1. Общие положения
1.1. Настоящий документ определяет политику обработки персональных данных (далее – ПДн) и излагает систему основных принципов, применяемых в отношении обработки персональных данных в МИЦ «Иммункулус» (далее – Оператор)
1.2. Политика разработана в соответствии с федеральными законами и подзаконными актами Российской Федерации, определяющими случаи и особенности обработки персональных данных (далее – ПДн) и обеспечения безопасности и конфиденциальности такой информации (далее – Законодательство о персональных данных).
1.3. Положения и требования настоящей Политики направлены на обеспечение защиты прав и свобод человека и гражданина при обработке его ПДн Оператором.
1.4. Политика разработана в целях реализации требований законодательства о ПДн и распространяется на все действия и операции, совершаемые Оператором с ПДн, как с использованием средств автоматизации, так и без использования таковых.
1.5. Настоящая Политика устанавливает:
— принципы обработки ПДн;
— правовые основания обработки ПДн;
— категории субъектов ПДн и цели обработки ПДн;
— права субъектов ПДн;
— обязанности Оператора при осуществлении обработки ПДн;
— состав обрабатываемых ПДн;
— порядок и условия обработки ПДн;
— условия соблюдения конфиденциальности ПДн и обеспечения безопасности ПДн;
— порядок взаимодействия с субъектами ПДн и Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор).
1.6. Ознакомление работников Оператора с настоящей Политикой, в том числе с изменениями настоящей Политики, осуществляется под подпись либо с использованием информационных технологий, доступных Оператору, позволяющих зафиксировать факт ознакомления работников с внутренним документом.
1.7. Положения и требования настоящей Политики являются обязательными для исполнения всеми работниками Оператора, имеющими доступ к ПДн.
1.8. Политика является общедоступной и подлежит размещению на официальном Сайте Оператора или иным образом обеспечивается неограниченный доступ к настоящему документу.
1.9. Оператор имеет право вносить изменения в настоящую Политику. Положения настоящей Политики подлежат актуализации в случае изменения законодательства Российской Федерации о персональных данных.
1.10. По общему правилу Оператор не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации.
1.11. В случаях, когда Оператор поручает обработку персональных данных другим лицам, им соблюдаются все требования Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», предусмотренные для поручения обработки ПДн третьими лицами (далее – Закон № 152- ФЗ).
1.12. Обработка персональных данных Оператором должна ограничиваться достижением законных, конкретных и заранее определенных целей. Обработке подлежат только те персональные данные, и только в том объеме, которые отвечают целям их обработки.
1.13. Положения Политики являются основой для организации работы по обработке персональных данных Оператором, в том числе, для разработки внутренних документов (регламентов, методик, технологических схем и пр.), регламентирующих процесс обработки персональных данных Оператором.
1.14. Оператор обязуется соблюдать нормы законодательства Российской федерации в области защиты и обработки персональных данных.
1.15. Оператор, а также его должностные лица и работники несут гражданско-правовую, административную и иную ответственность за несоблюдение принципов и условий обработки персональных данных физических лиц, а также за разглашение или незаконное использование персональных данных в соответствии с законодательством Российской Федерации.
2. Основные термины и определения
В Политике используются следующие основные термины и определения:
Автоматизированная обработка ПДн – обработка ПДн с помощью средств вычислительной техники; Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Информационная система ПДн (далее – ИСПДн) – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.
Конфиденциальность ПДн – обязанность не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.
Личный кабинет − специализированный раздел сайта Оператора (доступ осуществляется посредством учетной записи Пользователя), предназначенный для (a) взаимодействия между Оператором и Субъектом ПДн, в том числе, при заключении и исполнении договора, (b) управления Субъектом ПДн услугами, (c) отражения статистических данных. По мере развития функционала личного кабинета Субъекта ПДн взаимодействие может осуществляться в иных аспектах деятельности Оператора.
