если иное не определено законом.
3.3. Список персональных данных, которые обрабатывает оператор на сайтах Организации - kiya-med.ru, цм-кия.рф: ФИО, возраст, диагноз, номер телефона.
– выполнения требований действующего законодательства;
- осуществление уставных задач Организации;
– исполнение договора на оказание медицинских и реабилитационных услуг, стороной которого является пациент.
4.2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
4.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
4.5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.6. Сроки обработки персональных данных напрямую зависят от сроков хранения гражданско-правовых договоров и медицинской документации и составляют:
– для персональных данных, полученных в связи с заключением договора на оказание медицинских и реабилитационных услуг – 5 лет;
– для персональных данных специальных категорий (данные о здоровье) – 25 лет (в архиве).
– законности и справедливости целей и способов обработки;
– ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
– недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
– недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
– обработки только тех персональных данных, которые отвечают целям их обработки;
– соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;
– недопущения обработки избыточных персональных данных по отношению к заявленным целям их обработки;
– уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей.
5.2. Организация обрабатывает персональные данные только при наличии хотя бы одного из следующих условий:
– обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
– обработка персональных данных необходима для достижения целей, предусмотренных законом (подп. 4 п. 2 ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ);
– обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных;
– производится обработка персональных данных, доступ неограниченного круга лиц, к которым предоставлен субъектом персональных данных либо по его просьбе (общедоступные данные);
– обрабатываются персональные данные, подлежащие опубликованию или обязательному раскрытию в соответствии с федеральным законом;
– обработка персональных данных производится в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.
5.3. Организация и иные лица, получившие доступ к персональным данным в силу трудовых обязанностей, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
6.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами.
6.3. Субъект персональных данных вправе требовать уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.4. Запрещается принимать на основании исключительно автоматизированной обработки персональных данных решения, порождающие юридические последствия в отношении субъекта персональных данных или иным образом затрагивающие его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, или при наличии согласия в письменной форме субъекта персональных данных.
6.5. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
6.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
7.2. Предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
7.3. Использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством.
8.2. Основной задачей обеспечения безопасности персональных данных при их обработке в Организации является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения персональных данных, разрушения (уничтожения) или искажения их в процессе обработки.
8.3. Меры по обеспечению безопасности персональных данных включают в себя, в частности:
– назначение ответственного за организацию обработки персональных данных;
– издание локальных правовых актов, регулирующих права и обязанности оператора персональных данных, описывающих систему мер по защите персональных данных, определяющих доступ к информационным системам персональных данных;
– определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
– применение методов (способов) защиты информации;
– оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
– учет машинных носителей персональных данных;
– обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
– восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
– установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
– контроль принимаемых мер по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
8.4. В Организации не производится обработка персональных данных, несовместимая с целями их сбора. Если иное не предусмотрено федеральным законом, по окончании обработки персональных данных.
8.5. Организации, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, обрабатывавшиеся Организацией персональные данные уничтожаются или обезличиваются.
9.2. Контроль исполнения требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных.
1. Общие положения
1.1. Настоящая Политика определяет порядок обработки персональных данных, в том числе данных пользователей веб-сайта, и меры по обеспечению безопасности персональных данных в АНО по оказанию медицинской и реабилитационной помощи «Служба милосердия КИЯ» (далее — Организация) с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, гарантируемых Конституцией.1.2. Настоящая Политика является локальным нормативным актом Организации и разработана в соответствии со следующими нормативными правовыми актами РФ:
- Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Федеральным законом от 21.07.2014г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской федерации в части уточнения порядка обработки персональных данных в информационно телекоммуникационных сетях»;
- Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
- Постановлениями Правительства от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Приказом ФСТЭК от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
1.3. Настоящая Политика раскрывает принципы, порядок и условия обработки персональных данных физических лиц при обращении за медицинской и реабилитационной помощью в Организацию.
1.4. Организация имеет право вносить изменения в настоящую Политику.При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.
1.5. Действующая редакция хранится в месте нахождения Учреждения по адресу: г. Челябинск, проспект Победы, 290Б, электронная версия Политики — на сайтах: kiya-med.ru, цм-кия.рф.
1.6. Персональные данные обрабатывают с использованием средств автоматизации или без них.
2. Термины и определения, используемые в Политике
2.1. Для целей настоящей Политики в тексте применяются следующие термины и определения:Персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
Оператор персональных данных (оператор) - учреждение, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Субъект персональных данных - физическое лицо, данные которого обрабатываются;
Конфиденциальность персональных данных - обязательное для оператора и иных лиц, получивших доступ к персональным данным, требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
3. Объём и категории обрабатываемых персональных данных
3.1. АНО «Служба милосердия КИЯ» обрабатывает персональные данные субъектов следующих категорий:- пациенты;
- законные представители.
