Политика обработки персональных данных

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика обработки персональных данных ООО «АйМед Лабс» (далее - Политика) разработана в соответствии с Конституцией РФ, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в РФ», Трудовым кодексом РФ, а также иными нормативными правовыми актами Российской Федерации в области защиты информации и персональных данных, Уставом и локальными нормативными актами ООО «АйМед Лабс».

1.2. Политика определяет порядок и условия обработки персональных данных в Обществе с ограниченной ответственностью «АйМед Лабс» (ОГРН: 1192036000342, ИНН: 2014018428, юридический адрес: 364024, Чеченская Республика, г. Грозный, ул. им. С. Ш. Лорсанова, зд. 25А, офис 213) (далее - Оператор), а также устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации в сфере персональных данных, и меры по обеспечению безопасности персональных данных для защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Оператор включен в Реестр операторов, осуществляющих обработку персональных данных, Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

1.3. Основные понятия, используемые в Политике:

Персональные данные (ПД) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Субъект персональных данных - физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных (включая пациентов, их законных представителей, работников Оператора, пользователей сайта Оператора);

Оператор - ООО «АйМед Лабс», самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД;

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Специальные категории персональных данных - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. В рамках деятельности Оператора обрабатываются исключительно данные, касающиеся состояния здоровья субъектов;

Врачебная тайна - сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении;

Автоматизированная обработка персональных данных - обработка ПД с помощью средств вычислительной техники;

Неавтоматизированная обработка персональных данных - обработка ПД, содержащихся в информационной системе ПД либо извлеченных из такой системы, если такие действия с ПД, как использование, уточнение, распространение, уничтожение ПД в отношении каждого из субъектов ПД, осуществляются при непосредственном участии человека;

Информационная система персональных данных (ИСПД) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

Конфиденциальность персональных данных - обязанность Оператора и иных лиц, получивших доступ к ПД, не раскрывать третьим лицам и не распространять ПД без согласия субъекта ПД, если иное не предусмотрено федеральным законом.

1.4. Настоящая Политика является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке и защите ПД. Обработка персональных данных и сведений, составляющих врачебную тайну, осуществляется на основании согласия субъекта ПД, а также на иных законных основаниях, прямо предусмотренных законодательством Российской Федерации.

1.5. Настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на официальном сайте Оператора, а также размещается на информационных стендах Оператора.

1.6. Оператор вправе вносить изменения в настоящую Политику. Новая редакция Политики вступает в силу с момента ее утверждения и размещения на сайте/стендах Оператора, если иное не предусмотрено новой редакцией Политики.

2. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Оператор осуществляет обработку ПД на основании:

• Конституции Российской Федерации;
• Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
• Трудового кодекса Российской Федерации (для работников Оператора);
• Устава ООО «АйМед Лабс»;
• Договоров, заключаемых между Оператором и субъектами персональных данных (включая договоры об оказании платных медицинских услуг);
• Согласия субъекта персональных данных на обработку его персональных данных (включая согласие на обработку специальных категорий ПД и согласие на передачу сведений, составляющих врачебную тайну);
• Иных федеральных законов и принятых на их основе нормативных правовых актов, регулирующих отношения, связанные с деятельностью Оператора.

3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Обработка персональных данных Оператором осуществляется в следующих целях:

• Предоставление медицинских услуг субъектам персональных данных (пациентам), включая проведение лабораторной диагностики, исследований, консультаций.
• Идентификация пациентов и их законных представителей.
• Заключение, исполнение и прекращение договоров с субъектами персональных данных (включая договоры об оказании платных медицинских услуг).
• Ведение и хранение первичной медицинской документации (в т.ч. направлений на исследования, бланков-заказов, журналов регистрации, результатов лабораторных исследований) в соответствии с требованиями законодательства РФ.
• Установление и подтверждение диагноза, определение тактики обследования и лечения.
• Обеспечение соблюдения законов и иных нормативных правовых актов РФ.
• Информирование пациентов о результатах оказанных медицинских услуг (в т.ч. направление результатов анализов) способами, указанными в согласии пациента.
• Осуществление связи с субъектом ПД для предоставления информации об оказываемых услугах, записи на прием, уточнения данных.
• Улучшение качества оказываемых услуг, проведение внутреннего контроля качества и безопасности медицинской деятельности.
• Обработка обращений, запросов и жалоб субъектов ПД.
• Осуществление трудовых отношений с работниками Оператора.
• Проведение Оператором рекламных и маркетинговых мероприятий, информирование об акциях и специальных предложениях (на основании согласия субъекта ПД).

3.2. Сроки обработки персональных данных:

3.2.1. Пациентов: в течение сроков хранения медицинской документации, установленных приказами Минздрава РФ (в частности, Приказом Минздрава от 22.04.2022 № 281н для лабораторных журналов и результатов - от 5 до 10 лет; для медицинских карт - 25 лет), либо до момента отзыва согласия пациентом (если дальнейшее хранение не требуется по закону).

