1. Общие положения
1.1 ООО Стоматологическая фирма «МРМ» (далее – Оператор, Клиника), являясь оператором персональных данных считает важным соблюдать принципы законности, справедливости, конфиденциальности и безопасности при обработке персональных данных.
1.2 Настоящее Положение разработано в соответствии с Федеральным законом от 27.07.2006 г. №152-ФЗ «О персональных данных», Постановлением Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановлением Правительства РФ от 15.09.2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации и иными нормативными актами в области персональных данных.
1.3 Основные термины, используемые в Положении:
Персональные данные – любая информация, прямо или косвенно относящаяся к субъекту персональных данных или позволяет определить субъекта персональных данных;
Оператор персональных данных – юридическое или физическое лицо, обрабатывающее персональные данные, ООО Стоматологическая фирма «МРМ»;
Обработка персональных данных – любые действия, совершаемые с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление доступа), обезличивание, блокирование, удаление, уничтожение персональных данных;
Распространение персональных данных – это действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Уничтожение персональных данных – это действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Субъект персональных данных – физическое лицо, которому принадлежат персональные данные и которого по ним можно идентифицировать;
Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
Пользовательские данные – данные о посетителе сайта Компании.
1.4 Категории лиц, чьи персональные данные обрабатываются, цели обработки и перечень персональных данных указаны в Приложении №1 к Положению об обработке персональных данных.
1.5 Персональные данные о состоянии здоровья относятся к специальной категории персональных данных. Клиника не обрабатывает иные специальные категории персональных данных, которые касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни. Клиника не обрабатывает биометрические персональные данные.
2. Правовые основания обработки персональных данных
2.1 Клиника обрабатывает персональные данные в соответствии со следующими правовыми основаниями:
• Согласие субъекта персональных данных;
• Трудовой кодекс Российской Федерации;
• Федеральный закон «Об основах охраны здоровья граждан в Российской Федерации» от 21.11.2011 №323-ФЗ;
• Федеральный закон «Об обязательном медицинском страховании в России» от 29.11.2010 №326-ФЗ;
• Договор, стороной, либо выгодоприобретателем, либо поручителем, по которому является субъект персональных данных, если обработка персональных данных необходима для заключения такого договора или исполнения обязательств по договору.
2.2 Обработка персональных данных осуществляется Клиникой на основании следующих принципов:
• Обработка персональных данных осуществляется на законной и справедливой основе;
• Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Обработка персональных данных, несовместимая с целями сбора персональных данных, не допускается;
• Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• Обработке подлежат только те персональные данные, которые отвечают целям обработки;
• Содержание и объем персональных данных соответствует заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
• При обработке персональных данных обеспечивается точность персональных данных, их достаточность, в необходимых случаях – актуальность по отношению к целям обработки персональных данных. Клиника принимает необходимые меры (обеспечивает их принятие) по удалению или уточнению неполных или неточных персональных данных;
• Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законом, договором, стороной которого выгодоприобретателем либо поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законом.
3. Способы получения согласия на обработку персональных данных
3.1 Согласие на обработку персональных данных может быть получено от субъекта одним из следующих способов:
• Путем собственноручного подписания документа – согласия на обработку персональных данных;
• Путем проставления «Чек-бокса» в интерфейсе Веб-сайта https://mrmstom.ru.
4. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации
4.1 Для достижения целей обработки персональных данных, Клиника собирает, записывает, систематизирует, накапливает, хранит, уточняет (обновляет, изменяет) извлекает, использует, передает (предоставляет доступ), блокирует, удаляет, уничтожает персональные данные.
4.2 Клиника обрабатывает персональные данные как без использования средств автоматизации, так и с использованием средств автоматизации.
4.3 Обработка персональных данных, осуществляемая без использования средств автоматизации осуществляется с согласия субъекта персональных данных. В целях обеспечения сохранности и конфиденциальности информации, содержащей персональные данные, все операции по оформлению, формированию, ведению и хранению информации выполняются специалистами, осуществляющими данную работу в соответствии со своими служебными обязанностями, зафиксированными в должностных инструкциях.
4.4 Обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных.
4.5 Места хранения персональных данных определены в Перечне мест хранения материальных носителей персональных данных. Лица, осуществляющие обработку персональных данных, определены в Перечне должностей, замещение которых предусматривает осуществление обработки персональных данных либо предоставление доступа к персональным данным.
4.6 При обработке персональных данных без использования средств автоматизации, персональные данные обособляются от иной информации путем фиксации на отдельных материальных носителях, в специальных разделах или на полях форм (бланков). При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним. Лица, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, об особенностях и правилах обработки персональных данных.
4.7 Материальные носители персональных данных хранятся в запирающихся на ключ помещениях, металлических шкафах, сейфах, иных шкафах. Должностным лицам, работающим с персональными данными, запрещается разглашать информацию, содержащую персональные данные, устно или письменно, без служебной необходимости.
4.8 Передача персональных данных допускается только в случаях, установленных законодательством Российской Федерации и действующими инструкциями по работе со служебными документами и обращениями граждан, а также по письменному поручению вышестоящих должностных лиц. Ответы на запросы граждан и организаций даются в том объеме, который позволяет не разглашать в ответах персональные данные, за исключением данных, содержащихся в материалах запроса или опубликованных в общедоступных источниках.
4.9 В Клинике обеспечивается раздельное хранение персональных данных, зафиксированных на материальных носителях, обработка которых осуществляется в различных целях. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, исключающие одновременное копирование иных персональных данных, не подлежащих распространению или использованию.
4.10 При необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных, осуществляется копирование персональных данных, подлежащих распространению или использованию способом, исключающим одновременное копирование персональных данных не подлежащих распространению и использованию и используется (распространяется) копия персональных данных.
4.11 При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
4.12 Хранение материальных носителей, содержащих персональные данные, осуществляется следующим образом:
• Личные дела сотрудников Клиники, картотеки, учетные журналы и книги учета хранятся в запирающихся шкафах;
• Трудовые книжки хранятся в несгораемом сейфе;
• Ключи от рабочих шкафов сотрудников отдела кадров хранятся у самих сотрудников;
• Материальные носители, содержащие персональные данные контрагентов Клиники, хранятся отдельно.
4.13 При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.
4.14 При использовании типовых форм документов, характер информации которых предполагает или допускает включение в них персональных данных, соблюдаются следующие условия:
• Типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых в Клинике способов обработки персональных данных;
• Типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации – при необходимости получения письменного согласия на обработку персональных данных;
• Типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов других субъектов персональных данных;
• Типовая форма должна исключать объединение полей, предназначенных для внесения данных, цели обработки которых заведомо несовместимы.
4.15 Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных используется отдельный материальный носитель.
4.16 Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может проводиться способом, исключающим дальнейшую обработку этих персональных данных, но с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание). Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными персональными данными.
4.17 Лица, осуществляющие обработку и (или) хранение персональных данных, несут ответственность за обеспечение их информационной безопасности. Лица, виновные в нарушении норм, регулирующих обработку и хранение персональных данных, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
5. Обработка пользовательских данных посетителей сайта и файлов cookie
5.1 При посещении сайта Клиники - https://mrmstom.ru (далее – Сайт), Клиника обрабатывает следующие данные посетителя сайта:
• Информация о действиях на сайте Клиники;
• Данные о местоположении;
• Файлы cookie;
• IP-адрес;
• Данные сервиса Яндекс.Метрика
5.2 В совокупности все перечисленные выше данные именуются «Пользовательские данные».
5.3 Cookie-файлы – это персональные данные, которые Сайт отправляет в браузер субъекта персональных данных и которые затем хранятся на его устройстве. При каждом посещении Сайта происходит обмен cookie-файлами между Сайтом и устройством субъекта персональных данных.
