ПОЛИТИКА Общества с ограниченной ответственностью «ДантистЪ» в отношении обработки и защиты персональных данных

1. Общие положения

1.1. Настоящая Политика определяет порядок и основные принципы обработки персональных данных (далее – ПД) работников, пациентов (клиентов), их законных представителей, соискателей на вакантные должности, посетителей Сайта и иных лиц, чьи ПД обрабатываются Обществом с ограниченной ответственностью «ДантистЪ» (далее – Общество, Оператор).

1.2.  Политика разработана в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ), Трудовым кодексом Российской Федерации и иными нормативными правовыми актами.

1.3. Целью настоящей Политики является обеспечение защиты прав и свобод субъектов ПД, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.4. Общество обеспечивает размещение настоящей Политики или активной гиперссылки на нее на всех страницах сайта по адресу: https://dantist-tver.ru/ (далее — Сайт).

1.5. Обработка биометрических персональных данных с использованием систем видеонаблюдения осуществляется в помещениях Общества в целях обеспечения безопасности, защиты имущества, предупреждения и пресечения правонарушений. Обработка осуществляется в строгом соответствии с локальным нормативным актом Общества. Лица, попадающие в зону видеонаблюдения, информируются об этом посредством размещения специальных знаков (табличек).

1.6. Обработка биометрических персональных данных (фотопротоколы) в медицинских целях (фиксация состояния пациента до и после оказания медицинских услуг) осуществляется исключительно на основании отдельного письменного согласия субъекта ПД, оформленного в порядке, установленном внутренним локальным нормативным актом Общества. Такое согласие является неотъемлемой частью информированного добровольного согласия на медицинское вмешательство или иного договора с пациентом.

1.7. Настоящая Политика подлежит актуализации при изменении законодательства, по результатам проверок уполномоченных органов, а также при изменении процессов обработки ПД в Обществе.

2. Основные понятия

В Политике применяются термины и определения в соответствии с Законом № 152-ФЗ,  Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными Постановлением Правительства РФ от 01.11.2012г. № 1119, Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденном Постановлением Правительства РФ от 15.09.2008г. № 687.

Сookie-файлы — это небольшие текстовые файлы, которые сохраняются на устройстве пользователя при посещении Сайта. Они используются для обеспечения корректной работы Сайта, анализа пользовательского поведения и улучшения качества обслуживания.

Обработка персональных данных с использованием Яндекс.Метрики.

На Сайте Общества используется система веб-аналитики «Яндекс.Метрика» (далее – Сервис). Функционал Сервиса позволяет собирать обезличенные данные о посещениях Сайта, поведении пользователей, что является обработкой персональных данных в соответствии с Законом № 152-ФЗ.

Обработка ПД с помощью Сервиса осуществляется с их последующим обезличиванием для целей анализа посещаемости и улучшения работы Сайта.

Согласие пользователя на такую обработку запрашивается при первом посещении Сайта с помощью всплывающего окна (виджета). Пользователь выражает свое информированное согласие путем нажатия кнопки «Хорошо» в указанном окне. Согласие может быть отозвано в любой момент через настройки браузера (очистка cookie) или с помощью инструментов, предоставляемых Сервисом «Яндекс.Метрика».

3. Цели, правовые основания и условия обработки персональных данных

3.1. Цель: Ведение кадрового, бухгалтерского и налогового учета.

Категории субъектов: работники, бывшие работники.

Категории ПД: ФИО, паспортные данные, ИНН, СНИЛС, адрес, данные об образовании, трудовом стаже, воинском учете, реквизиты банковской карты для выплаты заработной платы.

Правовое основание: Трудовой кодекс РФ, Налоговый кодекс РФ, иное законодательство (п. 2 ч. 1 ст. 6 152-ФЗ); договор (трудовой договор) (п. 5 ч. 1 ст. 6 152-ФЗ).

Срок хранения: В течение сроков, установленных трудовым и налоговым законодательством.

3.2. Цель: Заключение, исполнение и прекращение договоров на оказание платных медицинских услуг (включая услуги по ДМС).

Категории субъектов: пациенты (клиенты), законные представители пациентов.

