Политика обработки персональных данных
Скачать документ в pdf формате
1. Назначение Политики
Настоящая Политика предназначена для определения концептуальных основ деятельности АО «Медицина» по обеспечению защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
2. Настоящая Политика вводится взамен Политики обработки персональных данных от 09.11.2022 № 01.02-14/339.
3. Область применения
3.1. Настоящая Политика распространяется на деятельность всех подразделенийАО «Медицина», участвующих в обработке персональных данных.
3.2. Настоящая Политика в соответствии с требованиями п. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» подлежит опубликованиюна официальном сайте http://www.medicina.ru/. Действующая редакция Политики на бумажном носителе хранится по адресу:125047, г. Москва, 2-й Тверской-Ямской переулок, дом 10.
3.3. В случае если отдельные положения настоящей Политики войдут в противоречие с действующим законодательством Российской Федерации, применяются положения действующего законодательства Российской Федерации.
4. Срок действия
4.1. Настоящая Политика вводится в действие сроком до 31.12.2024.
4.2. Настоящая Политика может пересматриваться и заново утверждаться по мере внесения изменений:
- в нормативные правовые акты в сфере персональных данных;
- в локальные акты АО «Медицина», регламентирующие организацию обработки и обеспечение безопасности персональных данных.
5. Термины и определения
Персональные данные (ПДн) − любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных − любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, представление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных − обработка персональных данных с помощью средств вычислительной техники.
Представление персональных данных − действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Уничтожение персональных данных − действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных − действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных − совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Трансграничная передача персональных данных − передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Субъект персональных данных − физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
6. Нормативные ссылки
6.1. Настоящая Политика разработана в соответствии с положениями следующих нормативных правовых актов:
- Конституция Российской Федерации (принята всенародным голосованием 12.12.1993);
- Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ;
- Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 № 195-ФЗ;
- Федеральный закон от 21.11.2011 № 323-ФЗ «Об охране здоровья граждан в Российской Федерации»;
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Требования к защите персональных данных при их обработке в информационных системах персональных данных (утв. Постановлением Правительства Российской Федерации от 01.11.2012 № 1119);
- Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. Постановлением Правительства Российской Федерации от 15.09.2008 № 687);
- Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утв. Приказом Федеральной службы по техническому и экспортному контролю Российской Федерации от 18.02.2013 № 21);
- Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности (утв. Приказом Федеральной службы безопасности Российской Федерации от 10.07.2014№ 378);
- Постановление Правительства РФ от 29.12.2022 № 2526 «Об утверждении перечня случаев, при которых к операторам, осуществляющим трансграничную передачу персональных данных в целях выполнения возложенных международным договором Российской Федерации, законодательством Российской Федерации на государственные органы, муниципальные органы функций, полномочий и обязанностей, не применяются требования частей 3–6, 8–11 статьи 12 Федерального закона «О персональных данных»;
- Постановление Правительства РФ от 10.01.2023 № 6 «Об утверждении Правил принятия решения о запрещении или об ограничении трансграничной передачи персональных данных уполномоченным органом по защите прав субъектов персональных данных и информирования операторов о принятом решении»;
- Постановление Правительства РФ от 16.01.2023 № 24 «Об утверждении Правил принятия решения уполномоченным органом по защите прав субъектов персональных данных о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан»;
- Приказ Роскомнадзора от 05.08.2022 № 128 «Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных»;
- Приказ Роскомнадзора от 14.11.2022 № 187 «Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных»;
- Приказ ФСБ России от 13.02.2023 № 77 «Об утверждении порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных»;
- Приказ Роскомнадзора от 27.10.2022 № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных»;
- Приказ Роскомнадзора от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных»;
- Регламент Европейского Парламента и Совета Европейского Союза 2016/679 от 27 апреля 2016 г. о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных / GeneralDataProtectionRegulation).
