Позвонить
Позвонить
1.1. Настоящая Политика общества с ограниченной ответственностью «Сибирская клиническая лаборатория «Эксперт» в отношении обработки персональных данных (далее - Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Политика действует в отношении всех персональных данных, которые обрабатывает общество с ограниченной ответственностью «Сибирская клиническая лаборатория «Эксперт (далее - Оператор, Общество).
1.3. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.
1.4. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора.
1.5. Основные понятия, используемые в Политике:
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
оператор персональных данных (оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
врачебная тайна - соблюдение конфиденциальности информации о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иных сведений, полученных при его медицинском обследовании и лечении.
обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:
сбор;
запись;
систематизацию;
накопление;
хранение;
уточнение (обновление, изменение);
извлечение;
использование;
передачу (распространение, предоставление, доступ);
обезличивание;
блокирование;
удаление;
уничтожение;
автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.6. Основные права и обязанности Оператора.
1.6.1. Оператор имеет право:
самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;
поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных;
в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.
1.6.2. Оператор обязан:
1.7. Основные права субъекта персональных данных. Субъект персональных данных имеет право:
1.8. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных у Оператора.
1.9. Ответственность за нарушение требований законодательства Российской Федерации и нормативных актов Общества в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.
2.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
2.3. Обработка Оператором персональных данных осуществляется в следующих целях:
обеспечение соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;
осуществление своей деятельности в соответствии с уставом Общества;
ведение кадрового делопроизводства;
содействие работникам в трудоустройстве, получении образования и продвижении по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества;
привлечение и отбор кандидатов на работу у Оператора;
организация постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования;
заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;
осуществление гражданско-правовых отношений;
ведение бухгалтерского учета;
осуществление пропускного режима;
осуществление медицинского карантинного режима.
2.4. В медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну.
2.5. Обработка персональных данных работников может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.
3.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:
Конституция Российской Федерации;
Гражданский кодекс Российской Федерации;
Трудовой кодекс Российской Федерации;
Налоговый кодекс Российской Федерации;
Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
Федеральный закон от 29.11.2010 г. № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
Федеральный закон от 08.01.1998 г. № 3-ФЗ «О наркотических средствах и психотропных веществах»;
Федеральный закон от 17.09.1998 г. № 157-ФЗ «Об иммунопрофилактике инфекционных болезней»;
Федеральный закон от 30.03.1999 г. № 52-ФЗ «О санитарно-эпидемиологическом благополучии населения»;
Федеральный закон от 02.05.2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;
Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Федеральный закон от 21.11.2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
Указ Президента Российской Федерации от 06.03.1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»;
Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
Постановление Правительства Российской Федерации от 31.07.2014 г. № 758 «О внесении изменений в некоторые акты Правительства Российской Федерации в связи с принятием Федерального закона «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и отдельные законодательные акты Российской Федерации по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей»;
регламентирующие документы ФСТЭК и ФСБ России об обеспечении безопасности персональных данных:
— Приказ ФСТЭК России от 11.02.2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
— Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
— Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Выписка) (утверждена ФСТЭК России 15.02.2008 г.);
— Приказ ФСБ России от 10.07.2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;
иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.
3.2. Правовым основанием обработки персональных данных также являются:
Устав Общества;
Лицензия на осуществление медицинской деятельности;
договоры, заключаемые между Оператором и субъектами персональных данных;
согласие субъектов персональных данных на обработку их персональных данных.
4.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в разд. 2 настоящей Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
4.2. Оператор может обрабатывать персональные данные следующих категорий субъектов персональных данных.
4.2.1. Кандидаты для приема на работу к Оператору:
фамилия, имя, отчество;
пол;
гражданство;
дата и место рождения;
контактные данные;
знание иностранного языка;
сведения об образовании, опыте работы, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификации, специальности по документу об образовании);
профессия (специальность);
сведения о трудовой деятельности (сведения о предыдущих местах работы (в том числе должность и причина увольнения), стаж работы;
семейное положение, родственные связи, сведения о наличии детей, их возрасте, месте учебы (работы);
сведения, указанные в свидетельствах государственной регистрации актов гражданского состояния;
паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, наименование органа, выдавшего документ, дата выдачи);
адрес места жительства (адрес и дата регистрации по месту жительства, адрес фактического проживания);
идентификационный номер налогоплательщика;
страховой номер индивидуального лицевого счета (СНИЛС) или документ подтверждающий регистрацию в системе индивидуального персонифицированного учёта;
сведения о воинском учете и реквизиты документов воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу);
сведения о наградах (поощрениях), почетных званиях;
сведения о социальных льготах, на которые работник имеет право в соответствии с законодательством;
сведения о состоянии здоровья, относящиеся к вопросу о возможности выполнения трудовой функции;
номер расчетного счета;
номер банковской карты;
сведения о заработной плате;
сведения о доходах;
сведения о наличии водительских прав (в том числе категория);
сведения о наличии (отсутствии) судимости;
фотографическое изображение;
иные персональные данные, сообщаемые кандидатами в резюме и сопроводительных письмах.