Категории ПД: ФИО, контактный телефон, дата рождения, данные паспорта, полис ДМС, адрес, специальные категории ПД (данные о состоянии здоровья), биометрические ПД (фотопротоколы – на основании отдельного согласия).

Правовое основание:

— договор (п. 5 ч. 1 ст. 6 152-ФЗ). В частности, инициативная передача субъектом ПД своих данных (ФИО, номер телефона, дата рождения) через мессенджер Telegram для записи на прием является конклюдентным действием, выражающим согласие на обработку с целью заключения договора.

— осуществление прав и обязанностей, возложенных законодательством в сфере охраны здоровья (ФЗ «Об основах охраны здоровья граждан» и Законом № 152-ФЗ) (п. 2 ч. 1 ст. 6, ч. 2 ст. 10 Закона № 152-ФЗ).

Срок хранения: В течение сроков, установленных законодательством для хранения медицинской документации (до 75 лет и более).

3.3. Цель: Подготовка, заключение и исполнение гражданско-правового договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

Категории субъектов: выгодоприобретатели по договорам (в том числе застрахованные лица по договорам добровольного медицинского страхования), поручители.

Категории ПД: фамилия, имя, отчество; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; данные документа, удостоверяющего личность; номер расчетного счета.

Правовое основание: обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (п. 5 ч. 1 ст. 6 152-ФЗ).

Срок хранения: в течение срока действия договора, а после его исполнения — в течение сроков, установленных законодательством РФ для хранения соответствующей документации.

3.4. Цель: Подбор персонала (рассмотрение кандидатур соискателей).

Категории субъектов: соискатели.

Категории ПД: ФИО, контактные данные, данные резюме (образование, опыт работы).

Правовое основание: согласие субъекта ПД (п. 1 ч. 1 ст. 6 152-ФЗ).

Срок хранения: Не более 6 (шести) месяцев с момента получения, если с соискателем не заключен трудовой договор.

3.5. Цель: Обеспечение безопасности на территории Общества, защита имущества, предупреждение и пресечение правонарушений.

Категории субъектов: посетители, работники, иные лица, находящиеся в зоне наблюдения.

Категории ПД: биометрические ПД (визуальные образы, полученные с помощью систем видеонаблюдения).

Правовое основание: обработка необходима для осуществления прав и законных интересов Оператора (обеспечение безопасности жизни и здоровья, сохранность имущества) (п. 7 ч. 1 ст. 6 152-ФЗ).

Срок хранения: Не более 30 (тридцати) дней, если иное не предусмотрено для расследования конкретных инцидентов или для исполнения требований уполномоченных государственных органов в случаях, предусмотренных законодательством.

3.6. Цель: Обеспечение соблюдения законодательства Российской Федерации в сфере здравоохранения.

Категории субъектов: пациенты (клиенты), законные представители пациентов, работники.

Категории ПД: персональные данные, указанные в целях 3.1 и 3.2, в части, необходимой для исполнения конкретных требований нормативных правовых актов в сфере здравоохранения.

Правовое основание: обработка необходима для исполнения обязанностей, возложенных законодательством на Оператора как медицинскую организацию (п. 2 ч. 1 ст. 6 152-ФЗ).

Срок хранения: в течение сроков, установленных законодательством для хранения соответствующей документации.

3.7. Цель: Анализ посещаемости Сайта, улучшение его работы и пользовательского опыта (проведение статистических и аналитических исследований на основе обезличенных данных).

Категории субъектов: посетители Сайта.

Категории ПД: обезличенные данные, собираемые с помощью cookie и сервиса «Яндекс.Метрика» (IP-адрес, данные о браузере и устройстве, поведение на Сайте).

Правовое основание: согласие субъекта ПД, полученное через виджет при первом посещении Сайта (п. 1 ч. 1 ст. 6 152-ФЗ).

Срок обработки: в течение сроков, установленных политикой сервиса «Яндекс.Метрика». Пользователь может отозвать согласие в любой момент через настройки браузера (очистка cookie).

Примечание: Оператор не имеет технической возможности напрямую удалить данные, собранные сервисом «Яндекс.Метрика». Для отзыва согласия и удаления таких данных субъекту ПД необходимо воспользоваться инструментами, предоставляемыми самим сервисом.