6.2. Во исполнение настоящей Политики в АО «Медицина» утверждены Положение о порядке организации и проведения работ по защите персональных данных, Положение о защите персональных данных работника АО «Медицина», Положение о защите персональных данных соискателей, пациентов и иных субъектов персональных данных и иные локальные акты в сфере обработки и защиты персональных данных.
7. Описание Политики
7.1. Принципы, цели, содержание и способы обработки персональных данных
7.1.1. АО «Медицина» в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в ст. 5 Федерального закона от 27.07.2006№ 152-ФЗ «О персональных данных»:
- персональные данные обрабатываются законно, добросовестно и открыто в отношении субъекта персональных данных;
- персональные данные должны собираться в конкретных, заранее определенных и законных целях и не подвергаться последующей обработке, противоречащей этим целям;
- обрабатываемые персональные данные должны быть достаточными, актуальными и необходимыми для целей обработки;
- персональные данные должны быть точными и в случае необходимости своевременно обновляться;
- персональные данные должны храниться не дольше чем это необходимо для целей обработки;
- персональные данные должны обрабатываться таким образом, чтобы обеспечить защиту персональных данных, включая защиту от несанкционированной или незаконной обработки, защиту от случайной утраты, уничтожения или повреждения, с использованием соответствующих технических и организационных мер.
7.1.2. При обработке персональных данных АО «Медицина» обеспечивает реализацию прав субъектов персональных данных, установленных законодательством Российской Федерации, включая:
- право на доступ к своим персональным данным;
- право на получение информации, касающейся обработки персональных данных;
- право требовать от АО «Медицина» уточнения персональных данных, их блокирования или уничтожения, в случае если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- право отозвать согласие на обработку персональных данных, направив соответствующий запрос АО «Медицина» или обратившись лично;
- право обжаловать в суде любые неправомерные действия или бездействие АО «Медицина» при обработке и защите персональных данных.
7.1.3. До начала обработки персональных данных определяются субъекты персональных данных, состав обрабатываемых персональных данных и конкретные цели обработки персональных данных, которые документируются «Перечнем обрабатываемых персональных данных» (Приложение № 1).
7.1.4. Доступ к персональным данным ограничивается в соответствии с требованиями законодательства и внутренними нормативными документами АО «Медицина».
7.1.5. АО «Медицина» не разглашает полученные им в результате своей профессиональной деятельности персональные данные, за исключением случаев, предусмотренных законодательством.
7.1.6. Работники АО «Медицина», получившие доступ к персональным данным, принимают обязательства по обеспечению конфиденциальности обрабатываемых персональных данных.
7.1.7. АО «Медицина» предпринимает необходимые технические и организационные меры информационной безопасности для защиты персональных данных от несанкционированного доступа, изменения, раскрытия или уничтожения, путем внутренних проверок процессов сбора, хранения и обработки персональных данных и мер безопасности, а также осуществления мер по обеспечению физической безопасности ПДн для предотвращения несанкционированного доступа к системам, в которых АО «Медицина» обрабатывает персональные данные.
7.2. Меры по надлежащей организации обработки и обеспечению безопасности персональных данных
7.2.1. Обеспечение безопасности персональных данных в АО «Медицина» достигается, в частности, следующими способами:
- назначением ответственного лица за организацию обработки персональных данных, права и обязанности которого определяются локальными актами АО «Медицина»;
- осуществлением внутреннего контроля и/или аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, требованиями к защите персональных данных, локальными актами АО «Медицина»;
- ознакомлением сотрудников АО «Медицина», непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных и/или обучением указанных сотрудников;
- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- учетом машинных (материальных) носителей персональных данных;
- выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер;
- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- контролем над соблюдением требований в сфере обеспечения безопасности персональных данных и к уровням защищенности информационных систем персональных данных.