Обработка персональных данных – любое действие (операция) Оператора или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу, блокирование, удаление и уничтожение персональных данных.
Оператор ПДн (Оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В рамках положений настоящей Политики ООО «КДЛ ДОМОДЕДОВО-ТЕСТ» выступает Оператором персональных данных.
Персональные данные, ПДн>– любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн). ПДн, разрешенные субъектом ПДн для распространения, – ПДн, доступ неограниченного круга лиц к которым представлен субъектом ПДн путем дачи согласия на обработку ПДн, разрешенных субъектом ПДн для распространения в порядке, предусмотренном Законом № 152-ФЗ.
Партнеры Оператора – организации, индивидуальные предприниматели или иные физические лица, действующие от своего имени или от имени Оператора и продвигающие Услуги/Сервисы Оператора на основании заключенных с ним договоров.
Предоставление ПДн – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Работник – физическое лицо, заключившее с Оператором трудовой договор.
Распространение ПДн – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Кандидат – физическое лицо, претендующее на вакантную должность Оператора, персональные данные которого получены Оператором.
Субъект персональных данных (Субъект ПДн) – физическое лицо, которое прямо или косвенно определено с помощью персональных данных, в отношении которого осуществляется обработка персональных данных. В рамках настоящей Политики к Субъектам ПДн относятся физические лица, действующие от собственного имени, а также физические лица-представители юридических лиц, уполномоченные действовать от имени таких юридических лиц на основании устава, доверенности, трудового договора, гражданско-правового договора или по другим основаниям. В том числе к уполномоченным представителям юридических лиц относятся лица, осуществившие доступ к учетным записям на сайте Оператора, с использованием логина и пароля, присвоенного соответствующему Субъекту ПДн в рамках заключенного им с Оператором договора об оказании услуг.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных
3. Принципы обработки ПДн
Обработка ПДн Оператором осуществляется с соблюдением следующих принципов, установленных законодательством Российской Федерации:
— обработка ПДн осуществляется на законной и справедливой основе;
— обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей;
— не допускается обработка ПДн, несовместимая с целями сбора ПДн;
— не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
— обработке подлежат только ПДн, которые отвечают целям их обработки;
— содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки ПДн и не должны быть избыточными по отношению к заявленным целям их обработки;
— при обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Оператор принимает необходимые меры по удалению или уточнению неполных и (или) неточных данных;
— хранение ПДн в форме, позволяющей определить субъекта ПДн, осуществляется не дольше, чем этого требуют цели их обработки, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого является субъект ПДн;
— обрабатываемые ПДн подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Законодательством о ПДн;
— обеспечение конфиденциальности и безопасности обрабатываемых персональных данных.
4. Правовые основания обработки ПДн
Правовыми основаниями обработки ПДн Оператором являются:
— Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ;
— Трудовой договор;
— Налоговый кодекс РФ;
— Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
— Приказ Минздравсоцразвития России от 12.04.2011 N 302н;
— Федеральный закон от 21.11.2011 № 323-ФЗ «Об охране здоровья граждан в Российской Федерации»;
— Гражданско-правовой договор с субъектом персональных данных;
— Договор с субъектом персональных данных (его представителем) об оказании медицинских услуг;
— Договор с контрагентом об оказании платных медицинских услуг его представителям (пациентам);
— Поручение обработки персональных данных между Оператором и контрагентом;
— Согласие субъекта персональных данных на обработку (в т.ч. передачу) его персональных данных в письменной форме;
— Согласие субъекта персональных данных на обработку (в т.ч. передачу) его персональных данных в электронном виде;
— Согласие субъекта персональных данных на медицинское вмешательство;
— Согласие субъекта персональных данных на получение рекламных рассылок от Оператора;
— Пользовательское соглашение на сайте Оператора;
— Учредительные документы Оператора.
5. Категории субъектов персональных данных и цели обработки персональных данных, состав и категории обрабатываемых персональных данных, способы, сроки обработки и хранения персональных данных, порядок их уничтожения
5.1. Категории субъектов ПДн.
