ПОЛОЖЕНИЕ
«О политике обработки персональных данных в
ООО «Деловой Центр»
Медицинский центр «Медилайн»

1. Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных (далее по тексту – Политика) содержит сведения о реализуемых требованиях к защите персональных данных.
1.2. Настоящая Политика разработана в соответствии с Конституцией Российской Федерации, положениями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Трудового кодекса Российской Федерации, иных нормативных правовых актов РФ.
Настоящей Политикой Общество с ограниченной ответственностью «Деловой Центр» подтверждает, что обработка персональных данных осуществляется в полном соответствии с требованиями законодательства Российской Федерации.
1.3. Настоящая Политика в соответствии с требованиями п. 2 ст. 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» подлежит опубликованию на официальном сайте www.mediline66.ru. На бумажном носителе действующая Политика находится на информационном стенде Медицинского центра Медилайн.
1.4. Понятия и термины, используемые в настоящей Политике, применяются в значениях, установленных федеральным законодательством.
2. Информация об операторе
2.1. Наименование оператора: Общество с ограниченной ответственностью «Деловой центр» (Медицинский центр Медилайн, далее по тексту – МЦ Медилайн).
2.2. Адрес местонахождения МЦ Медилайн: 624250, Свердловская область г. Заречный, ул. Попова, д. 4.
2.3. МЦ Медилайн обрабатывает персональные данные в следующих целях:
 - исполнения требований законодательства Российской Федерации в сфере оказания медицинских услуг, осуществления фармацевтической деятельности;
- исполнения требований трудового законодательства Российской Федерации;
 - защиты прав и законных интересов пациентов МЦ Медилайн;
- исполнения договоров, стороной которых является субъект персональных данных;
 - организации и осуществления в МЦ Медилайн внутреннего контроля качества медицинской помощи;
- обеспечения личной безопасности сотрудников МЦ Медилайн и пациентов, а также обеспечение сохранности материальных и иных ценностей, находящихся в ведении МЦ Медилайн, материальных ценностей пациентов;
 - учёта информации об использовании услуг корпоративной стационарной и мобильной связи сотрудниками МЦ Медилайн;
- продвижения услуг МЦ Медилайн;
 - ведения справочника контактных данных сотрудников МЦ Медилайн.
3. Категории субъектов персональных данных, персональные данные которых обрабатываются, источники их получения, содержание и объем, сроки обработки и хранения
3.1. МЦ Медилайн обрабатывает персональные данные следующих категорий субъектов персональных данных:
- пациенты МЦ Медилайн, в том числе потенциальные пациенты (те, кто записался на прием, обследование впервые);
 - родственники пациентов МЦ Медилайн;
- представители (в силу закона и по доверенности) пациентов МЦ Медилайн;
 - сотрудники и представители действующих и потенциальных контрагентов МЦ Медилайн (юридических лиц, ИП), действующие и потенциальные контрагенты МЦ Медилайн (физические лица);
- физические лица, приобретающие у МЦ Медилайн лекарственные препараты, изделия медицинского назначения на основании соответствующего рецепта;
 - лица, являющиеся соискателями на замещение вакантных должностей МЦ Медилайн;
- посетители частных и публичных мероприятий, организованных МЦ Медилайн;
 - сотрудники (представители, контактные лица) МЦ Медилайн;
- получатели алиментов от сотрудников МЦ Медилайн;
 - лица, участвующие в гражданском, арбитражном, уголовном, административном процессах и исполнительном производстве, участником которых является МЦ Медилайн.
3.2. Источниками получения персональных данных являются:
- непосредственно субъекты персональных данных (работники, пациенты, контрагенты и др.), их представители (в силу закона и по доверенности), родственники субъектов персональных данных;
 - страховые компании в рамках работы по ОМС и ДМС;
- государственные и муниципальные органы, государственные внебюджетные фонды и уполномоченные организации в случаях, предусмотренных законодательством Российской Федерации.
3.3. Содержание и объём обрабатываемых персональных данных категорий субъектов персональных данных определяются в соответствии с целями обработки персональных данных. МЦ Медилайн не обрабатывает персональные данные, которые являются избыточными по отношению к указанным целям обработки или несовместимы с такими целями.
3.4. Сроки обработки и хранения персональных данных определяются для каждой цели обработки персональных данных в соответствии с законодательно установленными сроками хранения документации, в соответствии со сроком действия договора с субъектом персональных данных, сроками исковой давности, сроками хранения документов бухгалтерского учёта.
 3.5. В МЦ Медилайн установлены следующие условия прекращения обработки персональных данных:
- достижение целей обработки персональных данных и максимальных сроков хранения;
- изменение, признание утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;
- выявление неправомерной обработки персональных данных;
 - отзыв субъектом персональных данных согласия на обработку его персональных данных, если в соответствии с федеральным законом обработка персональных данных допускается только с согласия субъекта персональных данных.
