Политика «Профидент» в отношении обработки персональных данных

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) разработана в соответствии с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных), иными нормативно-правовыми актами Российской Федерации в области защиты и обработки персональных данных, а также с учетом требований Европейского регламента по защите персональных данных (General Data Protection Regulation, GDPR), если применимо (например, при взаимодействии с гражданами ЕС).

1.2. Настоящая Политика определяет порядок и принципы обработки персональных данных в ОБЩЕСТВЕ С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «ЦЕНТР ПРОФИЛАКТИЧЕСКОЙ СТОМАТОЛОГИИ «ПРОФИДЕНТ»», именуемом в дальнейшем «Оператор» или «Клиника», а также содержит сведения о реализуемых требованиях к защите персональных данных.

1.3. Оператор осуществляет обработку персональных данных на законной и справедливой основе, руководствуясь принципами:
— законности и справедливости обработки персональных данных;
— ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
— недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
— недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
— соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;
— точности, достаточности и актуальности персональных данных по отношению к целям обработки;
— обеспечения хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором.

1.4. Настоящая Политика является общедоступным документом и публикуется на официальном сайте Оператора по адресу: [Адрес сайта Клиники, например: https://profident.ru/policy].

1.5. Использование сайта Оператора [Адрес сайта Клиники] означает безоговорочное согласие Пользователя с настоящей Политикой и указанными в ней условиями обработки его персональных данных.

1.6. В случае несогласия с условиями настоящей Политики Пользователь должен воздержаться от использования сайта и предоставления персональных данных Оператору.

2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

В настоящей Политике используются следующие основные термины:

2.1. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
2.2. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В рамках настоящей Политики Оператором является ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «ЦЕНТР ПРОФИЛАКТИЧЕСКОЙ СТОМАТОЛОГИИ «ПРОФИДЕНТ»».
2.3. Субъект персональных данных – физическое лицо, к которому относятся персональные данные. В рамках настоящей Политики Субъектами персональных данных являются, в частности, пациенты (действующие и потенциальные), законные представители пациентов, посетители сайта Оператора, работники Оператора и другие лица, чьи персональные данные обрабатываются Оператором.
2.4. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.5. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
2.6. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
2.7. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному кругу лиц.
2.8. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
2.9. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.10. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2.11. Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.12. Сайт Оператора – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети Интернет по сетевому адресу [Адрес сайта Клиники].
2.13. Пользователь сайта Оператора – лицо, имеющее доступ к Сайту Оператора посредством сети Интернет и использующее Сайт Оператора.

3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Правовыми основаниями обработки персональных данных являются:
— Конституция Российской Федерации;
— Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
— Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» (в части обработки данных, составляющих врачебную тайну);
— иные нормативные правовые акты Российской Федерации, регулирующие отношения, связанные с деятельностью Оператора (включая нормативные акты, регулирующие медицинскую деятельность, лицензирование и т.п.);
— Устав ОБЩЕСТВА С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «ЦЕНТР ПРОФИЛАКТИЧЕСКОЙ СТОМАТОЛОГИИ «ПРОФИДЕНТ»»;
— договоры, заключаемые между Оператором и Субъектом персональных данных (в том числе договор на оказание медицинских услуг);
— согласие Субъекта персональных данных на обработку его персональных данных (включая согласие на обработку медицинских данных).