5.4 Пользовательские данные помогают Сайту корректно работать, а Клинике – анализировать поведение пользователей сайта, чтобы улучшать их работу и услуги Клиники.
5.5 В настройках своего устройства субъект персональных данных может:
• Отключить передачу пользовательских данных;
• Настроить оповещение об их отправке.
5.6 При отключении передачи пользовательских данных Сайт может перестать работать или работать некорректно.
6. Последствия отказа в предоставлении персональных данных
6.1 Если в соответствии с законодательством, Клинике требуются персональные данные, Клиника должна получить согласие на их обработку, а субъект персональных данных отказывается предоставить персональные данные, либо согласие на их обработку, то это может повлечь последствия, которые Клиника разъясняет субъекту персональных данных в каждом конкретном случае.
6.2 В случаях, предусмотренных пунктами 2-11 части 1 статьи 6 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», согласие субъекта на обработку персональных данных не требуется. В предусмотренных законом случаях Клиника осуществляет обработку персональных данных в отсутствие согласия субъекта персональных данных на такую обработку.
7. Передача и распространение персональных данных
7.1 Клиника может выполнять передачу и распространение персональных данных на следующих условиях:
• Без согласия субъекта персональных данных для соблюдения Клиникой законодательства (например, если Клинике поступит запрос от органов внутренних дел, на который Клиника должна будет ответить и передать запрашиваемые персональные данные органу государственной власти, согласно требованиям законодательства);
• Без согласия субъекта персональных данных, если это разрешено Клинике законодательством;
• С согласия субъекта персональных данных для достижения целей, указанных в согласии.
7.2 В остальных случаях Клиника не выполняет передачу и распространение персональных данных.
8. Меры, применяемые для обеспечения безопасности персональных данных
8.1 Клиника предпринимает все необходимые правовые, организационные и технические меры для обеспечения режима конфиденциальности и безопасности персональных данных в соответствии с Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных».
8.2 Клиника обеспечивает безопасность персональных данных в зависимости от способа их хранения:
• Персональные данные в бумажном виде хранятся в папках в специальном запирающем шкафу;
• Персональные данные в электронном виде хранятся в локальной компьютерной сети с системой разграничения доступа и парольной защитой.
8.3 Работники Клиники имеют доступ только к тем персональным данным, которые необходимы им для выполнения своих функций.
8.4 Для обеспечения конфиденциальности и безопасности персональных данных, их защиты от неправомерного или случайного доступа к ним, от неправомерных действий в отношении персональных данных, Клиника предпринимает необходимые правовые, организационные и технические меры, в частности:
• Определяет актуальные угрозы безопасности персональных данных, обрабатываемых в ИСПДн;
• Применяет организационные и технические меры для защиты установленных уровней защищенности персональных данных;
• Для нейтрализации актуальных угроз безопасности персональных данных применяет средства защиты информации, соответствующие уровням защищенности персональных данных и прошедшие процедуру оценки соответствия;
• Проводит оценку эффективности мер защиты и обеспечения безопасности персональных данных;
• Обеспечивает регистрацию и учет всех действий, совершаемых с персональными данными в ИСПДн;
• Организует учет технических средств, входящих в состав ИСДн, а также машинных носителей;
• Определяет и актуализирует перечень лиц, которым для выполнения трудовых обязанностей необходим доступ к персональным данным, обработка которых производится в ИСПДн;
• Обеспечивает автоматическую регистрацию событий безопасности, связанных с изменением прав доступа к персональным данным;
• Реализует меры, направленные на предупреждение и обнаружение фактов несанкционированного доступа к персональным данным и принятие мер по предупреждению, обнаружению и ликвидации последствий компьютерных атак на ИСПДн и по реагированию на компьютерные инциденты в них;
• Обеспечивает восстановление персональных данных, модифицированных или уничтоженных вследствие неправомерного доступа к ним;
• Эксплуатирует разрешенное к использованию программное обеспечение и его компоненты, а также обеспечивает контроль за его установкой и обновлением;
• Выявляет инциденты и реагирует на них, реализует меры по устранению инцидентов в случае их появления;
• Проводит внешний и внутренний инструментальный контроль защищенности системных компонентов информационной структуры на наличие уязвимостей;
• Проводит оценку вреда, который может быть причинен субъектам персональных данных.