3.6. Уничтожение персональных данных осуществляется в порядке и сроки, предусмотренные законодательством Российской Федерации.
4. Принципы и способы обработки персональных данных, перечень действий, совершаемых с персональными данными
4.1. МЦ Медилайн в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в статье 5 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
4.2. МЦ Медилайн осуществляет обработку персональных данных путём сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), использования, передачи, обезличивания, блокирования, уничтожения.
4.3. В МЦ Медилайн используется смешанный (с использованием средств автоматизации и без использования средств автоматизации) способ обработки персональных данных с передачей информации по внутренней локальной сети и с передачей информации по сети интернет в защищенном режиме.
4.4. МЦ Медилайн осуществляет обработку специальных категорий персональных данных, касающихся состояния здоровья пациентов. Обработка специальных категорий персональных данных осуществляется МЦ Медилайн только с письменного согласия субъекта на обработку персональных данных, а также по основаниям, указанным в части 2 статьи 10 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
4.5. МЦ Медилайн может осуществлять обработку биометрических персональных данных субъектов персональных данных (цифровая фотография, видеозапись) только с письменного согласия субъекта на обработку персональных данных, а также в случаях, установленных частью 2 статьи 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
4.6. МЦ Медилайн осуществляет трансграничную (иностранному физическому или юридическому лицу) передачу персональных данных с письменного согласия субъекта персональных данных, а также в случаях, установленных частью 4 статьи 12 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
4.7. МЦ Медилайн передает обрабатываемые персональные данные в уполномоченные организации, государственные органы, государственные внебюджетные фонды только на основаниях и в случаях, предусмотренных законодательством Российской Федерации.
5. Общая характеристика принимаемых мер по обеспечению безопасности персональных данных при их обработке
5.1. МЦ Медилайн обеспечивает конфиденциальность обрабатываемых персональных данных: не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральными законами.
5.2. МЦ Медилайн обеспечивает защиту персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
5.3. МЦ Медилайн принимает необходимые правовые, организационные, технические, физические, криптографические меры защиты персональных данных, а также меры, направленные на обеспечение выполнения обязанностей, предусмотренных федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Такие меры, в том числе, включают:
- назначение работников, ответственных за осуществление мероприятий по защите информации, содержащей персональные данные;
 - издание локальных актов, регламентирующих вопросы обработки и защиты персональных данных;
- ознакомление работников, непосредственно осуществляющих обработку персональных данных, под роспись с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, правовыми актами, регламентирующими вопросы обработки и защиты персональных данных, а также с ответственностью за разглашение персональных данных, нарушение порядка обращения с документами, содержащими такие данные, и иные неправомерные действия в отношении персональных данных;
 - создание системы внутреннего контроля соответствия обработки персональных данных законодательству Российской Федерации, в том числе требованиям к защите персональных данных;
- анализ и оценка угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- реализация разрешительной системы доступа работников и иных лиц к персональным данным и связанным с их использованием работам, материальным носителям, обеспечение соблюдения условий, при которых работники организации, иные лица получают доступ к персональным данным только в пределах, необходимых для выполнения своих обязанностей, либо в объёмах, вызванных необходимостью;
 - регистрация и учёт действий работников, допущенных к персональным данным; - ограничение доступа работников и иных лиц в помещения, где размещены технические средства, предназначенные для обработки персональных данных, и хранятся носители персональных данных, к информационным ресурсам, программным средствам обработки и защиты информации;
- учет материальных (машинных, бумажных) носителей персональных данных и обеспечение их сохранности;
 - определение мест хранения материальных носителей персональных данных и обеспечение раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
- использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
- предотвращение внедрения в информационные системы программ - вирусов, программных закладок;
 - резервирование технических средств и дублирование массивов и носителей информации;
- обеспечение защиты персональных данных при подключении информационных систем к информационно-телекоммуникационным сетям, в том числе сети Интернет;
- обеспечение защиты персональных данных при их передаче по каналам связи, в том числе каналам связи сети Интернет, с использованием средств криптографической защиты информации и электронной подписи; - восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
 - своевременное обнаружение фактов разглашения, утечки, несанкционированного доступа к персональным данным и принятие мер по таким фактам;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных.
6. Права субъектов персональных данных
6.1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных в МЦ Медилайн.
6.2. Субъект персональных данных вправе требовать уточнения этих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. 6.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:
1) обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
 2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
3) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
4) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
 5) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
6.4. Для реализации и защиты своих прав и законных интересов субъект персональных данных имеет право обратиться в МЦ Медилайн. МЦ Медилайн рассматривает обращения и запросы со стороны субъектов персональных данных и принимает все необходимые меры для немедленного устранения нарушений, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций.
6.5. Субъект персональных данных вправе обжаловать действия или бездействие МЦ Медилайн9 путем обращения в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.