350000, Краснодар,
ул. Митрофана Седина, 62
ПН-ПТ: 08:00-19:00
СБ-ВС: 09:00-18:00
Версия для слабовидящих

ПОЛИТИКА
об обработке и защите персональных данных

УТВЕРЖДЕНО
Генеральным директором
ООО «Сурдоцентр-Кубань»
Токстрим А.С.
31.03.2020г.

1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Политика в отношении обработки и защиты персональных данных (далее — Политика) разработана в соответствии с п.2 ч.1 ст.18.1 Федерального закона Российской Федерации «О персональных данных» №152-ФЗ от 27 июля 2006г., а также иных нормативно-правовых актов Российской Федерации в области защиты и обработки персональных данных и действует в отношении всех персональных данных (далее – данных), которые ООО «Сурдоцентр-Кубань» (далее по тексту – Оператор, Организация) может получить от субъекта персональных данных, являющегося стороной по договору оказания медицинских услуг (пациент или его законный представитель), гражданско-правовому договору, а так же от субъекта персональных данных, состоящего с Организацией в отношениях, регулируемых трудовым законодательством (далее – Работника). 1.2. Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона «О персональных данных», Постановления Правительства РФ от 15.09.2008г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановлением Правительства РФ от 01.11.2012г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», иных нормативных документов уполномоченных органов. 1.3. Настоящая Политика содержит сведения, подлежащие раскрытию в соответствии с ч. 1 ст. 14 ФЗ «О персональных данных» и является общедоступным документом. 1.4. Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на официальном сайте Организации, если иное не предусмотрено новой редакцией Политики. Действующая редакция хранится в месте нахождения Организации, электронная версия Политики размещена на официальном сайте Организации по адресу:

2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц; Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц; Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных); Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных; Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных; Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники; Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств; Оператор - Общество с ограниченной ответственностью «Сурдоцентр-Кубань», самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; Пациент - физическое лицо, которому оказывается медицинская помощь или которое обратилось за оказанием медицинской помощи независимо от наличия у него заболевания и от его состояния.

3. ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Основной задачей обеспечения безопасности персональных данных при их обработке в Организации является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения персональных данных, разрушения (уничтожения) или искажения их в процессе обработки.
3.2. Для обеспечения безопасности персональных данных Оператор руководствуется следующими принципами: - законность. Защита персональных данных основывается на положениях нормативных правовых актов и документов уполномоченных государственных органов в области обработки и защиты персональных данных; - системность. Обработка персональных данных Оператором осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности персональных данных; - комплексность. Защита персональных данных строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах Оператора и других имеющихся в Организации систем и средств защиты; - непрерывность. Защита персональных данных обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки персональных данных; - своевременность. Меры, обеспечивающие надлежащий уровень безопасности персональных данных, принимаются до начата их обработки; - конфиденциальность. Оператор обязуется не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации. - персональная ответственность. Ответственность за обеспечение безопасности персональных данных возлагается на работников Организации в пределах их обязанностей, связанных с обработкой и защитой персональных данных; - минимизация прав доступа. Доступ к персональным данным предоставляется работникам Организации, имеющим доступ к персональным данным для использования персональных данных исключительно в целях, соответствующих закону, договору или иному соглашению, заключенному с субъектом персональных данных; - контроля и оценки. Устанавливаются процедуры постоянного контроля использования систем обработки и защиты персональных данных, а результаты контроля регулярно анализируются. 3.3. В Организации не производится обработка персональных данных, несовместимая с целями их сбора. Если иное не предусмотрено федеральным законом, по окончании обработки персональных данных, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, обрабатывавшиеся Оператором персональные данные уничтожатся или обезличиваются.

4. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Получение Персональных данных.
4.1.1. Все персональные данные Оператор получает от самого субъекта персональных данных (далее – субъект). Если персональные данные субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено согласие. Во время работы субъекта с сайтом www.surdo-center.ru (далее - Сайт) некоторая информация может быть собрана в пассивном режиме, включая IP-адрес, тип браузера, имена доменов, время посещения и операционную систему. Оператор также использует «Куки» и навигационные данные Единого Указателя Ресурсов (URL) для сбора данных о дате и времени визита субъекта на сайт, просмотренной информации.
4.1.2. Организация сообщает субъекту о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных, перечне действий с ними, сроке, в течение которого действует согласие и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на получение персональных данных.
4.1.3. Документы, содержащие персональные данные создаются путем: - копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство и др.); - внесения сведений в учетные формы; - получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.). Порядок доступа субъекта персональных данных к его персональным данным, обрабатываемым Оператором, определяется в соответствии с законодательством и внутренними документами Организации.
4.2. Обработка персональных данных.
4.2.1. Обработка персональных данных осуществляется: - с согласия субъекта персональных данных на обработку его персональных данных. В случаях, предусмотренных Федеральным законом «О персональных данных», согласие предоставляется в письменном виде. В иных случаях согласие считается полученным при заключении договора или при совершении конклюдентных действий; - в случаях, когда обработка персональных данных необходима для осуществления и выполнения возложенных на Организацию законодательством Российской Федерации функций, полномочий и обязанностей; - в случаях, когда осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее – персональные данные, сделанные общедоступными субъектом персональных данных).
4.2.2. Организация обрабатывает персональные данные автоматизированным и неавтоматизированным способами, с использованием средств вычислительной техники и без использования таких средств.
4.2.3. Действия по обработке персональных данных включают сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение.
4.2.4. Организация обрабатывает персональные данные субъекта в течение срока действия заключенного с ним договора. Организация может обрабатывать персональные данные субъекта после окончания срока действия заключенного с ним договора в течение срока, установленного п. 5 ч. 3 ст. 24 части первой Налогового кодекса Российской Федерации, ч. 1 ст. 29 Федерального закона «О бухгалтерском учете» и иными нормативными правовыми актами. 4.2.5. Организация обрабатывает специальные категории персональных данных несовершеннолетних лиц с письменного согласия их законных представителей на основании ч. 1 ст. 9, п. 1 ч. 2 ст. 10 Федерального Закона «О персональных данных».
4.2.6. Допущенные к обработке персональных данных работники Организации под роспись знакомятся с документами Организации, устанавливающими порядок обработки персональных данных.
4.3. Цели обработки персональных данных.
4.3.1. Обработка персональных данных в Организации осуществляется в целях: - Обеспечение организацией оказания медицинской помощи населению, а также наиболее полного исполнения обязательств и компетенций в соответствии с Федеральными законами «Об основах охраны здоровья граждан в Российской Федерации» от 21.11.2011г. № 323-ФЗ; «Об обязательном медицинском страховании граждан в Российской Федерации» от 29.11.2010г. № 326-ФЗ; «Правила предоставления медицинскими организациями платных медицинских услуг», утвержденные Постановлением Правительства Российской Федерации от 04.10.2012. №1006; - Осуществление трудовых отношений, ведение кадрового делопроизводства и организация учета работников Организации, в том числе привлечения и отбора кандидатов на работу у Оператора, обучения, добровольного страхования всех видов, представления работникам различного вида льгот и компенсаций; - Осуществление гражданско-правовых отношений; - Информирования об условиях оказываемых услуг, проводимых мероприятиях, рекламирования и иного любого продвижения товаров и услуг на рынке путем осуществления прямых контактов с субъектом персональных данных; - Технической поддержки при обработке информации, документации и персональных данных с использованием средств автоматизации и без такого использования.
4.3.2. В Организации обрабатываются персональные данные следующих субъектов персональных данных: - физических лиц, состоящих с Организацией в трудовых отношениях, в т.ч. бывших работников; - физических лиц, являющихся кандидатами на работу; - физических лиц, состоящих с Организацией в гражданско-правовых отношениях (клиентов (пациентов), их представителей); - представителей/работников корпоративных клиентов и контрагентов; - физических лиц, являющихся близкими родственниками работников Организации и лиц, входящих в органы управления Организации; - иных физических лиц, выразивших согласие на обработку Оператором их персональных данных или физических лиц, обработка персональных данных которых необходима Оператору для достижения целей, предусмотренных законом Российской Федерации, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей.
4.3.3. Персональные данные физических лиц (Пациентов), обрабатываемые Оператором: - фамилия, имя, отчество (последнее – при наличии); - пол; - дата рождения; - место рождения; - гражданство; - данные документа, удостоверяющего личность; - место жительства; - место регистрации; - номер телефона; - адрес электронной почты; - страховой номер индивидуального лицевого счета (при наличии), принятый в соответствии с законодательством Российской Федерации об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования; - номер полиса обязательного медицинского страхования застрахованного лица (при наличии); - анамнез; - диагноз; - сведения о временной нетрудоспособности; - вид оказанной медицинской помощи; - условия и сроки оказания медицинской помощи; - объем оказанной медицинской помощи; - сведения об оказанных медицинских услугах; - примененные стандарты оказания медицинской помощи; - сведения о медицинском работнике и/или медицинских работниках, оказавших медицинскую услугу; - сведения об организации, оказавшей медицинские услуги; - иная информация, необходимая для качественного оказание медицинских услуг и ведения медицинского учета.
4.3.4. Персональные данные работников Оператора (кандидатов, бывших работников): - фамилия, имя, отчество; - место, год и дата рождения; - адрес регистрации, адрес проживания; - данные документа, удостоверяющего личность; - информация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающих образование: наименование, номер, дата выдачи, специальность); - информация о трудовом стаже (место работы, должность, период работы, причины увольнения); - номер телефона; - семейное положение и состав семьи; - информация о знании иностранных языков; - оклад; - данные о трудовом договоре; - сведения о воинском учете; - ИНН; - данные об аттестации работников; - данные о повышении квалификации; - данные о наградах, медалях, поощрениях, почетных званиях; - информация о приеме на работу, перемещении по должности, увольнении; - информация об отпусках; - информация о командировках; - информация о негосударственном пенсионном обеспечении.
4.4. Хранение персональных данных.
4.4.1. Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде. 4.4.2. Персональные данные, зафиксированные на бумажных носителях хранятся в запираемых шкафах, либо в запираемых помещениях с ограниченным правом доступа (регистратура).
4.4.3. Персональные данные субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках (вкладках). Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках) в информационной системе персональных данных.
4.4.4. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
4.5. Уничтожение персональных данных.
4.5.1. Уничтожение документов (носителей), содержащих персональные данные производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
4.5.2. Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.
4.5.3. Уничтожение производится комиссией. Факт уничтожения персональных данных подтверждается документально актом об уничтожении носителей, подписанным членами комиссии.
4.6. Передача персональных данных.
4.6.1. Организация передает персональные данные третьим лицам в следующих случаях: - субъект выразил свое согласие на такие действия; - передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры.
4.6.2. Лицами, которым могут переданы персональные данные являются: Пенсионный фонд РФ для учета (на законных основаниях); налоговые органы РФ (на законных основаниях); Фонд социального страхования (на законных основаниях); Территориальный фонд обязательного медицинского страхования (на законных основаниях); страховые медицинские организации по обязательному и добровольному медицинскому страхованию (на законных основаниях); кредитные организации (банки) для начисления заработной платы (на основании договора); органы МВД в случаях, установленных законодательством.

5. МЕРЫ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Защите подлежит информация, содержащая персональные данные субъекта вне зависимости от способа обработки (автоматизированной, осуществляемой без использования средств автоматизации либо смешанной обработке персональных данных).
5.2. Меры, применяемые для защиты обрабатываемых персональных данных: - разработка локальных актов по вопросам обработки персональных данных, обеспечение неограниченного доступа к ним; - назначение работника, ответственного за организацию обработки персональных данных; - ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями действующего законодательства о персональных данных, требованиями к защите персональных данных и иными документами, по вопросам обработки персональных данных; - осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону «О персональных данных», принятым в соответствии с ним нормативным правовым актам, иным требованиям к защите персональных данных; - определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных; - установление правил доступа к персональным данным, обрабатываемых в информационных системах персональных данных, обнаружение фактов несанкционированного доступа к персональным данным; - осуществление контроля за применяемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных; - оценка эффективности принимаемых мер по обеспечению безопасности персональных данных; - применение комплекса иных правовых, организационных и технических мер по обеспечению безопасности персональных данных, в т.ч. установление индивидуальных паролей доступа работников в информационную систему в соответствии с их должностными обязанностями, применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, учет носителей персональных данных и обеспечение их сохранности, применение сертифицированного антивирусного программного обеспечения с регулярно обновляемыми базами.

6. ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ
6.1. Права субъекта персональных данных.
6.1.1. Субъект персональных данных имеет право: - на получение персональных данных, относящихся к данному субъекту, и информации, касающейся их обработки; - на уточнение, блокирование или уничтожение его персональных данных в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки; - на отзыв данного им согласия на обработку персональных данных; - на обжалование действий или бездействия Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке; - на получение иных сведений, предусмотренных Федеральным законом «О персональных данных» и иными нормативными правовыми актами.
6.1.2. Для реализации своих прав и законных интересов субъекты персональных данных имеют право обратиться к Оператору либо направить запрос лично или с помощью представителя. Запрос должен содержать сведения, указанные в ч. 3 ст. 14 Федерального закона «О персональных данных».
6.2. Обязанности Оператора.
6.2.1. Оператор обязан: - при сборе персональных данных предоставить информацию об обработке персональных данных; - в случаях если персональные данные были получены не от субъекта персональных данных уведомить субъекта; - при отказе в предоставлении персональных данных разъяснить субъекту последствия такого отказа; - опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его Политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных; - принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных; - давать ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных.

7. УСЛОВИЯ ИСПОЛЬЗОВАНИЯ ОНЛАЙН СЕРВИСОВ
7.1. При использовании онлайн сервисов на Сайте Организации Посетитель предоставляет о себе следующие персональные данные: фамилия, имя, контактный телефон, адрес электронной почты. При предоставлении Посетителем недостоверной информации, Организация не гарантирует своевременного и качественного осуществления онлайн сервисов.
7.2. Посетитель, предоставляя свои персональные данные на официальном сайте Организации по адресу: https://krasnodar.surdo-center.ru/, выражает свое согласие на обработку его персональных данных администратором сайта и/или иными работниками Организации, а именно: сбор, систематизацию, накопление, хранение в информационной системе, извлечение, использование, передачу, обезличивание, удаление из информационных систем Оператора. Обработка персональных данных Посетителей осуществляется в целях, связанных с реализацией услуги по предварительной записи Пациента, а также может быть использована для оказания медицинских услуг Посетителю сайта при непосредственном обращении в Организацию.

8. УСЛОВИЯ ПРЕДОСТАВЛЕНИЯ ИНФОРМАЦИОННЫХ И РЕКЛАМНЫХ СООБЩЕНИЙ
8.1. Администратор сайта и/или иные лица, информация о которых представлена на данном сайте, вправе осуществлять рассылку информационных и рекламных сообщений с согласия Посетителя. Данные сообщения не являются офертой, носят исключительно ознакомительный или рекламных характер. Если посетитель не желает более получать рекламные или информационные сообщения он имеет право отказаться от получения такой рассылки, направив администратору сайта отказ от сообщений рекламно-информационного характера по электронной почте на адрес, размещенный на официальном сайте Организации, в произвольной форме.

9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
9.1. Настоящая Политика вступает в силу с момента ее утверждения.
9.2. Настоящая Политика может быть изменена по решению единоличного исполнительного органа Организации. Политика в новой редакции подлежит размещению на официальном сайте Организации.