Политика обработки персональных данных
в ООО «Рич» (далее – Политика)

1. Назначение

1. Настоящий документ определяет политику Автономного учреждения здравоохранения Республиканская стоматологическая поликлиника (далее – Оператор) в отношении обработки персональных данных (далее – ПДн).
2. Настоящая политика в области обработки и защиты ПДн (далее – Политика) разработана в соответствии с п. 2 ст. 18.1 Федерального закона «О персональных данных» №152-ФЗ от 27 июля 2006 года и действует в отношении всех персональных данных, обрабатываемых Оператором.
3. Целью настоящей Политики является защита интересов Оператора, его работников, субъектов ПДн, обрабатываемых Оператором, а также исполнение законодательства Российской Федерации о персональных данных.
4. Политика распространяется на Данные полученные как до, так и после подписания настоящей Политики.
5. Настоящая Политика не применима, а Оператор не контролирует и не несет ответственность, в отношении сайтов третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на Сайте Оператора. На таких сайтах у Пользователя могут собираться или запрашиваться иные персональные данные, а также могут совершаться иные действия.

2. Общие положения

1. В целях поддержания деловой репутации и гарантирования выполнения норм федерального законодательства в полном объеме Оператор считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных, а также обеспечение безопасности процессов их обработки.
2. Политика характеризуется следующими признаками:
1. Разработана в целях обеспечения реализации требований законодательства РФ в области обработки ПДн субъектов персональных данных.
2. Раскрывает основные категории персональных данных, обрабатываемых Оператором, цели, способы и принципы обработки Оператором ПДн, права и обязанности оператора при обработке ПДн, права субъектов ПДн, а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности ПДн при их обработке.
3. Является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке ПДн.
3. Действие настоящего документа распространяется на все процессы, в рамках которых осуществляется обработка персональных данных субъектов ПДн всех категорий.

3. Информация об операторе

1. Общество с ограниченной ответственностью «Рич»
2. ИНН 5050087359
3. Фактический адрес: 141100, Московская область, город Щёлково, 1-й советский переулок, д. 7
4. Тел.: +7(496) 567-07-51
5. Е-mail: rich-dent@yandex.ru

4. Правовые основания обработки персональных данных

1. Политика Оператора в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами:
1. «Конституция Российской Федерации»;
2. Федеральный закон от 30.11.1994 №51-ФЗ «Гражданский кодекс Российской Федерации»;
3. Федеральный закон от 30.12.2001 197-ФЗ «Трудовой кодекс Российской Федерации»;
4. Федеральный закон от 31.07.1998 №146-ФЗ «Налоговый кодекс Российской федерации»;
5. Федеральный закон Российской Федерации от 21 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
6. Федеральный закон от 29.11.2010 № 326-ФЗ "Об обязательном медицинском страховании в Российской Федерации";
7. Федеральный закон от 01.04.1996 №27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»
8. Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
9. Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
10. Федеральный закон Российской Федерации от 02 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;
11. Федеральный закон от 30.12.2001 г №195-ФЗ «Кодекс Российской Федерации об административных правонарушениях»;
12. Федеральный закон от 04.05.2011 №99-ФЗ «О лицензировании отдельных видов деятельности»;
13. Федеральный закон от 25.12.2008 №273-ФЗ «О противодействии коррупции»;
14. Федеральный закон от 27.07.2009 №210-ФЗ «Об организации предоставления государственных и муниципальных услуг»;
15. Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
16. Постановление Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
17. Приказ ФСТЭК России от 18.02.2013 N 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
2. Во исполнение настоящей Политики Оператором утверждены следующие локальные нормативные правовые акты:
1. Положение по обработке и защите персональных данных в ООО «Рич»;
2. Приказ генерального директора ООО «Рич» «Об утверждении Положения об обработке персональных данных в ООО «Рич».
3. Перечень обрабатываемых персональных данных.
4. Перечень должностей, работников, допущенных к обработке персональных данных.
5. Модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных.
6. Акт классификации информационной системы персональных данных.