3.8. Цель: Обеспечение технической возможности для выражения субъектом ПД инициативы на заключение договора (запись на прием) через Сайт.

Категории субъектов: потенциальные пациенты (клиенты).

Категории ПД: в рамках данной цели Сайт не осуществляет сбор и ввод ПД. Функционал Сайта предназначен для приема и обработки инициативы субъекта ПД. Непосредственная передача ПД (ФИО, номер телефона, дата рождения) осуществляется субъектом ПД самостоятельно в мессенджере Telegram после использования соответствующей кнопки (ссылки) на Сайте.

Правовое основание: обработка инициативы необходима для заключения договора по инициативе субъекта ПД (п. 5 ч. 1 ст. 6 152-ФЗ).

Срок хранения: данные о факте и времени инициативы (без ПД) хранятся в технических логах Сайта не более 30 (тридцати) дней.

3.9. Оператор осуществляет обработку персональных данных в иных законных целях в соответствии с законодательством РФ.

4. Принципы обработки персональных данных

4.1. Обработка ПД в Обществе осуществляется на основе принципов:

— законности и справедливости;

— ограничения обработки достижением конкретных, заранее определенных и законных целей;

— необходимости и достаточности обрабатываемых ПД для целей обработки;

— обеспечения точности, достаточности и актуальности ПД;

— хранения ПД не дольше, чем этого требуют цели обработки;

— конфиденциальности и безопасности.

5. Обработка персональных данных

5.1. Обработка ПД работника Общества:

5.1.1. Обработка ПД работников Общества осуществляется в строгом соответствии с Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и настоящей Политикой.

5.1.2. Правовым основанием обработки ПД работника является:

— исполнение трудового договора;

— соблюдение обязанностей, возложенных на Общество как на работодателя Трудовым кодексом РФ и иными федеральными законами (включая, но не ограничиваясь, ведение кадрового, налогового, воинского учета, обязательное социальное и пенсионное страхование).

5.1.3. Обработка ПД работника осуществляется без получения его согласия в случаях, предусмотренных трудовым законодательством и иными федеральными законами.

5.1.4. Источником информации обо всех ПД работника является непосредственно работник. Если ПД работника возможно получить только у третьей стороны, работник должен быть уведомлен об этом заранее, и от него должно быть получено письменное согласие. Общество обязано сообщить работнику о целях, предполагаемых источниках и способах получения ПД, а также о характере подлежащих получению ПД и последствиях отказа работника дать письменное согласие на их получение.

5.1.5. Общество не имеет права получать и обрабатывать ПД работника о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, интимной жизни, членстве в общественных объединениях или профсоюзной деятельности, за исключением случаев, прямо предусмотренных Трудовым кодексом РФ или иными федеральными законами.

5.1.6. Обработка специальных категорий ПД работника (сведений о состоянии здоровья), а также данных о судимости осуществляется Обществом исключительно в случаях и в объеме, прямо предусмотренных Трудовым кодексом РФ и иными федеральными законами (например, в целях проведения обязательных предварительных и периодических медицинских осмотров).

5.1.7. Работник Общества представляет в Общество достоверные сведения о себе и своевременно сообщает об их изменении.

5.1.8. Защита ПД работника от неправомерного их использования или утраты обеспечивается Обществом за счет его средств в порядке, установленном законодательством РФ.

5.2. Обработка ПД Клиента Общества:

5.2.1. Обработка ПД Клиентов осуществляется Обществом для достижения целей, указанных в разделе 3 настоящей Политики. Конкретное правовое основание обработки определяется в соответствии с соответствующей целью, указанной в разделе 3, и включает:

— согласие субъекта ПД на обработку его ПД (применяется, в частности, для цели, указанной в п. 3.4 настоящей Политики);

— заключение, исполнение, изменение и прекращение договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД (применяется, в частности, для целей, указанных в пп. 3.2, 3.3, 3.8 настоящей Политики);

— исполнение обязанностей, возложенных законодательством Российской Федерации на Оператора (применяется, в частности, для целей, указанных в пп. 3.1, 3.5, 3.6 настоящей Политики).