4. ЦЕЛИ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Оператор осуществляет обработку персональных данных Субъектов в следующих целях:
— Оказание медицинских услуг: заключение и исполнение договоров на оказание платных медицинских услуг; ведение медицинской документации (медицинская карта пациента); проведение диагностики, лечения и профилактики заболеваний; контроль качества оказываемых услуг; информирование пациента о ходе лечения, результатах обследований, назначениях; обеспечение преемственности оказания медицинской помощи;
— Обеспечение записи на прием: обработка заявок на запись по телефону или через форму обратной связи на сайте; подтверждение времени приема; отправка напоминаний о предстоящем визите;
— Обработка обращений и запросов: ответы на вопросы, оставленные через формы связи на сайте, по телефону или иными способами; рассмотрение претензий и пожеланий;
— Взаимодействие с пациентами: информирование об акциях, специальных предложениях, новостях Клиники (при наличии согласия Субъекта на получение рекламной информации); проведение опросов удовлетворенности качеством услуг;
— Обеспечение функционирования сайта Оператора: улучшение работы сайта, анализ пользовательского поведения, предоставление Пользователю возможности использования онлайн-сервисов сайта (запись на прием, обратная связь);
— Исполнение требований законодательства РФ: ведение учета и отчетности, представление сведений в надзорные органы в соответствии с законодательством РФ (например, Росздравнадзор, Роспотребнадзор, ФНС и др.), ведение обязательной медицинской документации; исполнение судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством РФ;
— Осуществление административно-хозяйственной деятельности: обработка данных сотрудников, ведение кадрового учета, начисление заработной платы и т.п. (если субъект данных – работник);
— Проведение статистических и исследовательских работ: обезличенная обработка данных для анализа медицинской статистики, планирования деятельности (при этом персональные данные, позволяющие идентифицировать Субъекта, удаляются или обезличиваются);
— Защита законных интересов Оператора: ведение деловой переписки, представительство в суде и иных органах.

5. КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Оператором могут обрабатываться следующие категории персональных данных Субъектов:
— Общие персональные данные:
— Фамилия, имя, отчество;
— Дата рождения;
— Пол;
— Контактная информация (номер телефона, адрес электронной почты);
— Адрес места жительства/пребывания;
— Паспортные данные (серия, номер, кем выдан, дата выдачи, код подразделения) – в случаях, предусмотренных законодательством РФ или договором (например, при оформлении медицинской карты);
— СНИЛС (в случаях, предусмотренных законодательством РФ);
— Данные полиса ОМС/ДМС (при оказании услуг по соответствующим полисам);
— Сведения о законном представителе пациента (ФИО, паспортные данные, данные свидетельства о рождении/документа, подтверждающего полномочия) – при необходимости;
— Платежные реквиты (при оплате услуг);
— Профессия, место работы (по необходимости для анамнеза);
— Данные об использовании сайта Оператора (IP-адрес, данные файлов cookie, информация о браузере, дата и время доступа к сайту, адреса запрашиваемых страниц и другая техническая информация).
— Специальные категории персональных данных (данные о состоянии здоровья):
— Сведения о состоянии здоровья (диагнозы, анамнез, результаты обследований, назначения, проведенное лечение, сведения об аллергических реакциях, перенесенных заболеваниях, медицинские противопоказания и т.п.);
— Генетические и биометрические персональные данные (например, рентгеновские снимки, КТ, фотографии зубов и челюсти) – обрабатываются исключительно в медицинских целях для диагностики и лечения, а также в случаях, предусмотренных законодательством РФ или договором.

6. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Обработка персональных данных осуществляется Оператором с использованием средств автоматизации и без использования таких средств.
6.2. Обработка специальных категорий персональных данных, касающихся состояния здоровья Субъекта, осуществляется Оператором исключительно:
— в медицинских целях медицинскими работниками, допущенными в соответствии с законодательством Российской Федерации к осуществлению медицинской деятельности, с сохранением врачебной тайны;
— с письменного согласия Субъекта персональных данных (или его законного представителя) на обработку его медицинских данных, за исключением случаев, предусмотренных законодательством РФ (например, в целях оказания экстренной медицинской помощи).
6.3. Согласие на обработку персональных данных может быть выражено Субъектом в различных формах, предусмотренных законодательством РФ (письменная форма, электронная форма с использованием электронной подписи, конклюдентные действия, заполнение форм на сайте и т.п.). В случае оказания медицинских услуг согласие, как правило, оформляется в письменной форме (информированное добровольное согласие на медицинское вмешательство, согласие на обработку персональных данных).
6.4. Оператор не осуществляет обработку персональных данных о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.
6.5. Оператор может поручить обработку персональных данных другому лицу (третьему лицу) с согласия Субъекта персональных данных, если иное не предусмотрено законодательством РФ, на основании заключаемого с этим лицом договора. При этом третье лицо обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных и настоящей Политикой, а также принимать необходимые меры для защиты персональных данных.
6.6. Передача персональных данных государственным органам осуществляется только в случаях, предусмотренных законодательством Российской Федерации (например, по запросу правоохранительных органов, органов здравоохранения, судов и т.п.).
6.7. Трансграничная передача персональных данных (передача на территорию иностранного государства) может осуществляться только в случаях, предусмотренных законодательством РФ, при условии адекватной защиты прав субъектов персональных данных в соответствующем иностранном государстве. При необходимости такой передачи Оператор обязуется предварительно уведомить об этом Роскомнадзор. В настоящее время трансграничная передача персональных данных Оператором не осуществляется.
6.8. Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

7. СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Сроки обработки и хранения персональных данных определяются исходя из целей обработки, сроков действия договоров с Субъектами персональных данных, сроков, установленных законодательством РФ (например, сроки хранения медицинской документации согласно Приказу Минздрава России от 31.07.2020 N 789н и других нормативных актов), а также согласия Субъекта на обработку персональных данных.
7.2. Обработка персональных данных прекращается при достижении целей обработки, истечении срока действия согласия или договора, ликвидации Оператора, а также по требованию Субъекта персональных данных, если иное не предусмотрено законодательством РФ. При этом прекращение обработки специальных категорий медицинских данных по требованию Субъекта может привести к невозможности или затруднениям в получении медицинских услуг.
7.3. Хранение медицинских карт и иной медицинской документации осуществляется в соответствии с требованиями законодательства РФ, устанавливающими обязательные сроки хранения таких документов.

8. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
8.2. К таким мерам, в частности, относятся:
— Назначение ответственного за организацию обработки персональных данных.
— Издание локальных актов по вопросам обработки и защиты персональных данных (включая настоящую Политику, положения о порядке обработки персональных данных, инструкции по безопасности).
— Ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, требованиями к защите персональных данных, настоящей Политикой и другими локальными актами по вопросам обработки персональных данных, а также обучение указанных работников.
— Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
— Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн, необходимых для нейтрализации актуальных угроз безопасности в соответствии с требованиями законодательства РФ (включая использование средств защиты информации, прошедших процедуру оценки соответствия).
— Учет машинных носителей персональных данных (при их использовании).
— Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.
— Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
— Установление правил доступа к персональным данным, обрабатываемым в ИСПДн, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в ИСПДн.
— Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности ИСПДн.
— Использование защищенных каналов связи для передачи данных (при необходимости, например, при работе с внешними информационными системами).
— Обеспечение ограниченного круга лиц, имеющих доступ к персональным данным, особенно к специальным категориям данных (медицинская тайна).
— Хранение бумажных носителей персональных данных в условиях, исключающих несанкционированный доступ.
— Регулярное резервное копирование данных.

9. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Субъект персональных данных имеет право на получение сведений, касающихся обработки его персональных данных, в соответствии с Законом о персональных данных.
9.2. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
9.3. Субъект персональных данных вправе отозвать свое согласие на обработку персональных данных. В случае отзыва Субъектом персональных данных согласия на обработку его персональных данных Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, иным соглашением между Оператором и Субъектом персональных данных или законодательством РФ. При этом прекращение обработки специальных категорий медицинских данных может привести к невозможности или затруднениям в получении медицинских услуг.
9.4. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
— подтверждение факта обработки персональных данных Оператором;
— правовые основания и цели обработки персональных данных;
— применяемые Оператором способы обработки персональных данных;
— наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
— обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
— сроки обработки персональных данных, в том числе сроки их хранения;
— порядок осуществления субъектом персональных данных прав, предусмотренных Законом о персональных данных;
— информацию об осуществленной или о предполагаемой трансграничной передаче данных;
— наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
— иные сведения, предусмотренные Законом о персональных данных или другими федеральными законами.
9.5. Субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций – Роскомнадзор) или в судебном порядке.