3.2.2. Работников (действующих и уволенных): в течение срока действия трудового договора, а после увольнения - в течение сроков, установленных ст. 22.1 ФЗ-125 «Об архивном деле» (50 лет для документов, созданных после 01.01.2003 г., и 75 лет для документов, созданных до 01.01.2003 г.).

3.2.3. Кандидатов на вакансии: в течение 30 дней с момента принятия решения об отказе в приеме на работу, если иной срок не обусловлен необходимостью защиты прав и законных интересов Оператора в рамках сроков исковой давности по трудовым спорам, либо при наличии письменного согласия кандидата на включение в кадровый резерв.

3.2.4. Пользователей сайта: в течение 1 года или до момента отзыва согласия (очистки файлов «cookie» пользователем).

4. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Категории субъектов персональных данных, чьи данные обрабатываются Оператором:

• Пациенты (физические лица, обратившиеся за получением медицинских услуг).
• Законные представители пациентов (родители, опекуны, попечители несовершеннолетних или недееспособных пациентов).
• Представители пациентов, действующие на основании доверенности.
• Работники Оператора (в рамках трудовых отношений).
• Кандидаты на замещение вакантных должностей Оператора.
• Пользователи сайта Оператора (если осуществляется сбор ПД через сайт).
• Контрагенты Оператора (физические лица и представители юридических лиц).

4.2. Объем и категории обрабатываемых ПД определяются целями обработки и требованиями законодательства. Оператор обрабатывает следующие категории ПД (перечень может варьироваться в зависимости от целей и категории субъекта):

Общие персональные данные: Фамилия, имя, отчество; пол; дата рождения; гражданство; данные документа, удостоверяющего личность (вид, серия, номер, дата выдачи, наименование органа, выдавшего документ, код подразделения); место жительства (адрес регистрации, фактического проживания); контактные данные (номера телефонов, адрес электронной почты); СНИЛС; данные полиса ОМС/ДМС; данные о законных представителях; банковские реквизиты (при оплате услуг).

Специальные категории персональных данных (данные о состоянии здоровья): Сведения о факте обращения за медицинской помощью; сведения об анамнезе жизни и заболевания; диагноз (основной, сопутствующий); сведения о состоянии здоровья; результаты лабораторных, инструментальных и иных исследований; сведения о назначенном и проведенном лечении; иные сведения, составляющие врачебную тайну в соответствии со ст. 13 Закона об основах охраны здоровья.

Иные данные (в зависимости от категории субъекта и целей): Данные об образовании, квалификации, опыте работы (для работников и кандидатов); IP-адрес, файлы «cookie», геолокационные данные (для пользователей сайта, если применимо и есть согласие/уведомление).

4.3. Обработка специальных категорий персональных данных (о состоянии здоровья) в медико-профилактических целях осуществляется Оператором без согласия субъекта на основании Закона о персональных данных (медицинским работником, обязанным сохранять врачебную тайну). Передача указанных сведений третьим лицам (в т.ч. страховым компаниям, ИТ-подрядчикам) или их использование в иных целях осуществляется на основании отдельного письменного согласия субъекта ПД.

5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Обработка ПД осуществляется Оператором с согласия субъекта ПД на обработку его ПД, если иное не предусмотрено законодательством РФ в области персональных данных.

5.2. Обработка ПД может осуществляться Оператором следующими способами:

• Неавтоматизированная обработка персональных данных (на бумажных носителях).
• Автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой (с использованием ИСПД).
• Смешанная обработка персональных данных.

5.3. Действия, совершаемые с ПД: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

5.4. Хранение ПД:

ПД субъектов хранятся в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели обработки ПД, если срок хранения ПД не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПД.

Медицинская документация хранится в течение сроков, установленных законодательством РФ об архивном деле и законодательством об охране здоровья граждан.

Хранение ПД осуществляется на территории Российской Федерации с использованием баз данных, находящихся на территории РФ, в соответствии с ч. 5 ст. 18 Закона о персональных данных.

Хранение осуществляется в условиях, обеспечивающих сохранность ПД и исключающих несанкционированный доступ к ним.

5.5. Передача ПД:

Оператор вправе передавать ПД третьим лицам только с письменного согласия субъекта ПД (включая согласие на передачу сведений, составляющих врачебную тайну), за исключением случаев, прямо предусмотренных законодательством РФ (например, по запросам уполномоченных государственных органов).

Передача ПД может осуществляться:

• Лабораториям-исполнителям (партнерам) для проведения отдельных видов исследований, если это необходимо для исполнения договора с пациентом.
• Иным медицинским организациям для обеспечения преемственности оказания медицинской помощи (с согласия пациента или в случаях, предусмотренных законом).
• Страховым медицинским организациям (в рамках ОМС/ДМС).
• Организациям, обеспечивающим техническую поддержку ИСПД Оператора (при условии соблюдения ими конфиденциальности и безопасности ПД) на основании договора поручения на обработку и при наличии соответствующего согласия субъекта персональных данных на такую передачу.

При передаче ПД третьим лицам Оператор требует от них соблюдения конфиденциальности и обеспечения безопасности ПД.

5.6. Трансграничная передача ПД Оператором, как правило, не осуществляется. В случае необходимости такой передачи она будет выполняться в строгом соответствии с требованиями ст. 12 Закона о персональных данных.