Согласие на обработку ПД может быть дано субъектом ПД следующими способами:

1) Письменное согласие – путем подписания документа на бумажном носителе;

2) Конклюдентные действия – совершение субъектом ПД явных, однозначных действий, выражающих его волю на обработку данных. В контексте деятельности Общества к таким действиям относится:

— инициативная передача своих ПД (ФИО, номер телефона, дата рождения) через мессенджер Telegram после использования соответствующей кнопки (ссылки) на Сайте для записи на прием. Данное действие выражает согласие субъекта ПД на обработку предоставленных данных с целью заключения договора на оказание медицинских услуг;

— заполнение анкет, форм и иных документов в помещении Общества.

5.3. Особые условия обработки с использованием Сайта:

Обработка с использованием сервиса «Яндекс.Метрика» осуществляется в обезличенном виде. Согласие на такую обработку предоставляется субъектом ПД исключительно путем активного действия – нажатия соответствующей кнопки («Хорошо») во всплывающем окне (виджете) при первом посещении Сайта в соответствии с разделом 2 настоящей Политики.

Обработка cookie-файлов, необходимых для обеспечения базовой работоспособности Сайта, осуществляется в обезличенном виде. Блокировка таких cookie-файлов может привести к некорректной работе Сайта.

5.4. Иные условия:

При недееспособности Клиента письменное согласие на обработку его ПД дает его законный представитель.

Клиент Общества может в любой момент отозвать свое согласие на обработку ПД, за исключением случаев, когда обработка осуществляется на ином законном основании (например, для исполнения договора или требований закона).

В случае отзыва Клиентом согласия на обработку ПД, Общество вправе продолжить обработку ПД без его согласия при наличии иного законного основания, указанного в пп. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона № 152-ФЗ.

6. Порядок обработки персональных данных

6.1. Обработка ПД в Обществе осуществляется смешанным способом (как автоматизированным, так и неавтоматизированным), в том числе с передачей по внутренней сети Оператора и по сети Интернет.

6.2. В случаях, когда цели обработки, указанные в разделе 3 настоящей Политики, могут быть достигнуты без идентификации субъекта ПД, Общество вправе осуществлять их обезличивание.

6.3. Целями обезличивания являются:

— проведение статистических и аналитических исследований;

— подготовка внутренней отчетности;

— повышение уровня защищенности ПД за счет исключения из обработки информации, позволяющей идентифицировать субъекта.

6.4. Обезличенные данные: обезличивание производится методами, которые исключают возможность восстановления содержания ПД и/или определения их принадлежности конкретному субъекту без использования дополнительной информации, хранящейся отдельно и защищенной надлежащим образом.

6.5. В зависимости от решаемой задачи, обезличивание может производиться, в том числе, следующими способами:

— удаление части записи, содержащей персональные данные (скрытие);

— замена части записи на условный код или псевдоним (псевдонимизация);

— использование алгоритмов маскирования;

— использование алгоритмов криптографического преобразования (хэширование).

6.6. Конкретный метод обезличивания для каждого случая определяется лицом, ответственным за организацию обработки ПД, исходя из требования обеспечения невозможности восстановления ПД без использования специального ключа или доступа к дополнительной информации.

6.7. Трансграничная передача ПД Обществом не осуществляется.

7. Передача персональных данных

7.1. При передаче ПД Общество должно соблюдать следующие требования:

— не сообщать ПД третьей стороне без письменного согласия работника, Клиента Общества, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, Клиенту Общества, а также в случаях, установленных законодательством РФ;

— не сообщать ПД в коммерческих целях без письменного согласия работника, Клиента Общества;

— предупредить лиц, получивших ПД, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие ПД, обязаны соблюдать режим секретности (конфиденциальности);

— осуществлять передачу ПД в соответствии с настоящей Политикой;

— разрешать доступ к ПД только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те ПД, которые необходимы для выполнения конкретной функции;

— не запрашивать информацию о состоянии здоровья работника Общества, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

— передавать ПД работника, Клиента Общества его законным, полномочным представителям в порядке, установленном законодательством РФ и ограничивать эту информацию только теми ПД, которые необходимы для выполнения указанными представителями их функции;

Передача ПД третьим лицам возможна только в случаях, прямо предусмотренных законодательными и нормативными актами, либо в случае согласия субъекта ПД.

