Общество с ограниченной ответственностью «Клиника эстетической гинекологии» _____________________________________________________________________________________________________________________ 620014, г. Екатеринбург, ул. Радищева, д. 31 Тел.: +7-343-385-72-88, +7-900-197-10-71 |
УТВЕРЖДЕНО |
Директором ООО «Клиника эстетической гинекологии» А.В. Возовик |
Приказ от 15 сентября 2015 г. №22 |
Положение о защите персональных данных,
обрабатываемых в ООО «Клиника эстетической гинекологии»
Настоящее Положение устанавливает порядок приема, обработки, систематизации, хранения, использования, распространения, уничтожения и учета информации, содержащей сведения, отнесенные к персональным данным, обрабатываемым ООО «Клиника эстетической гинекологии» (далее Учреждение) без использования средств автоматизации.
1. Общие положения
1.1. Под персональными данными, обрабатываемыми в Учреждении, понимается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу или его родственникам, а также сведения о фактах, событиях и обстоятельствах жизни субъекта персональных данных, позволяющие идентифицировать его личность и личность его родственников. Под персональными данными сотрудника Учреждения понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Под персональными данными граждан, обращающихся в Учреждение с письменными заявлениями, понимается информация, предоставляемая гражданами по требованию Учреждения с согласия физического лица в целях трудоустройства или в иных случаях, предусмотренных Инструкцией по делопроизводству Учреждения.
1.2. Под Оператором понимается юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
1.3. К персональным данным, обрабатываемым в Учреждении, относятся сведения и документы, составляющие Перечень персональных данных, утверждаемый Директором (Приложение 1).
2. Формирование и учет персональных данных
2.1. Получение, хранение, комбинирование, передача или любое другое использование персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативно-правовых актов, установления медицинского диагноза и оказания медицинских услуг, во исполнение обязательств Учреждения, связанных с основным видом деятельности, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников и пациентов, контроля количества и качества выполняемой работы (предоставляемых услуг) и обеспечения сохранности имущества.
2.2. Учреждение получает персональные данные из следующих документов:
- паспорт или иной документ, удостоверяющий личность;
- полис ОМС (ДМС);
- медицинская учетная документация;
- трудовая книжка;
- страховое свидетельство государственного пенсионного страхования (СНИЛС);
- документы воинского учета;
- документы об образовании, квалификации или наличии специальных знаний и навыков;
- анкета (резюме), заполняемая работником при приеме на работу;
- иные документы и сведения, предоставляемые работником при приеме на работу и в процессе работы.
2.3. Условием обработки персональных данных является его согласие. Физическое лицо принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением следующих случаев:
1. обработка персональных данных осуществляется на основании федерального закона, устанавливающего его цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющие полномочия Оператора;
2. обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных производится лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну;
3. обработка персональных данных осуществляется в целях исполнения трудового договора (дополнительного соглашения к нему), а также договоров, заключаемых и исполняемых в интересах работника и с его согласия;
4. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение его согласия при данных обстоятельствах невозможно;
5. обработка персональных данных осуществляется для статистических или научных целей при условии обязательного обезличивания персональных данных;
6. осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами.
2.4. Если персональные данные возможно получить только у третьей стороны, то работник уведомляется об этом заранее и от него должно быть получено письменное согласие. При этом Учреждение обязано сообщить о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.
2.5. Письменное согласие работника ООО «Клиника эстетической гинекологии» (Приложение 2) на обработку его персональных данных должно включать в себя:
1. ФИО, адрес работника, номер, дату выдачи, выдавший орган основного документа, удостоверяющего его личность;
2. наименование и адрес работодателя;
3. цель обработки персональных данных;
4. перечень персональных данных, на обработку которых дается согласие работника;
5. перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки;
6. срок, в течение которого действует согласие, и порядок его отзыва.
2.6. Письменное согласие пациента ООО «Клиника эстетической гинекологии» (Приложение 3) на обработку его персональных данных должно включать в себя:
1. ФИО, адрес, номер, дату выдачи, выдавший орган основного документа, удостоверяющего его личность, реквизиты полиса ОМС (ДМС);
2. наименование и адрес Учреждения;
3. цель обработки персональных данных;
4. перечень персональных данных, на обработку которых дается согласие пациент;
5. перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых способов обработки;
6. срок, в течение которого действует согласие, и порядок его отзыва.
2.7. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных.
2.8. Перечень должностных лиц, имеющих доступ к персональным данным и ответственных за соблюдение конфиденциальности информации, утверждается Директором (Приложение 4). Указанные должностные лица в письменной форме дают Обязательство о неразглашении персональных данных (Приложение 5).
2.9. При обработке персональных данных Учреждение вправе определять способы обработки, документирования, хранения и защиты персональных данных на базе современных информационных технологий.
3. Хранение персональных данных и обеспечение безопасности
3.1. Сведения, содержащие персональные данные, хранятся на бумажных носителях. Порядок и условия хранения персональных данных на бумажных носителях регулируются законодательством РФ.
3.2 Учреждение обеспечивает ограничение доступа к персональным данным лицам, не уполномоченным законом либо Учреждением для получения соответствующих сведений.
3.3. Доступ к персональным данным работников без получения специального разрешения имеют Директор и главный бухгалтер.
3.4. Ограниченный доступ к персональным данным работников в пределах своей трудовой функции имеют лица, назначаемые приказом Директора (например, лица, ответственные за ведение табеля учета рабочего времени).
3.5. Должностное лицо/работник, ответственное за обеспечение безопасности персональных данных и (или) эксплуатацию средств защиты информации, назначается приказом Директора. Обязанности в части обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных определяются должностной инструкцией сотрудников.
4. Обязанности Учреждения при передаче персональных данных работника
4.1. При передаче персональных данных Учреждение обязуется соблюдать следующие требования:
1. Не сообщать персональные данные третьей стороне без письменного
согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством (по запросам суда, прокуратуры, правоохранительных органов).согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством (по запросам суда, прокуратуры, правоохранительных органов).
2. Не сообщать персональные данные в коммерческих целях без письменного согласия субъекта персональных данных.
3. Предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.
5. Права и обязанности субъекта персональных данных
5.1. Субъект персональных данных имеет право на:
- полную информацию о своих персональных данных и обработке этих данных;
- свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных законодательством РФ.
- требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований действующего законодательства РФ.
- обжалование в суде любых неправомерных действий или бездействия операторапри обработке и защите его персональных данных.
5.2. Работники обязаны предоставить Учреждению комплекс достоверных, документированных персональных данных, а также своевременно сообщать работодателю об изменении своих персональных данных.
6. Ответственность за нарушение норм
в области обработки персональных данных
6.1. Каждый сотрудник Учреждения, получающий для работы сведения или документы, содержащие персональные данные, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
6.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную и гражданско-правовую или уголовную ответственность в соответствии с федеральными законами РФ.
Ознакомиться подробнее с данным документом и со всеми приложениями можно по ссылке.