1. Назначение и область действия

1.1. Настоящая Политика в отношении обработки персональных данных (далее — Политика) является локальным нормативным актом ООО «АмурМед» (далее — Оператор), разработанным в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных (далее — ПДн) Оператором, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, соблюдение требований законодательства Российской Федерации в области персональных данных.

1.2. Политика определяет цели и общие принципы обработки персональных данных, а также общие требования к реализуемым Оператором мерам, направленным на защиту прав субъектов ПДн.

1.3. Политика распространяется на работников Оператора, лиц, обратившихся за медицинской помощью (медицинскими услугами) к Оператору (пациенты) и контрагентов Оператора по гражданско-правовым и иным договорам, если соблюдение требований Политики относится к условиям таких договоров.

1.4. Требования Политики учитываются в отношении иных лиц, в случае возникновения необходимости их участия в процессах обработки Оператором ПДн.

1.5. Политика является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке ПДн. Политика подлежит размещению на официальном сайте Оператора в информационно-телекоммуникационной сети «Интернет».

1.6. В Политике используются термины и определения в соответствии с их значениями, как они определены в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ).

1.7. Права и обязанности субъектов, ПДн которых обрабатываются Оператором, определены Законом № 152-ФЗ.

1.8. Обработку ПДн вправе осуществлять все работники Оператора в рамках выполнения своих трудовых функций и должностных обязанностей, в соответствии с требованиями законодательства Российской Федерации и локальных актов Оператора.

1.9. Работники Оператора несут дисциплинарную, административную и уголовную ответственность за нарушение требований законодательства Российской Федерации в области персональных данных.

2. Правовые основания обработки ПДн

2.1. Правовым основанием обработки ПДн является совокупность нормативных правовых актов, во исполнение которых Оператор осуществляет обработку ПДн:

• Конституция Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон от 12.01.1996 № 7-ФЗ «О некоммерческих организациях»;
• Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
• Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;
• Федеральный закон от 30.03.1999 № 52-ФЗ «О санитарно-эпидемиологическом благополучии населения»;
• Федеральный закон от 16.07.1999 № 165-ФЗ «Об основах обязательного социального страхования»;
• Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
• Федеральный закон от 25.12.2008 № 273-ФЗ «О противодействии коррупции»;
• Федеральный закон от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»;
• Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
• Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
• Федеральный закон от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации»;
• иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.

2.2. Правовым основанием обработки ПДн также являются:

• учредительные документы Оператора;
• гражданско-правовые и иные договоры, заключаемые между Оператором и субъектами ПДн;
• согласие субъектов ПДн на обработку их ПДн.

3. Цели обработки ПДн

3.1. Оператор осуществляет обработку ПДн в следующих целях:

• оказание гражданам медицинской помощи и выполнение обязанностей медицинской организации;
• оформление, осуществление и прекращение трудовых отношений;
• оформление, осуществление и прекращение гражданско-правовых отношений с физическими и юридическими лицами;
• формирование первичной отчётной документации, её хранение в течение сроков, установленных законодательством Российской Федерации.

3.2. Оператор осуществляет обработку ПДн также в целях выполнения обязанностей юридического лица, установленных законодательством Российской Федерации.

4. Категории ПДн, субъекты, способы, сроки обработки и порядок уничтожения

4.1. Оператор обрабатывает общие и специальные категории ПДн.

4.2. В перечень общих категорий ПДн входят:

• фамилия, имя, отчество (последнее — при наличии);
• пол;
• дата рождения;
• место рождения;
• гражданство;
• данные документа, удостоверяющего личность;
• место жительства; дата и место регистрации;
• семейное положение;
• сведения о документе, подтверждающем полномочия законного представителя;
• реквизиты свидетельств о заключении брака, рождении ребёнка, смерти;
• индивидуальный номер налогоплательщика; платёжные реквизиты; СНИЛС;
• сведения об образовании, учёной степени, учёном звании;
• сведения о документах воинского учёта;
• сведения о доходах, расходах, имуществе и обязательствах;
• сведения о поощрениях, взысканиях, наградах;
• сведения о судимости и привлечении к уголовной ответственности;
• сведения для миграционного учёта иностранных граждан;
• сведения о служебном удостоверении;
• номер телефона; адрес электронной почты; почтовый адрес;
• сведения о проездных документах и транспортном средстве;
• видео- и фотоизображение, аудиозапись голоса;
• адрес личной страницы в сети «Интернет»;
• сведения о потребительских предпочтениях;
• электронные пользовательские данные (cookies, IP-адреса, геолокация и др.);
• копии документов субъекта ПДн.

4.3. Для медицинских и фармацевтических работников дополнительно обрабатываются:

• сведения об образовании, сертификате специалиста, аккредитации;
• наименование и должность в медицинской или фармацевтической организации;
• сведения о членстве в профессиональных некоммерческих организациях.

4.4. В перечень специальных категорий ПДн входят:

• номер полиса обязательного медицинского страхования;
• анамнез;
• диагноз;
• сведения об организации, осуществляющей медицинскую деятельность;
• вид, условия, сроки и объём оказанной медицинской помощи;
• результат обращения за медицинской помощью;
• серия и номер листка нетрудоспособности;
• сведения о медицинских экспертизах, осмотрах, освидетельствованиях;
• применённые клинические рекомендации;
• сведения о медицинском работнике, оказавшем помощь;
• медицинские изображения;
• биометрические данные.