4.2.2. Работники и бывшие работники Оператора:
фамилия, имя, отчество;
пол;
гражданство;
дата и место рождения;
паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, наименование органа, выдавшего документ, дата выдачи);
знание иностранного языка;
контактные данные;
индивидуальный номер налогоплательщика;
страховой номер индивидуального лицевого счета (СНИЛС) или документ подтверждающий регистрацию в системе индивидуального персонифицированного учёта;
сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
профессия (специальность);
сведения о трудовой деятельности (сведения о предыдущих местах работы (в том числе должность и причина увольнения), стаж работы, наличие поощрений, награждений и (или) дисциплинарных взысканий);
семейное положение, родственные связи, сведения о наличии детей, их возрасте, месте учебы (работы);
сведения, указанные в свидетельствах государственной регистрации актов гражданского состояния;
адрес места жительства (адрес и дата регистрации по месту жительства, адрес фактического проживания);
сведения о воинском учете и реквизиты документов воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу);
сведения о наградах (поощрениях), почетных званиях;
сведения об отпусках;
сведения о социальных льготах, на которые работник имеет право в соответствии с законодательством;
сведения о состоянии здоровья, относящиеся к вопросу о возможности выполнения трудовой функции;
сведения о временной нетрудоспособности;
номер расчетного счета;
номер банковской карты;
сведения о доходах;
сведения о наличии водительских прав (в том числе категория);
сведения о привлечении ранее к уголовной ответственности;
сведения об удержании алиментов;
сведения о доходе с предыдущего места работы;
фотографическое изображение;
иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
4.2.3. Члены семьи работников Оператора:
фамилия, имя, отчество;
степень родства;
число, месяц, год рождения;
сведения о месте учебы (работы);
сведения, указанные в свидетельствах государственной регистрации актов гражданского состояния.
контактные данные;
иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.
4.2.4. Пациенты
фамилия, имя, отчество;
число, месяц, год рождения;
место рождения;
пол;
место работы (учебы);
должность (профессия);
семейное положение;
социальное положение;
паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, наименование органа, выдавшего документ, дата выдачи);
сведения, указанные в свидетельствах государственной регистрации актов гражданского состояния;
адрес места жительства (адрес регистрации по месту жительства, адрес фактического проживания);
контактный номер телефона, адрес электронной почты;
номер страхового свидетельства государственного пенсионного страхования;
реквизиты полиса обязательного медицинского страхования застрахованного лица;
реквизиты полиса добровольного медицинского страхования застрахованного лица;
сведения о состоянии здоровья (в т.ч. группа здоровья, группа инвалидности и степень ограничения к трудовой деятельности, состояние диспансерного учета, зарегистрированные диагнозы);
сведения об оказанных медицинских услугах (в т.ч. о проведенных лабораторных анализах и исследованиях и их результатах, выполненных оперативных вмешательствах, случаях стационарного лечения и их результатах);
серия и номер выданного листка нетрудоспособности;
сведения о документе, удостоверяющем право на льготное обеспечение (наименование, номер, дата, кем выдан).
4.2.5. Представители пациентов:
фамилия, имя, отчество;
паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, наименование органа, выдавшего документ, дата выдачи);
адрес места жительства (адрес регистрации по месту жительства, адрес фактического проживания);
контактный номер телефона, адрес электронной почты;
реквизиты доверенности, свидетельства государственной регистрации актов гражданского состояния или иного документа, подтверждающего полномочия представителя.
4.2.6. Контрагенты Оператора (физические лица):
фамилия, имя, отчество;
дата и место рождения;
паспортные данные;
адрес регистрации по месту жительства;
контактные данные;
занимаемая должность;
индивидуальный номер налогоплательщика;
номер расчетного счета;
иные персональные данные, предоставляемые клиентами и контрагентами (физическими лицами), необходимые для заключения и исполнения договоров.
4.2.7. Представители (работники) клиентов и контрагентов Оператора (юридических лиц):
фамилия, имя, отчество;
паспортные данные;
контактные данные;
занимаемая должность;
иные персональные данные, предоставляемые представителями (работниками) клиентов и контрагентов, необходимые для заключения и исполнения договоров.
4.3. Обработка Оператором биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется в соответствии с законодательством Российской Федерации.
4.4. Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений.
5.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
5.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
5.3. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.
5.4. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.
5.5. Обработка персональных данных осуществляется путем:
получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
получения персональных данных из общедоступных источников;
внесения персональных данных в журналы, реестры и информационные системы Оператора;
использования иных способов обработки персональных данных.
5.6. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
5.7. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Пенсионный фонд Российской Федерации, Фонд социального страхования, Фонд обязательного медицинского страхования и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
5.8. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
определяет угрозы безопасности персональных данных при их обработке;
принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
создает необходимые условия для работы с персональными данными;
организует учет документов, содержащих персональные данные;
организует работу с информационными системами, в которых обрабатываются персональные данные;
хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
организует обучение работников Оператора, осуществляющих обработку персональных данных.
5.9. Оператор осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.
5.10. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.
6.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Закона о персональных данных, предоставляются Оператором субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя.
В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
Запрос должен содержать:
номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Закона о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
6.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
6.3. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
6.4. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