7.2.2. В случаях, когда для достижения целей обработки ПДн АО «Медицина» передает персональные данные третьим лицам, такая передача осуществляется на основании заключенного договора, содержащего положения о соблюдении конфиденциальности и обеспечении безопасности персональных данных либо договора поручения обработки персональных данных.
7.2.3. Обязанности сотрудников АО «Медицина», непосредственно осуществляющих обработку персональных данных, а также их ответственность определяются в локальных актах АО «Медицина».
7.3. Права субъектов персональных данных
7.3.1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных в АО «Медицина», в том числе содержащих:
- сведения об АО «Медицина» как операторе, обрабатывающем персональные данные (наименование и место нахождения);
- наличие в АО «Медицина» персональных данных;
- подтверждение факта обработки персональных данных АО «Медицина», указание правовых оснований и установленных целей обработки персональных данных;
- способы обработки персональных данных, применяемые в АО «Медицина»;
- сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с АО «Медицина» (в т.ч. поручения оператора) или на основании федерального(-ых) закона(-ов), за исключением работников, доступ которым предоставлен в связи с исполнением должностных (функциональных) обязанностей;
- перечень обрабатываемых персональных данных, относящихся к конкретному субъекту персональных данных и источник их получения;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок реализации прав субъектов персональных данных, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
- сведения об осуществляемой или предполагаемой трансграничной передаче персональных данных с указанием наименования страны;
- иные сведения, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», к которым могут относиться соблюдение условий и принципов обработки персональных данных, сведения о выполнении требований по обеспечению безопасности персональных данных, возможные ограничения на доступ субъектов к своим персональным данным.
7.3.2. Субъект персональных данных вправе требовать уточнения этих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
7.3.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
7.3.4. Для реализации и защиты своих прав и законных интересов субъект персональных данных имеет право обратиться в АО «Медицина». Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных, его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись. Запрос может быть направлен в электронной форме и подписан электронной подписью в соответствии с действующим законодательством РФ.
7.3.5. Если субъект персональных данных считает, что АО «Медицина» осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействия АО «Медицина» в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
7.3.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
7.3.7. Регламент реагирования на запросы субъектов персональных данных/уполномоченного органа по защите прав субъектов персональных данных и действия работников АО «Медицина» приведен в Приложении № 2.
8. Обратная связь
8.1. В случаях если субъект персональных данных хочет узнать, какими персональными данными о нем располагает АО «Медицина», либо дополнить, исправить, обезличить или удалить любые неполные, неточные или устаревшие персональные данные, либо хочет прекращение обработки АО «Медицина» его персональных данных, либо имеет другие законные требования, он может в установленном порядке и в соответствии с законодательством реализовать такое право, обратившись в АО «Медицина».
8.2. При этом в некоторых случаях (например, если субъект персональных данных хочет удалить свои персональных данных или прекратить их обработку) такое обращение также может означать, что АО «Медицина» больше не сможет предоставлять услуги субъекту персональных данных.
8.3. Для выполнения запросов субъектов персональных данных АО «Медицина» может потребовать установить личность такого субъекта персональных данных и запросить дополнительную информацию, подтверждающую его участие в отношениях с АО «Медицина», либо сведения, иным образом подтверждающие факт обработки персональных данных АО «Медицина».
8.4. Кроме того, действующее законодательство может устанавливать ограничения и другие условия, касающиеся упомянутых выше прав субъектов персональных данных.
8.5. Порядок направления субъектом персональных данных запросов на предоставление сведений определен требованиями Федерального закона от 27.06.2006 № 152-ФЗ «О персональных данных». В частности, в соответствии с указанными требованиями, запрос на получение информации в АО «Медицина» должен содержать:
- серию, номер документа, удостоверяющего личность субъекта персональных данных (его представителя), сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие субъекта персональных данных в отношениях с АО «Медицина» (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных АО «Медицина»;
- подпись субъекта персональных данных (его представителя).
8.6. В случае направления запроса представителем субъекта персональных данных, запрос должен содержать документ (копию документа), подтверждающий полномочия данного представителя.
