ПОЛИТИКА
Общества с ограниченной ответственностью Лаборатории «СанаТест»
в отношении обработки персональных данных
Настоящий документ разработан в соответствии с Федеральным законом «О персональных данных» № 152-ФЗ от 27 июля 2006 года и определяет политику ООО Лаборатории «СанаТест» (далее – Лаборатория, оператор) в отношении обработки персональных данных.
Лаборатория является оператором персональных данных, самостоятельно или совместно с другими лицами организующим и осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными, а также обеспечивает защиту прав и свобод субъектов при обработке их персональных данных и принимает меры для выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
1. Основные понятия.
1.1. Основные понятия, используемые в Политике:
– персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
– оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
– обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
– автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
– распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
– предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
– блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
– уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
– обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
– информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
– трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2. Категории субъектов, персональные данные которых обрабатываются в Лаборатории.
2.1. Лаборатория обрабатывает персональные данные следующих категорий субъектов персональных данных:
2.1.1. Работники Лаборатории (в рамках трудовых отношений).
2.1.2. Лица, обратившиеся в Лабораторию за получением медицинских услуг.
2.1.3. Граждане, обратившиеся в Лабораторию с обращениями (заявлениями, жалобами, предложениями) и претензиями.
3. Основания и цели обработки персональных данных.
3.1. Лаборатория осуществляет обработку персональных данных в соответствии с требованиями следующих нормативных правовых актов:
– Конституции Российской Федерации (принята всенародным голосованием 12 декабря 1993 года);
– Гражданского кодекса Российской Федерации от 30 ноября 1994 года № 51-ФЗ;
– Трудового кодекса Российской Федерации от 30 декабря 2001 года № 197-ФЗ;
– Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
– Федерального закона от 21 ноября 2011 года № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
– Федерального закона от 29 ноября 2010 года № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации».
3.2. Обработка персональных данных граждан (их законных представителей) необходима для осуществления Лабораторией деятельности в сфере охраны здоровья и осуществляется исключительно в целях:
– соблюдения законов и иные нормативных правовых актов;
– защиты законных прав и интересов граждан при оказании медицинской помощи;
– исполнения договорных обязательств при оказании медицинских услуг;
– соблюдения трудового законодательства;
– осуществления бухгалтерской и экономической деятельности.
4. Общие принципы обработки персональных данных.
4.1. Обработка персональных данных в Лаборатории осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом «О персональных данных», и учитывает необходимость обеспечения защиты прав и свобод субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личной и семейной тайны, а именно:
– законности заранее определенных конкретных целей и способов обработки персональных данных;
– соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
– соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
– достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
– обеспечения надлежащей защиты персональных данных;
– недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
– хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
– уничтожения по достижении целей обработки персональных данных, если срок хранения персональных данных не установлен законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
– обеспечения конфиденциальности обрабатываемых персональных данных.
4.2. Обработка персональных данных субъектов персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации.
4.3. К обработке персональных данных допускаются только те работники Лаборатории, доступ которых к персональным данным необходим для исполнения ими служебных (трудовых) обязанностей. Указанные работники имеют право получать только те персональные данные и в том объеме, которые необходимы им для выполнения своих служебных (трудовых) обязанностей.
4.4. Работники Лаборатории, допущенные к обработке персональных данных, информируются об условиях и правилах обработки персональных данных, режимах защиты информационных систем персональных данных, порядке хранения материальных носителей персональных данных.
5. Права и обязанности субъекта персональных данных и оператора.
5.1. Субъект персональных данных обязан:
– предоставить достоверные персональные данные, необходимые для исполнения договора, оказания услуги, идентификации субъекта персональных данных, а также в иных случаях, предусмотренных Федеральным законодательством Российской Федерации.
5.2. Субъект персональных данных имеет право:
– получать информацию, касающуюся обработки его персональных данных, в порядке, форме и сроки, установленные Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
– требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
– отозвать свое согласие на обработку персональных данных;
– обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных.
5.3. Оператор обязан:
– принимать необходимые меры для выполнения обязанностей оператора, предусмотренных законодательством Российской Федерации в сфере обработки и защиты персональных данных;
– разъяснять субъекту персональных данных юридические последствия отказа предоставить персональные данные, если это является обязательным в соответствии с законодательством Российской Федерации;
– осуществлять блокирование неправомерно обрабатываемых персональных данных;
– осуществлять прекращение обработки персональных данных в соответствии с законодательством Российской Федерации;
– уведомлять субъекта персональных данных об устранении допущенных нарушений или уничтожении его персональных данных;
– предоставлять по просьбе субъекта персональных данных или его представителя информацию, касающуюся обработки его персональных данных, в порядке, установленном законодательством Российской Федерации и нормативными правовыми актами.
– осуществлять хранение персональных данных на базах данных, находящихся на территории Российской Федерации.
5.4. Оператор имеет право:
– требовать от субъекта персональных данных предоставления достоверных персональных данных, необходимых для исполнения договора, оказания услуги, идентификации субъекта персональных данных, а также в иных случаях, предусмотренных законодательством Российской Федерации;
– обрабатывать персональные данные субъекта, предоставлять персональные данные субъекта третьим лицам без его согласия, если это предусмотрено законодательством Российской Федерации;
– поручать обработку персональных данных другим лицам с согласия субъекта персональных данных;
– отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством.
6. Обеспечение безопасности персональных данных.
6.1. Лаборатория принимает все необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного доступа к ним, обеспечения достаточного уровня их защиты, соблюдения конфиденциальности, целостности и доступности обрабатываемых персональных данных и сохранности материальных носителей сведений, содержащих персональные данные.
6.2. В целях обеспечения безопасности персональных данных Лабораторией выполняются следующие мероприятия:
– назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных, обеспечение безопасности персональных данных в информационных системах;
– определение и оценка угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
– принятие локальных нормативных актов по защите персональных данных;
– утверждение перечня работников, имеющих право доступа к персональным данным и их обработки;
– ознакомление работников с требованиями федерального законодательства и нормативных документов по обработке и защите персональных данных;
– использование средств защиты персональных данных от несанкционированного доступа к ним (системы разграничения прав доступа к информации, аутентификация пользователя и др.);
– установление парольной защиты при осуществлении доступа пользователей к информационной системе персональных данных;
– предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) с помощью установленного антивирусного пакета;
– соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним: хранение документов – носителей персональных данных в закрытых шкафах, сейфах, исключение визуального доступа к мониторам, установление охранной сигнализации;
– реализация разрешительной системы доступа пользователей к информационным ресурсам, программно-аппаратным средствам обработки и защиты информации;
– учет и хранение материальных носителей персональных данных в условиях, обеспечивающих их сохранность;
– обеспечение раздельного хранения материальных носителей персональных данных, на которых содержатся персональные данные разных категорий граждан или содержатся персональные данные, обработка которых осуществляется в разных целях;
– резервное копирование информации и обеспечение возможности восстановления персональных данных;
– оценку эффективности принимаемых мер по обеспечению безопасности персональных данных;
– обеспечение контроля за порядком обработки персональных данных и обеспечения их безопасности, поддержания установленного уровня защищенности информационных систем персональных данных.
7. Заключительные положения.
7.1. Настоящая Политика является общедоступной и размещается в открытом доступе с целью обеспечения возможности ознакомления с ней неограниченного количества лиц.
7.2. За нарушение законодательства о персональных данных лица, допустившие указанные нарушения, несут дисциплинарную, административную, уголовную и гражданско-правовую ответственность.