5.7. Уничтожение ПД:

ПД подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, по истечении сроков хранения, установленных законом, а также при отзыве субъектом ПД согласия на обработку ПД (если отсутствуют иные законные основания для обработки).

Уничтожение ПД осуществляется способами, исключающими возможность последующего восстановления информации.

5.8. Врачебная тайна:

Оператор обеспечивает соблюдение врачебной тайны в соответствии со ст. 13 Закона об основах охраны здоровья.

Разглашение сведений, составляющих врачебную тайну, допускается только с письменного согласия субъекта ПД или его законного представителя, за исключением случаев, установленных частями 3 и 4 статьи 13 Закона об основах охраны здоровья.

5.9. Распространение персональных данных:

Передача персональных данных неограниченному кругу лиц (в том числе публикация фотографий, биографий сотрудников или отзывов пациентов на сайте Оператора) осуществляется исключительно при наличии отдельного Согласия на обработку персональных данных, разрешенных субъектом для распространения, оформленного в соответствии с требованиями Федерального закона № 152-ФЗ.

6. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Субъект персональных данных имеет право:

• Получать информацию, касающуюся обработки его ПД, в порядке, форме и сроках, установленные Законом о персональных данных, в том числе в виде электронного документа, подписанного электронной подписью в соответствии с законодательством РФ.
• Требовать от Оператора уточнения его ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
• Отозвать свое согласие на обработку ПД в любое время путем направления Оператору письменного заявления. Оператор прекращает обработку ПД и уничтожает их в срок, не превышающий 30 дней с даты поступления отзыва, если иное не предусмотрено соглашением или законом.
• Принимать предусмотренные законом меры по защите своих прав.
• Обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.
• Требовать прекращения обработки своих персональных данных в целях продвижения товаров, работ, услуг на рынке (прямой маркетинг), не отзывая при этом согласие на медицинское обслуживание.
• Требовать прекращения обработки и уничтожения персональных данных при достижении целей обработки или отзыве согласия (при отсутствии иных законных оснований для их дальнейшего хранения).
• На осуществление иных прав, предусмотренных законодательством РФ.

6.2. Для реализации своих прав субъект ПД или его представитель направляет письменный запрос на почтовый адрес Оператора или в форме электронного документа на адрес электронной почты Оператора (с последующим заполнением и подписанием письменного заявления в случае необходимости). Запрос должен содержать сведения, указанные в ч. 3 ст. 14 Закона о персональных данных.

7. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Оператор принимает необходимые правовые, организационные и технические меры для защиты ПД от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД.

7.2. Меры по обеспечению безопасности ПД включают:

• Назначение лица, ответственного за организацию обработки персональных данных.
• Издание локальных нормативных актов, определяющих политику и вопросы обработки и защиты ПД.
• Проведение оценки вреда, который может быть причинен субъектам ПД в случае нарушения Федерального закона № 152-ФЗ, и соотношение указанного вреда и принимаемых Оператором мер.
• Информирование Роскомнадзора о компьютерных инцидентах, повлекших неправомерную передачу (утечку) персональных данных, в сроки и порядке, установленные Федеральным законом № 152-ФЗ.
• Взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) в случае отнесения Оператора к субъектам критической информационной инфраструктуры в соответствии с Федеральным законом от 26.07.2017 № 187-ФЗ
• Ознакомление работников Оператора, непосредственно осуществляющих обработку ПД, с положениями законодательства РФ о ПД, в том числе требованиями к защите ПД, локальными актами Оператора, и, в случае необходимости, обучение указанных работников.
• Определение угроз безопасности ПД при их обработке в ИСПД.
• Применение организационных и технических мер по обеспечению безопасности ПД при их обработке в ИСПД, необходимых для выполнения требований к защите ПД (включая использование средств защиты информации, управление доступом, регистрацию и учет действий, обеспечение целостности данных, защиту среды виртуализации и т.д.).
• Осуществление внутреннего контроля и (или) аудита соответствия обработки ПД Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПД, настоящей Политике и локальным актам Оператора.
• Учет машинных носителей ПД, в случае их использования.
• Обнаружение фактов несанкционированного доступа к ПД и принятие мер.
• Восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
• Установление правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в ИСПД.
• Обеспечение физической сохранности носителей ПД и средств обработки.

8. ОТВЕТСТВЕННОСТЬ

8.1. Оператор, а также его должностные лица и работники несут ответственность за несоблюдение требований законодательства РФ в области персональных данных, а также положений настоящей Политики, в соответствии с законодательством Российской Федерации (дисциплинарную, материальную, гражданско-правовую, административную, уголовную).

9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

9.1. Настоящая Политика подлежит пересмотру и актуализации по мере необходимости, в том числе в случае изменений в законодательстве РФ о персональных данных.

9.2. Контроль исполнения требований настоящей Политики осуществляется заместителем генерального директора ООО «АйМед Лабс» по медицинским вопросам.

9.3. Вопросы, не урегулированные настоящей Политикой, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.

9.4. Контактные данные Оператора для направления запросов и обращений по вопросам обработки ПД: