Оказание медицинских услуг предполагает обработку и хранение персональных данных клиентов в автоматизированных информационных системах ООО «Клиника ФлоренсСтом» (далее – Клиника).
В соответствии с действующим законодательством (федеральный закон от 27.06.2006 года №152-ФЗ «О персональных данных»), Клиника выполнила комплекс технических и организационных мероприятий для обеспечения безопасности обрабатываемых и хранимых персональных данных наших клиентов.
Клиника является высокотехнологичной организацией, применяющей в своей работе передовые IT-технологии. Поэтому, одна из приоритетных задач в работе клиники – соблюдение действующего законодательства Российской Федерации в области информационной безопасности, а также требований закона от 27.06.2006 года №152-ФЗ «О персональных данных», основной целью которого является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
- Цель обработки персональных данных
| №1 | |
| цель обработки персональных данных | Ведение кадрового и бухгалтерского учета |
| категории персональных данных | фамилия, имя, отчество,год рождения,месяц рождения,дата рождения,место рождения,семейное положение,имущественное положение,доходы,пол,адрес электронной почты,адрес места жительства,адрес регистрации,номер телефона,СНИЛС,ИНН,гражданство,данные документа, удостоверяющего личность,данные документа, удостоверяющего личность за пределами Российской Федерации,данные документа, содержащиеся в свидетельстве о рождении,реквизиты банковской карты,номер расчетного счета,номер лицевого счета,профессия,должность,сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации),отношение к воинской обязанности, сведения о воинском учете,иные персональные данные (указывается конкретная категория),сведения об образовании,сведения о состоянии здоровья,сведения о судимости,данные изображения лица, полученные с помощью фото- видео устройств, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных; фото |
| категории субъектов, персональные данные которых обрабатываются | Работники,Родственники работников,Уволенные работники,Контрагенты,Представители контрагентов; |
| правовое основание обработки персональных данных | обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных,обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве,обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг,обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно,обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Федерального закона «О персональных данных», при условии обязательного обезличивания персональных данных; |
| перечень действий с персональными данными | Сбор,Систематизация,Накопление,Хранение,Уточнение (обновление, изменение),Извлечение,Использование,Передача (предоставление, доступ),Обезличивание,Блокирование,Удаление,Уничтожение; |
| обработка персональных данных | смешанная,с передачей по внутренней сети юридического лица,с передачей по сети Интернет |
| №2 | |
| цель обработки персональных данных | Обеспечение соблюдения законодательства РФ |
| категории персональных данных | фамилия, имя, отчество,год рождения,месяц рождения,дата рождения,место рождения,пол,адрес электронной почты,адрес места жительства,номер телефона,СНИЛС, гражданство, данные документа, удостоверяющего личность за пределами Российской Федерации,данные документа, содержащиеся в свидетельстве о рождении,иные персональные данные (указывается конкретная категория),сведения об образовании, сведения о состоянии здоровья, данные изображения лица, полученные с помощью фото- видео устройств, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных; Фото |
| категории субъектов, персональные данные которых обрабатываются | Работники,Уволенные работники,Учащиеся,Законные представители; |
| правовое основание обработки персональных данных | обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных,обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг,обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно,обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Федерального закона «О персональных данных», при условии обязательного обезличивания персональных данных; |
| перечень действий с персональными данными | Сбор,Запись,Систематизация,Накопление,Хранение,Уточнение (обновление, изменение),Извлечение,Использование,Передача (предоставление, доступ),Обезличивание,Блокирование,Удаление,Уничтожение; |
| обработка персональных данных | смешанная,с передачей по внутренней сети юридического лица,с передачей по сети Интернет |
- Принципы обработки персональных данных
При обработке персональных данных клиентов Клиника придерживается следующих принципов:
- соблюдение законности получения, обработки, хранения, а также других действий с персональными данными клиентов;
- строгое выполнение требований по обеспечению безопасности персональных данных и сведений, составляющих врачебную тайну при их обработке и хранении;
- обработка персональных данных исключительно с целью исполнения своих обязательств по договору оказания услуг;
- соблюдение прав субъекта персональных данных на доступ к его персональным данным.
- Состав персональных данных
В состав обрабатываемых в Клинике персональных данных клиентов могут входить:
- фамилия, имя, отчество;
- пол;
- дата рождения;
- паспортные данные (для заполнение договора на оказание платных медицинских услуг);
- адрес проживания;
- номер телефона;
- другая информация, необходимая для правильного проведения и интерпретации медицинских исследований (необходима в некоторых случаях для установки правильных пограничных значений результатов);
- результаты выполненных медицинских исследований;
- клиника не обрабатывает персональные данные, касающиеся состояния здоровья клиента, за исключением случаев, когда их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов.
- Сбор (получение) персональных данных
Персональные данные клиентов Клиника получает только лично от клиента или от его законного представителя. Персональные данные клиента могут быть получены с его слов и не проверяются.
На Сайте используются службы сторонних поставщиков (Яндекс Метрика), которые собирают и анализируют обезличенные данные о посещаемости (в т.ч. IP-адреса, информация о браузере, времени пребывания на сайте). Эти данные используются для улучшения работы сайта и маркетинговых целей. Сбор данных осуществляется на основании: https://yandex.ru/legal/confidential/ru/
- Обработка персональных данных
Обработка персональных данных клиентов в Клинике происходит как неавтоматизированным, так и автоматизированным способом.
Обработка персональных данных осуществляется на основании согласия субъекта персональных данных, оформленного в письменном виде.Фотографии и ФИО врачей относятся к общедоступным персональным данным, разрешенным для распространения (в т.ч. публикации на сайте) в соответствии со ст. 10.1 ФЗ-152
Цели обработки:
- обеспечение возможности идентификации медицинского персонала клиентами,
- ознакомление клиентов с квалификацией врачей,
- формирование репутации и реклама услуг клиники
К обработке персональных данных в Клинике допускаются только сотрудники, прошедшие процедуру допуска, к которой относятся:
- ознакомление сотрудника с локальными нормативными актами Клиники (положения, инструкции и т.д.), строго регламентирующими порядок и процедуру работы с персональными данными клиентов;
- получение сотрудником и использование в работе индивидуальных атрибутов доступа к информационным системам Клиники, содержащим в себе персональные данные клиентов. При этом каждому сотруднику выдаются минимально необходимые для исполнения трудовых обязанностей права на доступ в информационные системы;
Сотрудники, имеющие доступ к персональным данным клиентов, получают только те персональные данные, которые необходимы им для выполнения конкретных трудовых функций.
Оператор обрабатывает персональные данные сотрудников, необходимые для ведения профессиональной деятельности и повышения информированности клиентов, а именно:
- ФИО,
- фотографическое изображение (фото),
- занимаемая должность,
- сведения об образовании и квалификации
Клиника обрабатывает:
- изображения: фотографии (в том числе «до/после») и видеозаписи.
- биометрические данные: лицо человека на видео/фото, позволяющее его идентифицировать.
- сведения о здоровье: информация, содержащаяся в отзыве (диагноз, процедура, результаты лечения)
Цели обработки:
- размещение на сайте в разделе «Отзывы» или «Результаты лечения».
- демонстрация качества оказываемых услуг для маркетинговых и рекламных целей (если планируется).
Правовые основания обработки:
Публикация осуществляется только на основании отдельного письменного согласия клиента на распространение персональных данных (согласно ст. 10.1 152-ФЗ).Клиника не проверяет достоверность данных, предоставленных клиентом, но обеспечивает их защиту.
Порядок и условия обработки
- способы: Загрузка, хранение, уточнение, удаление.
- сроки: Изображения хранятся и используются до тех пор, пока клиент не отзовет согласие.
- право на отзыв: клиент имеет право в любой момент потребовать удаления своего фото или видео с сайта.
В случае получения требования клиента об удалении, Клиника обязуется убрать его фото/видео с сайта в течение, 3-5 рабочих дней.
- Особенности обработки персональных данных сотрудников
6.1. В целях осуществления медицинской деятельности на сайте размещаются фотоизображения и ФИО врачей.
6.2. Размещение осуществляется исключительно на основании отдельного письменного согласия сотрудника на распространение его персональных данных.
6.3. Сотрудник вправе в любое время отозвать согласие, после чего его данные будут удалены с сайта. Сотрудник имеет право в любое время отозвать свое согласие на публикацию персональных данных. Оператор обязуется прекратить распространение (удалить с сайта) фото и ФИО врача в течение 5 рабочих дней с момента получения письменного отзыва
- Хранение персональных данных
Персональные данные клиентов хранятся в бумажном (договор, медицинская карта стоматологического больного) и электронном виде. В электронном виде персональные данные клиентов хранятся в информационной системе персональных данных Клиники CRM IDENT, а также в архивных копиях баз данных этих систем.
Срок хранения данных 10 лет или до момента отзыва персональных данных пользователями.
Пользователь имеет право в любой момент отозвать персональные данные, проинформировав Администрацию Сайта о желании удалить Персональные данные или отозвать свое согласие на их обработку, путем направления Администрации Сайта письменного уведомления на электронную почту 222700.fs@gmail.com.
При хранении персональных данных клиентов соблюдаются организационные и технические меры, обеспечивающие их сохранность и исключающие несанкционированный доступ к ним. К ним относятся:
- назначение подразделения или сотрудника, ответственного за тот или иной способ хранения персональных данных;
- ограничение физического доступа к местам хранения и носителям;
- учет всех информационных систем и электронных носителей, а также архивных копий.
- Передача персональных данных третьим лицам
Передача персональных данных третьим лицам возможна в исключительных случаях только с согласия клиента и только с целью исполнения обязанностей перед клиентом в рамках договора оказания услуг, кроме случаев, когда такая обязанность у Клиники возникает в результате требований федерального законодательства или при поступлении запроса от уполномоченных государственных органов. В данном случае Клиника ограничивает передачу персональных данных запрошенным объемом. При этом субъекту персональных данных направляется уведомление о факте передачи его персональных данных третьей стороне, если такое возможно.
Персональные данные клиента (в том числе результаты исследований) могут быть предоставлены родственникам или членам его семьи только с разрешения самого клиента, за исключением случаев, когда передача персональных данных без его согласия допускается действующим законодательством РФ. В качестве такого разрешения может выступать нотариально заверенная доверенность.
- Меры по обеспечению безопасности персональных данных при их обработке
Обеспечение безопасности персональных данных в Клинике достигается следующими методами:
- ознакомление работников Клиники с требованиями законодательства Российской Федерации о персональных данных и защите информации;
- назначение должностных лиц, ответственных за организацию и проведение работ по защите персональных данных; определением списка лиц, допущенных к работе с персональными данными;
- разработкой и утверждением локальных нормативных актов Клиники, регламентирующих порядок обработки персональных данных;
- разработкой для администраторов информационных систем рабочих инструкций; реализацией технических мер, снижающих вероятность угроз безопасности персональных данных;
- проведением периодических проверок состояния защищенности информационных систем Клиники; непрерывным совершенствованием методов и способов обеспечения безопасности персональных данных
- Права клиента
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных;
- правовые основания и цели обработки персональных данных;
- сведения о лицах (за исключением сотрудников Клиники), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;
- сроки обработки персональных данных, в том числе сроки их хранения; порядок осуществления субъектом персональных данных своих прав.