Положение об обработке и защите персональных данных клиента

«Утверждаю»

Директор ООО «ЧДКПЦ «Ноль плюс»

____________________М.А. Чанкова

 

«15» декабря 2014 г

 

 

ПОЛОЖЕНИЕ

об обработке и защите персональных данных клиента

ООО «Частный детский консультативно-профилактический

центр «Ноль плюс»

 

1. Общие положения

1.1. Цель данного Положения – обеспечение требований защиты прав граждан при обработке их персональных данных.

1.2. Персональные данные (далее — ПД) могут обрабатываться только для целей, непосредственно связанных с деятельностью ООО «ЧДКПЦ «Ноль плюс» (далее – Организация), в частности, для оказания медицинской помощи гражданам. Организация собирает ПД только в объеме, необходимом для достижения названных целей.

1.3. Сбор, хранение, использование и распространение, в том числе передача третьим лицам ПД без письменного согласия клиента не допускаются.

1.4. Режим конфиденциальности ПД снимается в случаях обезличивания или включения их в общедоступные источники ПД, если иное не определено законом.

1.5. Сотрудники Организации, в обязанность которых входит обработка ПД Клиента, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.

1.6. ПД не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.

1.7. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.

1.8. Настоящее положение утверждается директором ООО «ЧДКПЦ «Ноль плюс» и является обязательным для исполнения всеми сотрудниками, имеющими доступ к ПД клиента.


2. Понятие и состав персональных данных

2.1. Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация.

2.2. К персональным данным клиентов, которые обрабатывает Организация, относятся:

- паспортные данные (фамилия, имя, отчество, место, год и дата рождения, место регистрации, серия, номер паспорта, кем и когда выдан);

- информация о трудовом стаже (место работы, должность, период работы, период работы, причины увольнения);

- данные полиса ДМС;

- состояние здоровья;

- результаты анализов;

- результаты медицинского осмотра,

- иная информация, которую граждане добровольно сообщают о себе.

 

3. Принципы обработки персональных данных клиента

Обработка ПД должна осуществляться на основе принципов:

- законности целей и способов обработки ПД и добросовестности;

- соответствия целей обработки ПД целям, заранее определенным и заявленным при сборе ПД, а также полномочиям Организации;

- соответствия объема и характера обрабатываемых ПД, способов обработки ПД к целям их обработки;

- достоверности ПД, их достаточности для целей обработки, недопустимости обработки ПД, избыточных по отношению к целям, заявленным при их сборе;

- недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем ПД;

- уничтожения ПД после достижения целей обработки или в случае утраты необходимости в их достижении;

- личной ответственности сотрудников Организации за сохранность и конфиденциальность ПД, а также носителей этой информации;

- наличие четкой разрешительной системы доступа сотрудников Организации к документам и базам данных, содержащим ПД.


4. Обязанности Организации

В целях обеспечения прав и свобод человека и гражданина Организация при обработке ПД клиента обязана соблюдать следующие общие требования:

- обработка ПД клиента может осуществляться исключительно в целях оказания законных услуг клиентам;

- ПД клиента следует получать у него самого. Если ПД клиента возможно получить только у третьей стороны, то клиент должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие;

- сотрудники Организации должны сообщить клиентам о целях, предполагаемых источниках и способах получения ПД, а также о характере подлежащих получению ПД и последствиях отказа клиента дать письменное согласие на их получение;

- организация не имеет права получать и обрабатывать ПД клиента о его расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законом. В частности, Организация вправе обрабатывать указанные ПД клиента только с его письменного согласия;

- при наличии надлежащим образом оформленного запроса предоставлять клиенту доступ к его ПД;

- хранение и защита ПД клиента от неправомерного их использования или утраты должна быть обеспечена Организацией за счет ее средств в порядке, установленном законодательством;

- в случае выявления недостоверных ПД или неправомерных действий с ними оператора при обращении или по запросу клиента либо уполномоченного органа по защите прав субъектов ПД Организация обязана осуществить блокирование ПД на период проверки;

- в случае подтверждения факта недостоверности ПД оператор на основании документов, представленных клиентом либо уполномоченным органом по защите прав субъектов ПД, или иных необходимых документов обязан уточнить ПД и снять их блокирование;

- в случае достижения цели обработки ПД Организация обязана незамедлительно прекратить обработку ПД и уничтожить соответствующие ПД в срок, не превышающий трех рабочих дней, и уведомить об этом клиента, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов ПД, также указанный орган;

- в случае отзыва клиентом согласия на обработку своих ПД Организация обязана прекратить обработку ПД и уничтожить ПД в срок, не превышающий трех рабочих дней, если иное не предусмотрено соглашением между Организацией и клиентом. Об уничтожении ПД Организация обязана уведомить клиента.


5. Права клиента

Клиент имеет право:

- на доступ к информации о самом себе;

- на определение форм и способов обработки ПД;

- на отзыв согласия на обработку ПД;

- ограничивать способы и формы обработки ПД, запрет на распространение ПД без его согласия;

- требовать изменение, уточнение, уничтожение информации о самом себе;

- обжаловать неправомерные действия или бездействия по обработке ПД и требовать соответствующей компенсации в суде;

- определять представителей для защиты своих ПД;

- требовать от Организации уведомления всех лиц, которым ранее были сообщены неверные или неполные ПД клиента, обо всех произведенных в них изменениях или исключениях из них.

6. Сбор, обработка и хранение персональных данных

Обработка персональных данных – действия (операции) с ПД, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

 

6.1. Порядок получения персональных данных

Все ПД клиента следует получать у него самого после предоставления им письменного согласия.

Письменное согласие включает в себя:

- фамилию, имя, отчество, адрес субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

- фамилия, имя, отчество, адрес представителя субъекта ПД, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя;

- наименование (фамилию, имя, отчество) и адрес Организации, получающей согласие субъекта ПД;

- цель обработки ПД;

- перечень ПД, на обработку которых дается согласие субъекта ПД;

- наименование или фамилия, имя и отчество и адрес лица, осуществляющего обработку ПД по поручению оператора, если обработка будет поручена такому лицу;

- перечень действий с ПД, на совершение которых дается согласие, общее описание используемых Организацией способов обработки ПД;

- срок, в течение которого действует согласие субъекта ПД, а также способ его отзыва;

- подпись субъекта ПД.

В случае недееспособности субъекта ПД, согласие на обработку его ПД дает законный представитель субъекта ПД.

 

Согласие не требуется, если:

- обработка ПД необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

- обработка ПД необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);

- обработка ПД необходима для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", для обеспечения предоставления такой услуги, для регистрации субъекта ПД на едином портале государственных и муниципальных услуг;

- обработка ПД необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД, а также для заключения договора по инициативе субъекта ПД или договора, по которому субъект ПД будет являться выгодоприобретателем или поручителем;

- обработка ПД необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение согласия субъекта ПД невозможно;

- обработка ПД необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПД;

- обработка ПД осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» , при условии обязательного обезличивания ПД;

- осуществляется обработка ПД, доступ неограниченного круга лиц к которым предоставлен субъектом ПД либо по его просьбе (далее - ПД, сделанные общедоступными субъектом ПД);

- осуществляется обработка ПД, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

 

6.2. При сборе ПД оператор обязан предоставить субъекту ПД по его просьбе следующую информацию:

- подтверждение факта обработки ПД Организацией, а также цель такой обработки;

- способы обработки ПД, применяемые Организацией;

- сведения о лицах, которые имеют доступ к ПД или которым может быть предоставлен такой доступ;

- перечень обрабатываемых ПД и источник их получения;

- сроки обработки ПД, в том числе сроки их хранения;

- сведения о том, какие юридические последствия для субъекта ПД может повлечь за собой обработка его ПД.

 

6.3. Если ПД о клиенте возможно получить только у третьей стороны, то клиенту должна быть предоставлена следующая информация:

- наименование (фамилия, имя, отчество) и адрес Организации;

- цель обработки ПД и ее правовое основание;

- предполагаемые пользователи ПД;

- установленные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» права субъекта ПД.

 

Организация не имеет права получать и обрабатывать ПД клиента о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, за исключением случаев, предусмотренных законом.

В частности, Организация вправе обрабатывать указанные ПД клиента только с его письменного согласия.

Организация не вправе производить обработку данных о судимости клиента.

 

6.4. Обработка, передача и хранение ПД клиента

К обработке, передаче и хранению ПД клиента могут иметь доступ только сотрудники, допущенные к работе с ПД.

При передаче ПД клиента Организация должна соблюдать следующие требования:

- не сообщать ПД клиента третьей стороне без его письменного согласия;

- предупредить лиц, получающих ПД клиента о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.

Лица, получающие ПД клиента, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется в случае обезличивания ПД и в отношении общедоступных данных.

- разрешать доступ к ПД клиентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те ПД клиента, которые необходимы для выполнения конкретных функций;

- не запрашивать информацию о судимости Клиента.

 

6.5. Хранение персональных данных

ПД клиента хранятся в его медицинской карте. Медицинская карта клиента ведется сотрудниками, допущенными к работе с ПД клиента.

Организация работы с клиентом должна быть подчинена, в том числе, решению задач обеспечения безопасности ПД, их защиты:

- при работе с клиентом сотрудник не должен выполнять функции, не связанные с приемом, вести служебные и личные переговоры по телефону. На его столе не должно быть никаких документов, кроме тех, которые касаются данного посетителя;

- не допускается отвечать на вопросы, связанные с передачей ПД по телефону;

- медицинские карты клиентов, журналы и книги учета, содержащие ПД клиентов, хранятся в рабочее и в нерабочее время в металлических запирающихся шкафах. Сотрудникам Организации не разрешается при выходе из помещения оставлять какие-либо документы, содержащие ПД, на рабочем столе или оставлять шкафы незапертыми;

- на рабочем столе сотрудника должен всегда находиться только тот массив документов и учетных карточек, с которым в настоящий момент он работает. Другие документы, дела, карточки, журналы должны находиться в запертом шкафу. Исполняемые документы не разрешается хранить в россыпи. Их следует помещать в папки, на которых указывается вид производимых с ними действий (подшивка в личные дела, для отправки и пр.).

- в конце рабочего дня все документы, дела, листы бумаги и блокноты с рабочими записями, инструктивные и справочные материалы должны быть убраны в металлические шкафы, сейфы. На рабочем столе не должно оставаться ни одного документа. Черновики и редакции документов, испорченные бланки, листы со служебными записями в конце рабочего дня уничтожаются.


7. Доступ к персональным данным клиента

7.1. Внутренний доступ (доступ внутри организации)

Право доступа к ПД клиента имеют:

- руководитель Организации;

- другие сотрудники Организации, доступ к ПД клиентов которым необходим для выполнения своих должностных обязательств.

7.2. Внешний доступ (доступ вне организации)

Персональные данные клиента могут быть предоставлены третьим лицам только с письменного согласия клиента.

Организация обеспечивает ведение журнала учета выданных ПД клиента, в котором фиксируются сведения о лице, которому передавались ПД клиента, дата передачи ПД или дата уведомления об отказе в предоставлении ПД, а также отмечается, какая именно информация была передана.

Доступ клиента к своим ПД предоставляется при обращении либо при получении запроса клиента. Организация обязана сообщить клиенту информацию о наличии ПД о нем, а также предоставить возможность ознакомления с ними в течение десяти рабочих дней с момента обращения.

Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПД или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта ПД или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.

Клиент имеет право на получение при обращении или при получении запроса информации, касающейся обработки его ПД, в том числе содержащей:

- подтверждение факта обработки ПД Организацией, а также цель такой обработки ;

- способы обработки ПД, применяемые Организацией;

- сведения о лицах, которые имеют доступ к ПД или которым может быть предоставлен такой доступ;

- перечень обрабатываемых ПД и источник их получения;

- сроки обработки ПД, в том числе сроки их хранения;

- сведения о том, какие юридические последствия для клиента может повлечь за собой обработка его ПД.

Сведения о наличии ПД должны быть предоставлены клиенту в доступной форме, и в них не должны содержаться ПД, относящиеся к другим субъектам ПД.

Право клиента на доступ к своим ПД ограничивается в случае, если предоставление ПД нарушает конституционные права и свободы других лиц.


8. Защита персональных данных

8.1. Защита ПД работника от неправомерного их использования или утраты обеспечивается Работодателем за счет его средств в порядке, установленном федеральным законом.

8.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПД клиента, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

8.3. Все лица, связанные с получением, обработкой и защитой ПД клиента обязаны заключить «Соглашение о неразглашении персональных данных клиента».


9. Уточнение, блокирование и уничтожение персональных данных

9.1. Блокирование информации, содержащие ПД клиента, производится в случае:

- если ПД являются неполными, устаревшими, недостоверными;

- если сведения являются незаконно полученными или не являются необходимыми для заявленной цели обработки.

9.2. В случае подтверждения факта недостоверности ПД Организация на основании документов, представленных клиентом, уполномоченным органом по защите прав субъектов ПД или полученных в ходе самостоятельной проверки, обязана уточнить ПД и снять их блокирование.

9.3. В случае выявления неправомерных действий с ПД Организация обязана устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с момента выявления неправомерности действий с ПД, обязан их уничтожить.

9.4. Об устранении допущенных нарушений или об уничтожении ПД Организация обязана уведомить клиента, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов ПД, также указанный орган.

9.5. Организация обязана уничтожить ПД клиента в случае:

- достижения цели обработки персональных данных;

- отзыва клиентом согласия на обработку своих ПД.

9.6. Уничтожение ПД должно быть осуществлено в течение трех дней с указанных моментов. Соглашением Организации с клиентом могут быть установлены иные сроки уничтожения ПД при достижении цели их обработки.

Организация должна направить уведомление об уничтожении ПД клиенту, а в случае, если обращение или запрос о недостоверности ПД были направлены уполномоченным органом по защите прав субъектов ПД, также в указанный орган.


10. Ответственность за разглашение персональных данных

10.1. Организация ответственна за персональную информацию, которая находится в ее распоряжении и закрепляет персональную ответственность сотрудников за соблюдением установленных в организации принципов уважения приватности.

10.2. Организация обязуется поддерживать систему приема, регистрации и контроля рассмотрения жалоб клиентов, доступную как посредством использования Интернета, так и с помощью телефонной, телеграфной или почтовой связи.

10.3. Любое лицо может обратиться к сотруднику Организации с жалобой на нарушение данного Положения. Жалобы и заявления по поводу соблюдения требований обработки ПД рассматриваются в десятидневный срок со дня поступления.

10.4. Сотрудники Организации обязаны на должном уровне обеспечивать рассмотрение запросов, заявлений и жалоб клиентов, а также содействовать исполнению требований компетентных органов. Лица, виновные в нарушении требований настоящего Положения привлекаются к дисциплинарной ответственности.