Оператором осуществляется обработка ПДн следующих категорий субъектов:
— кандидаты на вакантные должности;
— работники Оператора;
— уволенные работники Оператора;
— близкие родственники работников Оператора;
— слушатели (обучающиеся филиала МОЦ КДЛ);
— потенциальные и действующие контрагенты (физические лица, индивидуальные предприниматели, представители юридических лиц);
— пациенты, родственники пациентов, а также их представители (в том числе законные);
— физические лица, направившие Оператору обращения;
— физические лица, являющиеся посетителями офиса Оператора;
— физические лица, являющиеся посетителями сайта Оператора (Пользователи сайта).
5.2. Цели обработки ПДн
5.2.1. Обработка ПДн кандидатов на вакантные должности осуществляется в целях взаимодействия с кандидатом по вопросам, связанным с потенциальным трудоустройством.
5.2.2. Обработка ПДн работников осуществляется в целях:
— заключения, исполнения, прекращения трудовых договоров;
— выполнения обязательств в рамках трудовых отношений, а также обязательств, связанных с трудовыми отношениями, предусмотренных трудовым, пенсионным, налоговым законодательством Российской Федерации;
— предоставления социальных льгот и компенсаций работникам и (или) родственникам работников в случаях и порядке, установленном действующим законодательством Российской Федерации;
— организации пропускного режима на территорию Оператора.
5.2.4. Обработка ПДн близких родственников работников осуществляется в целях предоставления социальных льгот и компенсаций работникам и (или) близким родственникам работников в случаях и порядке, установленном действующим законодательством Российской Федерации.
5.2.5. Обработка ПДн слушателей (обучающихся филиала МОЦ КДЛ), осуществляется в целях:
— рассмотрение заявления субъекта ПДн о зачислении на обучение;
— исполнение условий договора об оказании образовательных услуг, стороной которого является сам субъект ПДн;
— достижение целей, предусмотренных законом РФ, а также осуществление и выполнение возложенных законодательством РФ на Компанию обязанностей;
— повышение квалификации работников Оператора и продвижение по службе.
5.2.6. Обработка ПДн потенциальных, действующих контрагентов (представителей юридических лиц, физических лиц, индивидуальных предпринимателей) осуществляется в целях:
— заключения, исполнения, прекращения договоров с контрагентами;
— выполнения обязательств в соответствии с налоговым законодательством, законодательством о бухгалтерском учете;
— продвижения услуг, направления рекламно-информационных сообщений;
— информационно-сервисного обслуживания;
— повышения качества обслуживания и оказываемых услуг.
5.2.7. Обработка ПДн пациентов, родственников пациентов, а также их представителей (в т.ч. законные) осуществляется в целях:
— оказания медицинских услуг, исполнения условий договора об оказании платных медицинских услуг;
— ведения учета и систематизации оказанных услуг, научных и статистических исследований;
— информационно-сервисного обслуживания; продвижения услуг, проведения маркетинговых программ, направления рекламно-информационных сообщений;
— повышения качества обслуживания и оказываемых услуг;
— предоставление возможности заказать услуги «Выезд на дом» или оформления заказа онлайн;
— предоставление пациентам доступа в личный кабинет, позволяющий отслеживать результаты исследований в динамике;
— идентификация пациента при предоставлении ему скидки по Карте Здоровья, восстановление утраченной Карты Здоровья с сохранением Суммы накоплений;
— обеспечения соблюдения налогового законодательства и законодательства Российской Федерации в сфере здравоохранения.
5.2.8. Обработка ПДн физических лиц, направивших Оператору обращения, осуществляется в целях выполнения требований законодательства и реагирования на обращения субъектов ПДн.
5.2.9. Обработка ПДн физических лиц, являющихся посетителями офиса Оператора, осуществляется в целях организации пропускного режима на территорию Оператора.