8. Хранение персональных данных

8.1. Хранение ПД осуществляется в форме, позволяющей определить субъекта ПД, не дольше, чем этого требуют цели обработки ПД, если срок хранения ПД не установлен федеральным законом, договором, стороной которого является субъект ПД. Обрабатываемые ПД подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

9. Доступ к персональным данным

9.1. Право доступа к ПД имеют:

— руководитель Общества;

— главный врач;

— работники бухгалтерии;

— администраторы-кассиры;

— старший администратор;

— рентгенолаборанты;

— врачи.

9.2. Субъект ПД имеет право:

— получать доступ к своим ПД и ознакомление с ними, включая право на безвозмездное получение копии любой записи, содержащей его ПД;

— требовать уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для Общества ПД;

— работник Общества вправе получать от Общества сведения о лицах, которые имеют доступ к его ПД или которым может быть предоставлен такой доступ; перечень обрабатываемых ПД и источник их получения; сроки обработки ПД, в том числе сроки их хранения; сведения о том, какие юридические последствия для него может повлечь за собой обработка его ПД;

— обжаловать в уполномоченный орган по защите прав субъектов ПД или в судебном порядке неправомерные действия или бездействия Общества при обработке и защите его ПД.

Сведения, указанные выше, предоставляются субъекту ПД при обращении либо при получении запроса субъекта ПД (уполномоченного представителя Клиента Общества). Запрос должен содержать номер и серию основного документы, удостоверяющего личность субъекта ПД (уполномоченного представителя Клиента Общества), сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие Клиента Общества в отношениях с Обществом (номер договора, дата заключения договора и иные сведения), либо сведения иным образом, подтверждающие факт обработки ПД субъекта, подпись субъекта ПД (уполномоченного представителя Клиента Общества).

9.3. Для отзыва своего согласия субъект ПД может обратиться с письменным заявлением к Обществу по юридическому адресу: 170006, г.Тверь, ул. Дмитрия Донского, д. 40 или на адрес электронной почты: Dantisttver2009@rambler.ru.

Общество не вправе принуждать Клиентов к предоставлению их ПД, однако вправе требовать этого, если подобные обязательства прямо вытекают из требований законодательства РФ.

Общество обязано сообщить в уполномоченный орган по защите прав субъектов ПД по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса.

10. Ответственность за нарушение требований настоящей Политики

10.1. Сотрудники Общества, получающие доступ к обрабатываемым ПД, несут персональную ответственность за конфиденциальность полученной информации.

10.2. Сотрудники Общества, виновные в нарушении порядка обращения с ПД, несут дисциплинарную, административную, гражданско-правовую, уголовную ответственность в соответствии с законодательством РФ.

10.3. За неисполнение или ненадлежащее исполнение уполномоченными сотрудниками Общества по его вине возложенных на него обязанностей по соблюдению установленного порядка работы с ПД, Общество вправе применять, предусмотренные Трудовым кодексом РФ дисциплинарные взыскания.

11. Сведения о реализуемых требованиях к защите персональных данных

11.1. Общество при обработке ПД принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

К таким мерам в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» относятся:

— определение угроз безопасности ПД при их обработке в информационных системах персональных данных;

— применение организационных и технических мер по обеспечению безопасности ПД при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите ПД, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

— применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

— оценка эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию информационной системы персональных данных;

— учет машинных носителей ПД;

— обнаружение фактов несанкционированного доступа к ПД и принятие мер;

— восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

— установление правил доступа к ПД, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в информационной системе персональных данных;

— контроль за принимаемыми мерами по обеспечению безопасности ПД и уровня защищенности информационных систем персональных данных;

— размещение технических средств обработки ПД в пределах охраняемой территории;

— поддержание технических средств охраны, сигнализации в исправном состоянии, обеспечивающем надлежащую охрану территории, на которой производится обработка ПД.