10. ПОРЯДОК РЕАЛИЗАЦИИ ПРАВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. Запрос на получение информации, касающейся обработки персональных данных, а также требование об их уточнении, блокировании или уничтожении направляется Субъектом персональных данных или его представителем Оператору в письменной форме по адресу: 119602, г. Москва, вн.тер.г. муниципальный округ Тропарево-Никулино, ул Никулинская, д. 27, к. 3, этаж 1, помещ. 1.
10.2. Запрос должен содержать: номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (например, номер договора, дата обращения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя.
10.3. Запрос может быть направлен в форме электронного документа и подписан в соответствии с законодательством Российской Федерации электронной подписью по адресу электронной почты Оператора, указанному в разделе 13.
10.4. Срок рассмотрения запроса составляет не более десяти рабочих дней с даты его поступления Оператору. При необходимости указанный срок может быть продлен, но не более чем на пять рабочих дней с направлением субъекту персональных данных мотивированного уведомления с указанием причин продления.
10.5. В случае отзыва согласия на обработку персональных данных или требования об их уничтожении Субъектом, Оператор прекращает обработку и уничтожает данные в сроки, установленные законодательством РФ, если отсутствуют иные правовые основания для продолжения обработки.

11. ИСПОЛЬЗОВАНИЕ ФАЙЛОВ COOKIE И АНАЛИТИЧЕСКИХ СИСТЕМ

11.1. Сайт Оператора может использовать файлы cookie – небольшие текстовые файлы, размещаемые на устройстве Пользователя при посещении сайта.
11.2. Файлы cookie используются для:
— Обеспечения корректной работы сайта и предоставления его функционала.
— Сбора анонимной статистики об использовании сайта (например, для анализа посещаемости, источников трафика, просмотренных страниц) с помощью систем веб-аналитики ([Например, Яндекс.Метрика, Google Analytics — указать те, которые используются, или удалить, если не используете]).
— Запоминания пользовательских настроек и предпочтений.
11.3. Собранная с помощью файлов cookie информация, как правило, не позволяет идентифицировать конкретного Пользователя.
11.4. Пользователь может настроить свой браузер так, чтобы он отклонял все или некоторые файлы cookie, или уведомлял Пользователя при попытке сайта их разместить. Инструкции по управлению файлами cookie обычно доступны в разделе «Справка» или «Настройки» браузера. Однако отключение файлов cookie может привести к ограничению доступа к некоторым функциям сайта.
11.5. Используемые на сайте аналитические системы обрабатывают обезличенные данные об активности посетителей для формирования статистических отчетов, помогающих улучшать работу сайта. Эти данные не используются для идентификации конкретных пользователей.

12. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

12.1. Настоящая Политика подлежит актуализации в случае изменения законодательства Российской Федерации о персональных данных.
12.2. Оператор имеет право вносить изменения в настоящую Политику без предварительного уведомления Субъектов персональных данных. Новая редакция Политики вступает в силу с момента ее размещения на Сайте Оператора, если иное не предусмотрено новой редакцией Политики.
12.3. Контроль за соблюдением Оператором законодательства Российской Федерации о персональных данных осуществляется уполномоченным органом по защите прав субъектов персональных данных – Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Контроль за соблюдением лицензионных требований при осуществлении медицинской деятельности осуществляет Федеральная служба по надзору в сфере здравоохранения (Росздравнадзор).
12.4. Все предложения или вопросы по поводу настоящей Политики следует направлять по контактной информации, указанной в разделе 13 настоящей Политики.