5.2.10. Обработка ПДн физических лиц, являющихся посетителями сайта Оператора, осуществляется в целях:
— идентификация Пользователя Сайта;
— проведение статистических и аналитических исследований, сбор информации об использовании сайта Пользователем;
— предоставление Пользователю информации об услугах Компании;
— предоставление Пользователю технической поддержки по использованию сайта.
5.3. Состав обрабатываемых ПДн
5.3.1. Для цели, указанной в разделе 5 п.2.1, осуществляется обработка следующих ПДн кандидатов на вакантные должности:
— фамилия, имя, отчество (при наличии);
— желаемая должность;
— город;
— дата рождения;
— контактные данные (адрес электронной почты, номер контактного телефона);
— сведения об образовании (наименование учебного заведения, дата окончания обучения, программа обучения, специальность, реквизиты диплома/сертификата);
— опыт работы (место работы, стаж, должность);
— ожидаемый доход;
— график работы (рабочие дни);
— время работы.
5.3.2. Для целей, указанных в разделе 5 п.2.2, п.2.3 осуществляется обработка следующих ПДн работников (в т.ч. уволенных работников):
— фамилия, имя, отчество (при наличии);
— дата рождения;
— место рождения;
— гражданство;
— пол;
— фотография (не является биометрией);
— контактные данные (номер контактного телефона, адрес электронной почты);
— данные документа, удостоверяющего личность (наименование и реквизиты (серия и номер, дата выдачи, наименование выдавшего органа, адрес места регистрации);
— СНИЛС;
— ИНН;
— данные документов об образовании, о квалификации или наличии специальных знаний (наименование и реквизиты документа об образовании, квалификации, специальности (серия и номер, дата выдачи, наименование выдавшего органа);
— данные трудовой книжки (профессия, специальность, сведения о работе: место работы, должность, сведения о награждениях);
— данные о наградах, почетных званиях;
— данные документа о прохождении обучения о профессиональной переподготовке повышения квалификации (серия и номер, дата выдачи, наименование проводившей обучение организации, наименование выдавшего органа);
— данные документов воинского учета (сведения о наличии военной обязанности; сведения о категории запаса; категория годности; воинское звание; номер команды, партии воинского учета; полное обозначение военно-учетной специальности; наименование военного комиссариата по месту жительства; реквизиты (серия и номер, дата выдачи, наименование выдавшего органа) военного билета или удостоверения гражданина подлежащего призыву на военную службу;
— сведения о семейном положении;
— данные в трудовом договоре и в дополнительных соглашениях к нему (размер оклада; сведения о начисленной и удержанной заработной плате; сведения о премиях; сведения о сумме дополнительного вознаграждения; сумма удержанных налогов и иных вычетов);
— сведения о виде работы (основная/по совместительству);
— сведения о стаже работы;
— данные документа, подтверждающего право на получение льготы наименование и реквизиты (серия и номер, дата выдачи, наименование выдавшего органа);
— сведения об инвалидности (в рамках требований законодательства);
— сведения о реквизитах банковского счета;
— сведения о периодических выплатах;
— сведения о выплатах материальной помощи и иных компенсаций;
— наименование и размер льгот;
— сведения о начисленных и уплаченных страховых взносах;
— сведения о страховом и льготном стаже;
— табельный номер;
— наименование профессии;
— занимаемая должность.
5.3.3. Для цели, указанной в разделе 5 п.2.4, осуществляется обработка следующих ПДн близких родственников работников:
— фамилия, имя, отчество (при наличии);
— возраст;
— дата рождения;
— степень родства.
5.3.4. Для цели, указанной в разделе 5 п.2.5, осуществляется обработка следующих ПДн слушателей:
— фамилия, имя, отчество;
— гражданство;
— номер телефона;
— адрес электронной почты;
— дата рождения;
— возраст;
— пол;
— СНИЛС;
— ИНН;
— банковские реквизиты;
— данные о страховании;
— сведения о трудовом стаже, местах работы;
— сведения диплома об основном среднем профессиональном образовании/ переподготовке/ повышении квалификации/аккредитация специалиста (специальность/ программа, квалификация, год получения);
— подпись.