9. Лица с доступом к персональным данным
9.1 Сведения о работниках Клиники, имеющих доступ к персональным данным (которым может быть предоставлен такой доступ) отражены в Перечне должностей работников Клиники, имеющих доступ к персональным данным.
9.2 Работники Клиники, осуществляющие обработку персональных данных, под подпись ознакомлены с локальными нормативными актами Клиники, регулирующие процессы обработки и защиты персональных данных.
10. Срок обработки персональных данных
10.1 Сроки обработки персональных данных определяются:
• Договором с субъектом персональных данных или его согласием на обработку персональных данных;
• Иными нормативными документами и требованиями законодательства.
10.2 Если срок хранения персональных данных не установлен законодательством, Клиника хранит персональные данные не дольше, чем этого требуют цели обработки;
10.3 Срок хранения персональных данных, обрабатываемых в ИСПДн, соответствует сроку хранения персональных данных на бумажных носителях.
11. Уничтожение персональных данных
11.1 Персональные данные подлежат уничтожению:
• При достижении целей их обработки или в случае утраты необходимости в достижении цели обработки персональных данных, если иное не предусмотрено законодательством;
• По истечении срока их хранения;
• При изменении, признании утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;
• При выявлении факта неправомерной обработки персональных данных в случае, если обеспечить правомерность обработки персональных данных невозможно;
• В случае обращения субъекта персональных данных к Оператору персональных данных с требованием о прекращении обработки персональных данных, если иное не предусмотрено законом о персональных данных;
• При отзыве субъектом персональных данных согласия, если иное не предусмотрено законом о персональных данных;
• При предоставлении субъектом персональных данных (или его представителем) сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
• В иных случаях, предусмотренных законодательством о персональных данных.
11.2 В Клинике используются следующие способы уничтожения персональных данных:
• Для данных на бумажном носителе – измельчение;
• Для данных на электронном носителе – физическое уничтожение носителя или стирание информации на нем способами, гарантирующими уничтожение.
11.3 Факт уничтожения персональных данных оформляется актом об уничтожении персональных данных, а в случае автоматизированной обработки персональных данных – дополнительной выгрузкой из журнала регистрации событий в информационной системе, которая содержит:
• ФИО субъекта персональных данных, иную информацию, относящуюся к определенному физическому лицу, чьи персональные данные были уничтожены;
• Наименование информационной системы персональных данных, из которой были уничтожены персональные данные субъекта (субъектов) персональных данных;
• Причину уничтожения персональных данных.
11.4 В случае, если выгрузка из журнала не позволяет указать отдельные сведения, недостающие сведения вносятся в акт об уничтожении персональных данных.
11.5 Акт об уничтожении персональных данных и выгрузка из журнала подлежат хранению в течение 3-х лет с момента уничтожения персональных данных.
12. Права субъекта персональных данных
12.1 Субъект персональных данных вправе получить от Клиники информацию, касающуюся обработки его персональных данных, в том числе, содержащую:
• Подтверждение факта обработки его персональных данных;
• Правовые основания и цели обработки персональных данных;
• Цели и применяемые Клиникой способы обработки персональных данных;
• Информацию о Клинике, как об Операторе персональных данных (наименование, место нахождения, сведения о лицах, которые имеют доступ к персональным данным или которым они могут быть раскрыты на основании договора либо закона);
• Перечень обрабатываемых персональных данных и источник их получения;
• Сроки обработки и хранения персональных данных;
• Порядок реализации субъектом персональных данных его прав, предусмотренных законодательством о персональных данных.
12.2 Субъект персональных данных имеет право:
• На доступ к персональным данным;
• На уточнение персональных данных;
• На блокирование и удаление персональных данных;
• На обжалование действий или бездействия Клиники;
• На обжалование решений, принятых на основании исключительно автоматизированной обработки персональных данных;
• На отзыв согласия на обработку персональных данных.