5. Цели обработки персональных данных

1. Оператор обрабатывает персональные данные исключительно в следующих целях:
1. Исполнения положений нормативных актов, указанных в п.4.1. настоящей Политики.
2. Принятие решения о трудоустройстве соискателя.
3. Заключения и выполнения обязательств по трудовым договорам, договорам гражданско-правового характера и договорам с контрагентами.
4. Предоставления субъектам персональных данных квалифицированной медицинской помощи, учета результатов договорных обязательств, а также наиболее полного исполнения учреждением обязательств и компетенций в соответствии с Федеральным законам "Об обязательном медицинском страховании граждан в Российской Федерации" от 29 ноября 2010 года № 326-ФЗ и Федеральным законом "Об основах охраны здоровья граждан в Российской Федерации" от 21.11.2011 № 323-ФЗ.
5. Осуществление связи с пользователями Сайта Оператора в случае необходимости.
6. Сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, передача ПДн по защищенным каналам связи «Элвис -Телеком». Обработка персональных данных: без использования средств автоматизации.
2. Обработка персональных данных пациентов Оператора осуществляется для решения следующих задач:
1. Осуществление расчетов с ФОМС и страховыми организациями за оказание медицинских услуг застрахованным.
2. Формирования отчетов по стоматологической клинике.
3. Назначение и начисление счетов на оказание услуг и иных выплат.
4. Бухгалтерский учет и контроль финансово-хозяйственной деятельности Оператора и исполнения финансовых обязательств по заключенным договорам.
5. Обработка амбулаторных карт (в т.ч. в электронной форме).
6. Поддержание контактов с законными представителями субъекта персональных данных.
7. Проведение лечебно-профилактических мероприятий.
8. Иные задачи, необходимые для повышения качества и эффективности деятельности Оператора.

6. Категории обрабатываемых персональных данных

1. В зависимости от субъекта персональных данных, Оператор обрабатывает персональные данные следующих категорий субъектов персональных данных:
1. Персональные данные сотрудников.
2. Персональные данные кандидатов на замещение вакантных должностей Оператора.
3. Персональные данные лиц, с которыми заключены договоры.
4. Персональные данные физического лица, обратившегося к Оператору с жалобами, заявлениями и обращениями.
5. Персональные данные пользователей Сайта Оператора.
6. Персональные данные пациентов — лиц, которым оказываются или уже оказаны медицинские услуги специалистами Оператора и их законных представителей.
2. При обращении к Оператору пациент предоставляет следующую информацию:
1. ФИО.
2. Дата рождения.
3. Адрес прописки.
4. Адрес фактического проживания.
5. Паспортные данные.
6. Данные полиса медицинского страхования.
7. СНИЛС.
8. Рабочее положение, место работы.
9. Пол.
10. Профессия.
11. Данные о состоянии здоровья (история болезни, цель посещения, исход лечения и т.д.).
3. Данная информация собирается исключительно с письменного согласия на обработку персональных данных субъекта персональных данных или его законного представителя. При отказе субъекта персональных данных дать согласие ему объясняются последствия такого отказа.
4. В соответствии с ст. 7 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» Учреждение не раскрывает персональные данные третьим лицам и не распространяет их без согласия субъекта персональных данных.
5. Субъект персональных данных имеет право на доступ к своим персональным данным по письменному запросу на имя Генерального директора. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя

7. Принципы обработки персональных данных

1. Оператор в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в ст. 5 Федерального закона 152-ФЗ «О персональных данных».
2. Оператор не осуществляет обработку биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).
3. Оператор не производит трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных.

8. Сведения о третьих лицах, участвующих в обработке персональных данных

1. В целях соблюдения законодательства РФ, для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных Оператор в ходе своей деятельности предоставляет персональные данные следующим организациям:
1. Федеральной налоговой службе.
2. Пенсионному фонду Российской Федерации.
3. Фонду обязательного медицинского страхования Российской Федерации.
4. Страховым медицинским организациям.
5. Министерству здравоохранения.

9. Меры по обеспечению безопасности персональных данных при их обработке

1. Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:
1. Назначением ответственных за организацию обработки персональных данных.
2. Осуществлением внутреннего контроля и/или аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам.
3. Ознакомлением работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных, и (или) обучением указанных сотрудников.
4. Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
5. Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных.
6. Учетом машинных носителей персональных данных.
7. Выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер.
8. Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
9. Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
10. Контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.
11. Применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
2. Обязанности должностных лиц, осуществляющих обработку и защиту ПДн, а также их ответственность, определяются в «Положении по обработке и защите персональных данных в АУЗ Республиканская стоматологическая поликлиника».

10. Права субъектов персональных данных

1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Оператором.
2. Субъект персональных данных вправе требовать от Оператора, который их обрабатывает, уточнения этих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.
4. Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться к Оператору. Тот рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
5. Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных (см.п.11.2).
6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

11. Заключительные положения

1. Настоящая политика утверждается генеральным директором.
2. Оператор имеет право вносить изменения в настоящую Политику.
3. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее утверждения и размещения на сайте Оператора, если иное не предусмотрено новой редакцией Политики.
4. Настоящая политика обязательна для соблюдения и ознакомления всех сотрудников Оператора.