Политика обработки и защиты персональных данных
УТВЕРЖДЕНО:
Приказом Генерального директора
ИП Шкиртиль Ксения Игоревна
от «01» января 2021 г.
ПОЛИТИКА
ИП Шкиртиль Ксения Игоревна
в отношении обработки и защиты персональных данных
Санкт-Петербург
2021
ОГЛАВЛЕНИЕ
Общие положения
Термины, определения и сокращения
Принципы и условия обработки персональных данных
Цели обработки персональных данных
Основания обработки персональных данных
Порядок обработки персональных данных
Передача персональных данных третьим лицам
Организация доступа к персональным данным
Права и обязанности субъектов персональных данных
Меры защиты персональных данных
Заключительные положения
1. ОБЩИЕ ПОЛОЖЕНИЯ
Политика обработки персональных данных ИП Шкиртиль Ксения Игоревна (далее – Политика) разработана в соответствии с Федеральным законом от 27.07.2006. № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных). Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в ИП Шкиртиль Ксения Игоревна (далее – Оператор) с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
В настоящей Политике используются следующие определения и термины:
2.1. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту Персональных данных).
2.2. Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
2.3. Организация - ИП Шкиртиль Ксения Игоревна (ОГРН: 320784700024761, ИНН: 780619831709, адрес: 194356, САНКТ-ПЕТЕРБУРГ Г, Ш ВЫБОРГСКОЕ, дом 5, корп. 1, кв. 444).
2.4. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.5. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
2.6. Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих
их обработку информационных технологий и технических средств.
2.7. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
2.8. Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители персональных данных.
2.9. Обезличивание персональных данных - действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных.
В Политике могут быть использованы термины, не определённые в разделе 2 Политики. В этом случае толкование такого термина производится в соответствии с текстом Политики. В случае отсутствия однозначного толкования термина в тексте Политики следует руководствоваться толкованием термина, определённым: в первую очередь - законодательством РФ, затем - сложившимся (общеупотребимым) в сети Интернет.
Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике обработки персональных данных в соответствии с ч. 2 ст. 18.1. Закона о персональных данных.
3. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. ИП Шкиртиль Ксения Игоревна является оператором персональных данных.
3.2. Обработка персональных данных Оператором осуществляется в смешанном режиме, как с использованием средств автоматизации, так и без использования средств автоматизации.
3.3. При обработке персональных данных Оператор руководствуется следующими принципами:
- законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Оператора;
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- обработки только персональных данных, которые отвечают целям их обработки;
- соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
3.4. Оператор производит обработку персональных данных при наличии хотя бы одного из следующих условий:
− обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
− обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
− обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
− обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем; − обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.
− осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - общедоступные персональные данные);
− осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
4. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Обеспечение организации оказания медицинской помощи, а также наиболее полного исполнения обязательств и компетенций в соответствии с Федеральными законами от 21.11.2011 № 323-ФЭ «Об основах охраны здоровья граждан Российской Федерации», Правилами предоставления медицинскими организациями платных медицинских услуг, утвержденными постановлением Правительства Российской Федерации от 4.10.2012 № 1006.
4.2. Осуществление трудовых отношений.
4.3. Осуществление гражданско-правовых отношений.
5. ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Компания осуществляет обработку персональных данных на основании:
- требований Федеральных законов, в которых установлена цель обработки Персональных данных, условия получения Персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определены полномочия Оператора;
- договоров, определяющих цели обработки Персональных данных, одной из сторон которых является субъект Персональных данных;
- согласие субъекта на обработку его Персональных данных.
6. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Получение Персональных данных:
6.1.1. Все Персональные данные получаются от самого субъекта. Если Персональные данные субъекта можно получить только у третьей стороны, то субъект уведомляется об этом, от него должно быть получено согласие.
6.1.2. Оператор сообщает субъекту о целях, предполагаемых источниках и способах получения Персональных данных, характере подлежащих получению Персональных данных, перечне действий с Персональными данными, сроке, в течение которого действует согласие и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение.
6.1.3. Документы, содержащие Персональные данные создаются путем:
а) копирования оригиналов документов;
б) внесения сведений в учетные формы;
в) получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.).
6.2. Обработка Персональных данных:
6.2.1. Обработка персональных данных осуществляется:
– с согласия субъекта персональных данных на обработку его персональных данных;
– в случаях, когда обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации функций, полномочий и обязанностей;
– в случаях, когда осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее – персональные данные, сделанные общедоступными субъектом персональных данных).
Доступ работников к обрабатываемым Персональным данным осуществляется в соответствии с их должностными обязанностями и требованиями внутренних регулятивных документов Оператора.
Допущенные к обработке Персональных данных работники под роспись знакомятся с документами организации, устанавливающими порядок обработки Персональных данных, включая документы, устанавливающие права и обязанности конкретных работников.
6.3. Заполнение письменного бланка Согласия на обработку персональных данных.
6.3.1. Пациент может оставить в Оператору следующие виды персональных данных:
- персональные данные – ФИО, адрес места регистрации и постоянного проживания, контактный телефон, паспортные данные;
- специальные данные о здоровье – вся информация, касающаяся здоровья, предоставленного лечения, включая информацию о самом факте обращения в медицинскую организацию.
- биометрические данные (субъекта персональных данных - пациента) – любая информация о физиологических и биологических особенностях человека, на основании которых можно установить его личность.
6.3.2. При первом визите к Оператору (в медицинскую организацию) Пациенту (субъекту Персональных данных) предлагается заполнить бланк согласия на обработку персональных данных. При последующих взаимодействиях с Оператором информация о персональных данных (или их изменении) может уточняться у субъекта Персональных данных.
6.3.3. Полученные сведения накапливаются Оператором, хранятся и используются персоналом при оказании услуг.
Отказ субъекта Персональных данных от дачи письменного согласия на обработку его персональных данных не является основанием для неоказания ему медицинских услуг.
6.4. Категории субъектов персональных данных
Оператором обрабатываются Персональные данные следующих субъектов:
– физические лица, состоящие с Оператором в трудовых отношениях;
– физические лица, уволившиеся из Компании;
– физические лица, являющиеся кандидатами на работу в Компанию;
– физические лица, состоящие с Компанией в гражданско-правовых отношениях;
– физические лица, обратившиеся в Компанию за оказанием услуг.
Персональные данные субъекта персональных данных хранятся Оператором в течение 3 (трех) лет.
7. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ
7.1. Передача персональных данных третьим лицам (в том числе трансграничная передача) допускается с письменного согласия субъектов персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъектов персональных данных, а также в иных случаях, установленных законодательством Российской Федерации.
7.2. Организация вправе поручить обработку персональных данных третьим лицам с согласия субъекта персональных данных, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Организации обязано соблюдать принципы и правила обработки персональных данных, предусмотренные действующим законодательством РФ в области персональных данных.
7.3. Третье лицо, осуществляющее обработку персональных данных по поручению Организация не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
7.4. Организация несет ответственность перед субъектом персональных данных за действие третьего лица, осуществляющего обработку персональных данных по поручению Организации. В свою очередь, третье лицо несет ответственность перед Организацией.
8. ОРГАНИЗАЦИЯ ДОСТУПА К ПЕРСОНАЛЬНЫМ ДАННЫМ
8.1. Доступ к персональным данным разрешается только специально уполномоченным работникам Организации или третьим лицам, в порядке раздела 7 настоящей Политики. При этом указанные лица имеют право обрабатывать только те персональные данные, которые необходимы для выполнения их должностных обязанностей, и в целях, для которых они предоставлены.
8.2. Доступ представителей государственных органов к Персональным данным регламентируется действующим законодательством Российской Федерации.
9. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Организация предпринимает меры для поддержания точности и актуальности имеющихся у нее персональных данных, а также удаления устаревших и других недостоверных или излишних персональных данных, тем не менее, субъект Персональных данных несёт ответственность за предоставление достоверных сведений, а также за обновление предоставленных данных в случае каких-либо изменений.
9.2. Субъект Персональных данных имеет право требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если Персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Субъект Персональных данных вправе в любой момент отозвать согласие на обработку персональных данных путём направления письменного уведомления на электронный адрес: info@life-plus.online с пометкой «отзыв согласия на обработку персональных данных».
9.4. Оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему Субъекту Персональных данных, с момента обращения или запроса Субъекта Персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных на период проверки, в случае выявления недостоверных персональных данных или неправомерных действий.
9.5. Субъект Персональных данных может в любой момент изменить (обновить, дополнить) предоставленную им персональную информацию или её часть, а также параметры её конфиденциальности путем обращения к Оператору.
9.6. Субъект Персональных данных имеет право на получение информации, касающейся обработки его персональных данных у Оператора, для чего вправе направить письменный запрос на адрес: с пометкой «запрос информации о порядке обработки персональных данных».
9.7. Субъект Персональных данных имеет право обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;
9.8. Субъект Персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
10. МЕРЫ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. Оператор принимает необходимые и достаточные организационные и технические меры для защиты персональных данных субъекта персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с персональными данными третьих лиц.
10.2. В целях защиты персональных данных Оператор проводит следующие мероприятия:
- назначает лиц ответственных за организацию обработки персональных данных, а также за обеспечение безопасности персональных данных;
- определены актуальные угрозы безопасности персональных данных;
- определяет угрозы безопасности персональных данных при их обработке, формирует на их основе модели угроз;
- осуществляет разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;
- формирует план проведения проверок готовности новых средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
- проводит обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
- осуществляет учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
- осуществляет учет лиц, допущенных к работе с персональными данными в информационной системе;
- осуществляет контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией.
11. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
Настоящая Политика является внутренним документом ИП Шкиртиль Ксения Игоревна и подлежит размещению на официальном сайте, размещенном в сети интернет, по адресу: https://www.life-plus-study.ru/, https://www.life-plus-club.ru/, https://life-plus-health.com/.
Контроль исполнения требований настоящей Политики осуществляется ответственным за обеспечение безопасности персональных данных Шкиртиль Ксенией Игоревной