«УТВЕРЖДЕНО»

Приказом Генерального директора

ООО «СпецМедПроф» от 23.08.2024 № 5

(Приложение № 1)

__________

Оказание медицинских услуг предполагает обработку персональных данных клиентов в автоматизированных информационных системах ООО «СпецМедПроф» (далее - Общество).

В соответствии с действующим законодательством (федеральный закон от 27.06.2006 года №152-ФЗ «О персональных данных»), Общество выполнило комплекс технических и организационных мероприятий для обеспечения безопасности обрабатываемых персональных данных наших клиентов и сотрудников.

Общество является высокотехнологичной организацией, применяющей в своей работе передовые IT-технологии. Поэтому одна из приоритетных задач в работе Общества является соблюдение действующего законодательства Российской Федерации в области информационной безопасности, а также требований федерального закона от 27.06.2006 года №152-ФЗ «О персональных данных», основной целью которого является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1. Цель обработки персональных данных

Целями обработки, а также других действий с персональными данными являются обеспечение соблюдения законодательства РФ в сфере здравоохранения и ведение кадрового и бухгалтерского учёта.

2. Принципы обработки персональных данных

При обработке персональных данных Общество придерживается следующих принципов:

• соблюдение законности получения, обработки, хранения, а так же других действий с персональными данными;
• строгое выполнение требований по обеспечению безопасности персональных данных и сведений, составляющих врачебную тайну при их обработке и хранении;
• обработка персональных данных осуществляется с целью исполнения своих обязательств по договору;
• соблюдение прав субъекта персональных данных на доступ к его персональным данным.

3. Состав персональных данных

В состав обрабатываемых в Обществе персональных данных могут входить:

• фамилия, имя, отчество;
• год рождения;
• месяц рождения;
• дата рождения;
• место рождения;
• семейное положение;
• социальное положение;
• имущественное положение;
• доходы;
• пол;
• адрес электронной почты;
• адрес места жительства;
• адрес регистрации;
• номер телефона;
• СНИЛС;
• ИНН;
• гражданство;
• данные документа, удостоверяющего личность;
• данные водительского удостоверения;
• данные документа, удостоверяющего личность за пределами Российской Федерации;
• данные документа, содержащиеся в свидетельстве о рождении;
• реквизиты банковской карты;
• номер расчетного счета;
• номер лицевого счета;
• профессия;
• должность;
• сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации);
• отношение к воинской обязанности, сведения о воинском учете;
• иные персональные данные;
• сведения, собираемые посредством метрических программ;
• сведения об образовании;
• сведения о состоянии здоровья;
• национальная принадлежность;
• политические взгляды;
• религиозные или философские убеждения;
• сведения о судимости;
• данные изображения лица, полученные с помощью фото- видео устройств, позволяющие установить личность субъекта персональных данных;
• данные голоса человека;
• изображение папиллярных узоров пальцев рук;
• иные биометрические персональные данные.

4. Сбор (получение) персональных данных

Персональные данные клиентов и сотрудников Общество получает лично от субъекта персональных данных или от его законного представителя. Персональные данные клиента могут быть получены с его слов и не проверяются.

5. Обработка персональных данных

Обработка персональных данных клиентов и сотрудников в Обществе происходит как неавтоматизированным, так и автоматизированным способом.

К обработке персональных данных в Центре допускаются только сотрудники прошедшие определенную процедуру допуска, к которой относятся:

• ознакомление сотрудника с локальными нормативными актами Центра (положения, инструкции и т.д.), строго регламентирующими порядок и процедуру работы с персональными данными клиентов;
• получение сотрудником и использование в работе индивидуальных атрибутов доступа к информационным системам Общества, содержащим в себе персональные данные клиентов. При этом каждому сотруднику выдаются минимально необходимые для исполнения трудовых обязанностей права на доступ в информационные системы.

Сотрудники, имеющие доступ к персональным данным клиентов, получают только те персональные данные, которые необходимы им для выполнения конкретных трудовых функций.

6. Хранение персональных данных

Персональные данные клиентов и сотрудников хранятся в бумажном и электронном виде. В электронном виде персональные данные клиентов и сотрудников хранятся в информационных системах персональных данных Общества, а так же в архивных копиях баз данных этих систем.

При хранении персональных данных клиентов и сотрудников соблюдаются организационные и технические меры, обеспечивающие их сохранность и исключающие несанкционированный доступ к ним. К ним относятся:

• назначение ответственного за организацию обработки персональных данных;
• ограничение физического доступа к местам хранения и носителям;
• учет всех информационных систем и электронных носителей, а так же архивных копий.

7. Передача персональных данных третьим лицам

Передача персональных данных третьим лицам возможна в исключительных случаях только с согласия клиента или сотрудника и только с целью выполнения обязательств перед клиентом или сотрудником, кроме случаев, когда такие обязательства наступают в результате требований федерального законодательства или при поступлении запроса от уполномоченных государственных органов. В данном случае Общество ограничивает передачу персональных данных запрошенным объемом. При этом субъекту персональных данных направляется уведомление о факте передачи его персональных данных третьей стороне, если такое возможно.

Персональные данные клиента (в том числе результаты исследований) могут быть предоставлены родственникам или членам его семьи только с разрешения самого клиента, за исключением случаев, когда передача персональных данных без его согласия допускается действующим законодательством РФ. В качестве такого разрешения может быть принята нотариально заверенная доверенность.

8. Меры по обеспечению безопасности персональных данных при их обработке

Обеспечение безопасности персональных данных в Обществе достигается следующими мерами:

• ознакомлением работников Общества с требованиями законодательства Российской Федерации о персональных данных и защите информации;
• назначением ответственного за организацию и проведение работ по защите персональных данных;
• определением списка лиц, допущенных к работе с персональными данными;
разработкой и утверждением локальных нормативных актов Общества, регламентирующих порядок обработки персональных данных;
• разработкой для администраторов информационных систем рабочих инструкций;
• реализацией технических мер, снижающих вероятность угроз безопасности персональных данных;
• проведением периодических проверок состояния защищенности информационных систем компании;
• непрерывным совершенствованием методов и способов обеспечения безопасности персональных данных.

9. Права субъектов персональных данных

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

• подтверждение факта обработки персональных данных;
• правовые основания и цели обработки персональных данных;
• цели и применяемые способы обработки персональных данных;
• сведения о лицах (за исключением сотрудников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора или на основании требований действующего законодательства РФ;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных своих прав.