4.7. Оператор осуществляет обработку ПДн следующих категорий субъектов:

• работники;
• соискатели;
• пациенты и лица, обратившиеся за медицинской помощью;
• представители пациентов;
• контрагенты — физические лица;
• представители контрагентов — юридических лиц;
• граждане, обратившиеся в порядке рассмотрения обращений граждан;
• должностные лица и представители органов государственной и муниципальной власти;
• лица, разместившие ПДн в общедоступных источниках;
• лица, ПДн которых получены на законном основании.

4.8. Оператор осуществляет обработку всех категорий ПДн для достижения всех целей обработки ПДн, определённых разделом 3 Политики.

4.9. Содержание и объём обрабатываемых ПДн определяются исходя из целей обработки. Избыточные или несовместимые с целями ПДн не обрабатываются.

4.10. Оператор осуществляет обработку ПДн, доступ к которым предоставлен субъектом ПДн либо по его просьбе.

4.11. Обработка ПДн ведётся смешанным способом — с использованием средств автоматизации и без таковых.

4.12. Оператор совершает с ПДн следующие действия: сбор; запись; систематизацию; накопление; хранение; уточнение; извлечение; использование; передачу; обезличивание; блокирование; удаление, уничтожение.

4.13. При обработке Оператор обеспечивает точность ПДн, их достаточность и актуальность.

4.14. Обработка и хранение ПДн осуществляются не дольше, чем того требуют цели обработки.

4.15. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию при наступлении следующих условий:

• достижение целей обработки или максимальных сроков хранения — в течение 30 дней;
• утрата необходимости в достижении целей обработки — в течение 30 дней;
• подтверждение субъектом незаконности получения ПДн — в течение 7 дней;
• невозможность обеспечения правомерности обработки — в течение 10 дней;
• отзыв субъектом согласия на обработку — в течение 30 дней;
• требование субъекта о прекращении обработки — в течение 10 дней;
• ликвидация (реорганизация) Оператора при отсутствии правопреемника.

4.16. ПДн могут передаваться Оператором иным органам и организациям в случаях, предусмотренных законодательством Российской Федерации.

4.17. Уничтожение ПДн производится:

• с использованием шредера — для бумажных носителей;
• путём механического нарушения целостности либо гарантированного удаления данных — для электронных носителей.

4.18. Уничтожение ПДн осуществляется на основании решения комиссии Оператора и оформляется актом.

4.19. Трансграничная передача ПДн Оператором не осуществляется, если иное не предусмотрено законодательством, согласием на обработку ПДн и (или) соглашением с субъектом ПДн.

4.20. Оператор выполняет обработку специальных категорий ПДн в соответствии с действующим законодательством, в том числе без получения согласия субъекта.

5. Обработка электронных пользовательских данных, включая cookies

5.1. Оператор может собирать электронные пользовательские данные на своих сайтах автоматически, без участия пользователя.

5.2. Достоверность собранных данных не проверяется — информация обрабатывается «как есть».

5.3. Посетителям сайтов могут показываться уведомления о сборе и обработке данных cookies со ссылкой на Политику.

5.4. При посещении сайтов Оператора в браузере пользователя может сохраняться информация (cookies), позволяющая идентифицировать пользователя или устройство.

5.5. Обработка cookies необходима для корректной работы сайтов, персонализации и повышения удобства работы.

5.6. На сайтах Оператора могут использоваться cookies сторонних организаций, в том числе:

• счётчики посещений и аналитические сервисы (например, Яндекс.Метрика);
• виджеты для сбора обратной связи и организации чатов;
• функции авторизации через учётные записи в социальных сетях.

5.7. Принятие условий обработки cookies или закрытие уведомления расценивается как согласие на их обработку.

5.8. В случае несогласия с обработкой cookies пользователь вправе:

• настроить браузер на запрет cookies;
• использовать режим «инкогнито»;
• покинуть сайт Оператора.

5.9. Пользователь вправе самостоятельно управлять сохранёнными данными cookies через встроенные средства браузера.

6. Конфиденциальность и безопасность ПДн

6.1. Оператор обеспечивает конфиденциальность ПДн в соответствии с законодательством и условиями договоров, кроме случаев, когда ПДн содержатся в общедоступных источниках или подлежат обязательному раскрытию.

6.2. Оператор принимает необходимые меры защиты ПДн, в том числе:

• назначение ответственного лица за организацию обработки и безопасность ПДн;
• разработка локальных актов по вопросам обработки ПДн и информационной безопасности;
• обучение работников;
• обеспечение физической безопасности помещений (пропускной режим, охрана, видеонаблюдение);
• ограничение и разграничение прав доступа, мониторинг действий с ПДн;
• определение угроз безопасности и формирование моделей угроз;
• применение антивирусных средств, межсетевых экранов, средств криптографической защиты;
• учёт и хранение носителей информации;
• резервное копирование информации;
• внутренний контроль за соблюдением установленного порядка;
• включение в договоры условий об обеспечении конфиденциальности ПДн;
• иные меры в соответствии с локальными актами Оператора.

6.3. В случае установления факта неправомерной или случайной передачи ПДн Оператор уведомляет Роскомнадзор или иной уполномоченный орган в установленном порядке.