12.3 Для обжалования действий Клиники как Оператора персональных данных, субъект персональных данных может обратиться в территориальный орган Роскомнадзора.
13. Порядок рассмотрения обращений и запросов субъектов персональных данных
13.1 Для реализации своих прав субъект персональных данных может направить Клинике обращение или запрос обычной или электронной почтой, посредством личного визита в Клинику.
13.2 После получения обращения Клиника убеждается в его законности, затем предоставляет субъекту персональных данных ответ на обращение и (или) предпринимает меры в зависимости от содержания обращения:
• В случае выявления неправомерной обработки персональных данных Клиника обеспечивает блокирование персональных данных;
• В случае выявления неточных персональных данных Клиника осуществляет блокирование персональных данных, если блокирование не нарушает права и законные интересы субъекта персональных данных или третьих лиц;
• В случаях подтверждения факта неточности персональных данных Клиника на основании сведений, предоставленных субъектом персональных данных, уточняет персональные данные в течение семи рабочих дней со дня предоставления таких сведений и снимает блокирование персональных данных;
• В случае выявления неправомерной обработки персональных данных, Компания в срок, не превышающий трех рабочих дней с даты выявления, прекращает неправомерную обработку персональных данных. Если обеспечить правомерность обработки персональных данных невозможно, Клиника в течение десяти рабочих дней с даты выявления неправомерной обработки, уничтожает персональные данные. Субъект персональных данных уведомляется об устранении нарушения.
13.3 В случае установления факта неправомерной или случайной передачи (предоставления доступа, распространения) персональных данных, повлекшей нарушение прав субъектов персональных данных, Клиника уведомляет уполномоченный орган по защите прав субъектов персональных данных:
• В течение 24-х часов – о произошедшем инциденте, о предполагаемых причинах инцидента, о предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий инцидента, сведения о лице, уполномоченном Клиникой на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных по вопросам, связанным с выявленным инцидентом;
• В течение 72-х часов – о результатах внутреннего расследования выявленного инцидента, сведения о лицах, которые стали причиной инцидента (при наличии).
13.4 При ответе на обращение Клиника не может указывать в нем персональные данные, принадлежащие другим субъектам персональных данных, кроме случаев, когда имеются законные основания для раскрытия таких персональных данных.
13.5 В случае достижения цели обработки персональных данных Клиника прекращает обработку персональных данных и уничтожает персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки.
13.6 В случае отзыва субъектом персональных данных согласия на обработку его персональных данных, Клиника прекращает их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные в срок, не превышающий тридцати дней с даты поступления отзыва.
13.7 В случае обращения субъекта персональных данных в Клинику с требованием о прекращении обработки персональных данных, Клиника в течение десяти рабочих дней с даты получения требования прекращает обработку персональных данных.
13.8 В случае отсутствия возможности уничтожения персональных данных в течение установленных сроков, Клиника блокирует персональные данные и обеспечивает их уничтожение в течение шести месяцев.
13.9 Клиника может отказать субъекту персональных данных в удовлетворении требований, указанных в обращении, если посчитает их необоснованными и неправомерными. Для этого Клиника направляет субъекту персональных данных (или его представителю) мотивированный отказ.
14. Изменение Положения
14.1 Клиника может изменить Положение без согласия субъекта персональных данных.
14.2 Новые редакции Положения вступают в силу с даты их размещения на Сайте Клиники.
14.3 Актуальная версия Положения всегда размещена на сайте Клиники.
15. Сведения о Клинике
Наименование Клиники: ООО Стоматологическая Фирма «МРМ»
Адрес: 630000, г. Новосибирск, ул. Мичурина, д. 23а
Сайт: https://mrmstom.ru/
Электронная почта: mrm.dental@yandex.ru
Телефон: +7 (383) 388-51-50
ИНН: 5406143986
ОГРН: 1035402461918