5.3.5. Для цели, указанной в разделе 5 п.2.6, осуществляется обработка следующих ПДн потенциальных и действующих контрагентов (физических лиц, индивидуальных предпринимателей, представителей юридических лиц):
— фамилия, имя, отчество;
— дата и место рождения;
— паспортные данные;
— ИНН, СНИЛС;
— номер телефона;
— адрес электронной почты;
— адрес проживания;
— место работы;
— должность;
— реквизиты доверенности;
— подпись.
5.3.6. Для цели, указанной в разделе 5 п.2.7, осуществляется обработка следующих ПДн пациентов, родственников пациентов, а также их представителей (в т.ч. законные):
— фамилия, имя, отчество;
— дата рождения;
— данные паспорта или иного документа, удостоверяющего личность (серия, номер, сведения о дате и подразделении выдачи);
— номер заявки;
— пол;
— данные о состоянии здоровья;
— адрес проживания;
— контактные данные (адрес электронной почты, номер контактного телефона);
— логин, пароль личного кабинета на сайте;
— подпись;
— возраст;
При заказе исследований ВИЧ/сифилис:
— адрес регистрации.
5.3.7. Для цели, указанной в разделе 5 п.2.8, осуществляется обработка следующих ПДн физических лиц, направивших Оператору обращения:
— фамилия, имя, отчество;
— номер основного документа, удостоверяющего личность Субъекта ПДн, сведения о дате выдачи указанного документа и выдавшем его органе;
— номер телефона;
— адрес электронной почты;
— подпись.
5.3.8. Для цели, указанной в разделе 5 п.2.9, осуществляется обработка следующих ПДн физических лиц, являющихся посетителями офиса Оператора:
— фамилия, имя, отчество;
— срок действия заявки.
5.3.9. Для цели, указанной в разделе 5 п.2.10, осуществляется обработка следующих ПДн физических лиц, являющихся посетителями сайта Оператора:
— сведения об устройстве
— местоположение
— ip-адрес
— cookie-файлы
— количество посещений
— время посещения
— сведения об операционной системе
— сведения о браузере.
5.4. Категории обрабатываемых ПДн
5.4.1. Оператор осуществляет обработку специальных категорий персональных данных, касающихся сведений о состоянии здоровья на основании требований законодательства, а также в целях исполнения условий договора об оказании платных медицинских услуг, стороной которого является субъект ПДн (пациент).
5.4.2. Оператором не создаются общедоступные источники, содержащие ПДн Субъекта ПДн.
5.4.3. Обработка ПДн осуществляется Оператором с использованием средств автоматизации, а также без использования таких средств (на бумажных носителях информации).
5.4.4. Сроки обработки и хранения ПДн определяются в соответствии с: — целями обработки ПДн субъектов ПДн;
— договором, стороной которого является субъект ПДн;
— согласием субъекта ПДн на обработку его ПДн;
— требованиями законодательства Российской Федерации.
5.4.5. Прекращение обработки и уничтожение ПДн осуществляется:
— по требованию субъекта прекратить обработку его ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с помощью средств связи;
— по требованию Роскомнадзора об уничтожении недостоверных или полученных незаконным путем ПДн;
— при выявлении неправомерной обработки ПДн;
— при отзыве согласия субъекта ПДн на обработку его ПДн, за исключением случаев, предусмотренных Законодательством о ПДн;
— по требованию субъекта ПДн прекратить обработку его ПДн, за исключением случаев, предусмотренных Законодательством о ПДн;
— при утрате необходимости в достижении целей обработки ПДн;
— по достижении целей обработки;
— по истечении установленных сроков хранения ПДн.