3.2. Персональные данные пациентов и законных представителей, которые подлежат обработке:
- фамилия, имя, отчество;
– пол;
– возраст;
– дата и место рождения;
– адреса места жительства и регистрации;
– серия и номер основного документа, удостоверяющего личность, сведения о выдаче указанного документа и выдавшем его орган;
– гражданство;
– информация о состоянии здоровья;
– контактный телефон;
- другая информация.
Данные сведения являются конфиденциальными. Конфиденциальность персональных данных снимается в случаях обезличивания или по истечении срока хранения, если иное не определено законом.
3.3. Список персональных данных, которые обрабатывает оператор на сайтах Организации - kiya-med.ru, цм-кия.рф: ФИО, возраст, диагноз, номер телефона.
3.4. Перечень формируемых документов при обращении пациента в Организацию предусматривается Гражданским кодексом, Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», приказом МЗ РФ от 14.09.2020 № 972н «Об утверждении порядка выдачи медицинскими организациями справок и медицинских заключений».
4. Цели и сроки обработки персональных данных
4.1. Оператор обрабатывает персональные данные в целях:– выполнения требований действующего законодательства;
- осуществление уставных задач Организации;
– исполнение договора на оказание медицинских и реабилитационных услуг, стороной которого является пациент.
4.2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
4.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
4.5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.6. Сроки обработки персональных данных напрямую зависят от сроков хранения гражданско-правовых договоров и медицинской документации и составляют:
– для персональных данных, полученных в связи с заключением договора на оказание медицинских и реабилитационных услуг – 5 лет;
– для персональных данных специальных категорий (данные о здоровье) – 25 лет (в архиве).
5. Принципы и условия обработки персональных данных
5.1. Обработка персональных данных в Организации производится на основе следующих принципов:– законности и справедливости целей и способов обработки;
– ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
– недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
– недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
– обработки только тех персональных данных, которые отвечают целям их обработки;
– соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;
– недопущения обработки избыточных персональных данных по отношению к заявленным целям их обработки;
– уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей.
5.2. Организация обрабатывает персональные данные только при наличии хотя бы одного из следующих условий:
– обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
– обработка персональных данных необходима для достижения целей, предусмотренных законом (подп. 4 п. 2 ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ);
– обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных;
– производится обработка персональных данных, доступ неограниченного круга лиц, к которым предоставлен субъектом персональных данных либо по его просьбе (общедоступные данные);
– обрабатываются персональные данные, подлежащие опубликованию или обязательному раскрытию в соответствии с федеральным законом;
– обработка персональных данных производится в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.
5.3. Организация и иные лица, получившие доступ к персональным данным в силу трудовых обязанностей, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
6. Права субъекта персональных данных
6.1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе без принуждения или введения в заблуждение с чьей-либо стороны.6.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами.
6.3. Субъект персональных данных вправе требовать уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.4. Запрещается принимать на основании исключительно автоматизированной обработки персональных данных решения, порождающие юридические последствия в отношении субъекта персональных данных или иным образом затрагивающие его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, или при наличии согласия в письменной форме субъекта персональных данных.
6.5. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
6.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
7. Права и обязанности Оператора
7.1. Отстаивать свои интересы в суде;7.2. Предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
7.3. Использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством.
8. Обеспечение безопасности персональных данных
8.1. Безопасность персональных данных, обрабатываемых Организацией, обеспечивается реализацией правовых, организационных, технических и программных мер, необходимых и достаточных для обеспечения требований федерального законодательства в области защиты персональных данных.8.2. Основной задачей обеспечения безопасности персональных данных при их обработке в Организации является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения персональных данных, разрушения (уничтожения) или искажения их в процессе обработки.
8.3. Меры по обеспечению безопасности персональных данных включают в себя, в частности:
– назначение ответственного за организацию обработки персональных данных;
– издание локальных правовых актов, регулирующих права и обязанности оператора персональных данных, описывающих систему мер по защите персональных данных, определяющих доступ к информационным системам персональных данных;
– определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
– применение методов (способов) защиты информации;
– оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
– учет машинных носителей персональных данных;
– обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
– восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
– установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
– контроль принимаемых мер по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
8.4. В Организации не производится обработка персональных данных, несовместимая с целями их сбора. Если иное не предусмотрено федеральным законом, по окончании обработки персональных данных.
8.5. Организации, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, обрабатывавшиеся Организацией персональные данные уничтожаются или обезличиваются.
9. Заключительные положения
9.1. Настоящая Политика является локальным правовым актом, общедоступна и подлежит размещению на официальном сайте Организации.9.2. Контроль исполнения требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных.