Политика конфиденциальности
ПОЛИТИКА ЛПУП Санаторий «им. М.Ю. Лермонтова» ПО ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Общие положения
1.1. Настоящая Политика по обработке и защите персональных данных в ЛПУП Санаторий «им. М.Ю. Лермонтова» (далее — Политика конфиденциальности) разработана в соответствии с Конституцией РФ, Гражданским кодексом РФ, Трудовым кодексом РФ, Федеральным законом от 27.07.06 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом 27.07.06 года № 152-ФЗ «О персональных данных», Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», а также иными нормативно-правовыми актами, принятыми в целях соблюдения прав и законных интересов граждан при обработке персональных данных.
1.2. ЛПУП Санаторий «им. М.Ю. Лермонтова» ОГРН 1022601620139, ИНН 2632053770, адрес регистрации: 357501, Ставропольский край, город-курорт Пятигорск, г. Пятигорск, ул. Лермонтова, 9 (далее – Учреждение), будучи оператором, осуществляющим обработку персональных данных, обеспечивает защиту прав и свобод субъектов при обработке их персональных данных и принимает меры для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативно-правовыми актами.
1.3. Политика конфиденциальности устанавливает цели, принципы и правила обработки персональных данных в Учреждении, является основополагающим документом для разработки локальных нормативных актов, регламентирующих в вопросы обработки персональных данных сотрудников и заказчиков/ потребителей услуг (пациентов, пользователей сайтом) и определяет основные меры, реализуемые Учреждением для обеспечения защиты персональных данных.
1.4. Настоящий документ является общедоступным и подлежит размещению на официальном сайте учреждения www.san-lerm.ru.
1.5. Использование сайта www.san-lerm.ru означает безоговорочное согласие Потребителя (пациента, пользователя сайта) с настоящей политикой и указанными в ней условиями обработки предоставляемых персональных данных; в случае несогласия с этими условиями пользователь сайта должен воздержаться от использования данного ресурса.
- Основные понятия.
2.1. В настоящем документе используются следующие понятия:
— Заказчик — физическое (юридическое) лицо, имеющее намерение заказать или приобрести либо заказывающее или приобретающее платные медицинские услуги, в том числе услуги, оформленные санаторно-курортной путевкой; иные предоставляемые Учреждением услуги в соответствии с договором в пользу потребителя;
— Потребитель — гражданин, имеющий намерение заказать или приобрести либо заказывающий, приобретающий и (или) использующий услуги Учреждения исключительно для личных и иных нужд, не связанных с осуществлением предпринимательской деятельности;
— Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
— Субъекты персональных данных – заказчики/потребители услуг Учреждения, сотрудники, а также иные лица, чьи персональные данные стали известны в силу осуществления Учреждением уставной деятельности;
— Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
— Специальные категории персональных данных — персональные данные субъектов персональных данных, касающиеся состояния здоровья, интимной жизни и судимости;
— Информационная система — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
— Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
— Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
— Конфиденциальность персональных данных — обязательное для соблюдения оператором требование не раскрывать третьим лицам и не допускать распространения персональных данных без согласия субъектов персональных данных или наличия иного законного основания;
— Защита персональных данных — деятельность оператора, направленная на предотвращение утечки защищаемых персональных данных, несанкционированных и непреднамеренных воздействий на защищаемые персональные данные.
- Цели обработки персональных данных
3.1. Персональные данные обрабатываются Учреждением в следующих целях:
- исполнения договоров возмездного оказания платных медицинских услуг, в том числе услуг, оформленных санаторно-курортной путевкой, предоставления дополнительных услуг во время осуществления деятельности санаторно-курортной организации.
- Повышения качества обслуживания путем реализации дополнительных программ поощрения потребителей услуг Учреждения.
- Для регистрации пользователя на сайте, принятия, обработки заявки, приема оплаты.
- Для осуществления обратной связи с клиентом, предоставления клиентской поддержки.
- Для таргетирования информационных и рекламных материалов.
- Выполнения требований законодательства по определению порядка обработки и защиты персональных данных вышеуказанных субъектов персональных данных.
3.2. Обработка персональных данных физических лиц, состоящих в договорных и иных гражданско-правовых отношениях с Учреждением, осуществляется в целях исполнения заключенных с ними договоров, ведения текущего бухгалтерского и налогового учёта, формирование, изготовление и своевременная подача бухгалтерской, налоговой и статистической отчётности;
3.3. Обработка персональных данных сотрудников Учреждения осуществляется в целях исполнения договорных и социальных обязательств в сфере труда и налогообложения.
- Принципы и условия обработки персональных данных
4.1. Обработка персональных данных в Учреждении осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом «О персональных данных», и учитывает необходимость обеспечения защиты прав и свобод субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайны, а именно:
— обработка осуществляется на законной и справедливой основе;
— обработка ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями их сбора;
— не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
— обработке подлежат только те персональные данные, которые отвечают целям обработки;
— содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Не допускается обработка данных, избыточных по отношению к заявленным целям;
— при обработке обеспечиваются точность и достаточность персональных данных и при необходимости актуальность по отношению к целям обработки. Учреждение принимает меры по удалению или уточнению неполных или неточных данных либо обеспечивает принятие таких мер;
— хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
— обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4.2. Обработка персональных данных в Учреждении осуществляется с согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации. При обработке персональных данных Учреждение обязано обеспечить их конфиденциальность.
- Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
5.1. Учреждение осуществляет обработку персональных данных следующих категорий субъектов персональных данных:
5.1.1. Сотрудники учреждения, бывшие работники, кандидаты на трудоустройство, а также члены семей работников.
5.1.2. Заказчики/потребители (пациенты) услуг Учреждения, их законные представители.
5.1.3. Прочие контрагенты Учреждения (физические лица).
5.1.4. Представители/ работники контрагентов (юридические лица)
5.2. В отношении лиц, указанных в пункте 5.1.1. (за исключением членов семьи работников) обрабатываются: фамилия, имя, отчество; дата и место рождения; адреса места жительства и регистрации; контактный телефон; гражданство; образование; профессия, должность; стаж работы; семейное положение, наличие детей; серия и номер основного документа, удостоверяющего личность, сведения и выдаче указанного документа и выдавшем его органе; данные страхового свидетельства государственного пенсионного страхования; идентификационный номер налогоплательщика; табельный номер; сведения о доходах; сведения о воинском учете; сведения о судимостях; сведения о повышении квалификации, о профессиональной переподготовке; сведения о наградах (поощрениях), почетных званиях; сведения о социальных гарантиях; сведения о состоянии здоровья, влияющие на выполнение трудовой функции.
5.3. Персональные данные родственников работников обрабатываются в объеме, переданном работником и необходимом для предоставления гарантий и компенсаций, предусмотренных трудовым законодательством.
5.4. В отношении потребителей (пациентов) обрабатываются: фамилия, имя, отчество; пол, возраст; дата и место рождения; адреса места жительства и регистрации; серия и номер основного документа, удостоверяющего личность, сведения и выдаче указанного документа и выдавшем его органе; данные о состоянии здоровья, в том числе биометрические персональные данные; семейное и социальное положение; контактный телефон; адрес электронной почты; реквизиты полиса ОМС (если Учреждение является участником системы ОМС на момент предоставления услуг); реквизиты полиса (договора) добровольного медицинского страхования.
Данные, которые пользователь официальным сайтом Учреждения предоставляет при оставлении заявки, совершении покупки, регистрации (создании учетной записи) или в ином процессе использования сайта.
Данные, которые автоматически передаются сайтом www.san-lerm.ru в процессе его использования с помощью установленного на устройстве пользователя программного обеспечения, в том числе IP-адрес, информация из cookie, информация о программе доступа к сайту, время доступа, адрес запрашиваемой страницы.
5.5. Пользователь официальным сайтом Учреждения вправе в любой момент изменить (обновить, дополнить) предоставленную им информацию (ее часть), а также параметры ее конфиденциальности, оставив заявление в адрес администрации сайта следующим образом:
Телефон: (8793) 40-48-81;
E-mail: san-lermontova@profkurort.ru
Форма обратной связи: www.san-lerm.ru
5.6. В отношении лиц, перечисленных в пунктах 5.1.3., 5.1.4. обрабатываются: фамилия, имя, отчество; пол, возраст; дата и место рождения; адреса места жительства и регистрации; серия и номер основного документа, удостоверяющего личность, сведения и выдаче указанного документа и выдавшем его органе; контактный телефон; адрес электронной почты; реквизиты документа, подтверждающего право действовать в интересах третьих лиц.
- Обработка персональных данных.
6.1. Обработка персональных данных может осуществляться с помощью средств вычислительной техники (автоматизированная обработка) либо при непосредственном участии человека без использования средств вычислительной техники (неавтоматизированная обработка).
6.2. К обработке персональных данных допускаются только те сотрудники Учреждения, в должностные обязанности которых входит обработка персональных данных. Указанные сотрудники имеют право получать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей.
6.3. Обработка персональных данных осуществляется путем:
— получения информации, содержащей персональные данные, в устной и письменной форме непосредственно от субъектов персональных данных;
— предоставления субъектами персональных данных оригиналов необходимых документов;
— получения заверенных в установленном порядке копий документов, содержащих персональные данные, или копирования оригиналов документов;
— получения персональных данных при направлении запросов в органы государственной власти, государственные внебюджетные фонды, иные государственные органы, органы местного самоуправления, коммерческие и некоммерческие организации, физическим лицам в случаях и порядке, предусмотренных законодательством Российской Федерации;
— получения персональных данных из общедоступных источников;
— фиксации (регистрации) персональных данных в журналах, книгах, реестрах и других учетных формах;
— внесения персональных данных в информационные системы Учреждения;
— использования иных средств и способов фиксации персональных данных, получаемых в рамках осуществляемой Учреждением деятельности.
6.4. Передача персональных данных третьим лицам, в том числе посредством сайта www.san-lerm.ru допускается с письменного согласия субъектов персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъектов персональных данных; производится в рамках использования сайта www.san-lerm.ru для оказания услуг пользователю; в целях обеспечения защиты законных интересов Учреждения или третьих лиц в случае нарушения пользовательского соглашения; в иных случаях, установленных законодательством РФ.
6.5. Учреждение вправе поручить обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю с согласия субъектов персональных данных на основании заключаемого договора. При передаче персональных данных третьим лицам в соответствии с заключенными договорами обеспечивает обязательное выполнение требований законодательства РФ и локальных нормативных актов Учреждения в области персональных данных.
6.6. Передача персональных данных в уполномоченные органы исполнительной власти осуществляется в соответствии с требованиями законодательства РФ.
- Права субъектов персональных данных.
7.1. Субъект персональных данных имеет право:
— получать полную информацию, касающуюся обработки в учреждении его персональных данных, за исключением случаев, предусмотренных законодательством РФ;
— требовать исправления неверных либо неполных персональных данных, а также данных, обрабатываемых с нарушением требований законодательства РФ;
— требовать блокирования или уничтожения своих персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
— требовать извещения всех лиц, которым ранее были сообщены его неверные или неполные персональные данные, обо всех произведенных в них изменениях;
— отозвать согласие на обработку своих персональных данных; обжаловать действия или бездействие оператора при обработке своих персональных данных в соответствии с законодательством РФ;
— осуществлять иные права, предусмотренные законодательством РФ.
7.2. Сведения предоставляются субъекту персональных данных/ его представителю при непосредственном обращении либо при получении запроса субъекта персональных данных/его представителя.
7.3. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Учреждением (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
7.4. Учреждение вправе отказать субъекту персональных данных в выполнении повторного запроса.
- Обеспечение безопасности персональных данных.
8.1. Обеспечение безопасности персональных данных при их обработке в Учреждении осуществляется в соответствии с законодательством РФ и требованиями уполномоченного органа государственной власти по защите прав субъектов персональных данных.
8.2. Учреждение предпринимает необходимые организационные и технические меры для защиты персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.
8.3. Меры защиты, реализуемые при обработке персональных данных, включают:
— принятие локальных нормативных актов и иных документов в области обработки и защиты персональных данных;
— назначение должностных лиц, ответственных за обеспечение безопасности персональных данных в подразделениях и информационных системах Учреждения;
— осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных федеральному законодательству и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике конфиденциальности, иным локальным правовым актам Учреждения;
— ознакомление сотрудников Учреждения, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных и локальными нормативными актами Учреждения.
— создание необходимых условий для работы с материальными носителями и информационными системами, в которых обрабатываются персональные данные;
— организацию учета материальных носителей персональных данных и информационных систем, в которых обрабатываются персональные данные;
— хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
— обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации;
— обеспечение раздельного хранения материальных носителей персональных данных, на которых содержатся персональные данные разных категорий или содержатся персональные данные, обработка которых осуществляется в разных целях;
8.4. Ответственность за нарушение требований законодательства РФ и нормативных актов Учреждения в сфере обработки и защиты персональных данных определяется в соответствии с законодательством РФ.
8.5. Действующая редакция Политики конфиденциальности находится на странице по адресу: http://san-lerm.ru//polzovatelskoe-soglashenie.html. Учреждение вправе вносить изменения в настоящую Политику конфиденциальности. Новая редакция политики вступает в силу с момента ее размещения, если иное не предусмотрено новой редакцией.
[ppcf7_contact]Дата публикации: [ppcf7_date]