8.7. Контакты АО «Медицина» для обращения субъектов ПДн по вопросам обработки персональных данных: 125047, Российская Федерация, г. Москва, 2-й Тверской-Ямской пер., д. 10, тел.: (499) 250-91-90, e-mail: contact@medicina.ru.
9. Ответственность
9.1. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут дисциплинарную, материальную, гражданско-правовую, административную и уголовную ответственность в порядке, установленном федеральными законами, локальными актами АО «Медицина» и договорами, регламентирующими правоотношения с третьими лицами.
Приложение № 1
ПЕРЕЧЕНЬ
персональных данных, обрабатываемых в АО «Медицина»
АО «Медицина» обрабатывает персональные данные следующих категорий субъектов персональных данных:
- соискатель;
- работник;
- родственник работника;
- контрагент;
- пациент;
- посетитель;
- посетитель сайтов.
Настоящий перечень определяет для каждой категории субъектов персональных данных:
- цели обработки персональных данных;
- состав обрабатываемых персональных данных;
- перечень действий с персональными данными;
- способ обработки персональных данных;
- срок обработки и хранения персональных данных;
- порядок уничтожения персональных данных.
Соискатель
Под соискателями понимаются субъекты, чьи кандидатуры рассматриваются АО «Медицина» на замещение открытых вакансий. Осуществляется смешанная обработка персональных данных соискателя (автоматизированная обработка и обработка без использования средств автоматизации).
Уничтожение персональных данных соискателя осуществляется в соответствии с порядком, определенным «Положением о порядке организации и проведения работ по защите персональных данных» в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и Приказа Роскомнадзора от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».
№п/п | Цели обработки персональных данных | Состав обрабатываемых персональных данных | Перечень действий с персональными данными | Срок обработки и хранения персональных данных |
---|---|---|---|---|
1. | Подбор персонала на замещение вакантных должностей и должностей, которые могут возникнуть в будущем |
фамилия, имя, отчество (ФИО); данные о гражданстве; дата рождения; данные о месте рождения; половая принадлежность; реквизиты документа, удостоверяющего личность; адрес места жительства; адрес места пребывания; наименование профессии; данные о знании иностранных языков; наименование должности; наименование структурного подразделения; наименование текущего места трудоустройства; наименование мест предыдущих трудоустройств; отношение к воинской обязанности, сведения о воинском учете; данные об образовании, квалификации, специальности; реквизиты документа об образовании, квалификации, специальности; фотографическое изображение лица; идентификационный номер налогоплательщика (ИНН); страховой номер индивидуального лицевого счета (СНИЛС); размер оклада; сведения об инвалидности; сведения о судимости; сведения о состоянии здоровья, относящиеся к возможности выполнения трудовой функции; сведения, указанные в резюме адрес электронной почты номер контактного телефона опыт работы |
Сбор, получение от третьих лиц, запись, систематизация, накопление, хранение, обновление, изменение, извлечение, использование, блокирование, обезличивание, удаление, уничтожение | До момента принятия решения о трудоустройстве |
2 | Проверка благонадежности (в том числе оценки профессиональных, деловых и личностных качеств, включая проведение тестирования) |
фамилия, имя, отчество (ФИО); данные о гражданстве; дата рождения; данные о месте рождения; половая принадлежность; реквизиты документа, удостоверяющего личность; адрес места жительства; адрес места пребывания; наименование профессии; данные о знании иностранных языков; наименование должности; наименование структурного подразделения; наименование текущего места трудоустройства; наименование мест предыдущих трудоустройств; данные об образовании, квалификации, специальности; реквизиты документа об образовании, квалификации, специальности; идентификационный номер налогоплательщика (ИНН); страховой номер индивидуального лицевого счета (СНИЛС); размер оклада; сведения о судимости; сведения, указанные в резюме |
Сбор, получение от третьих лиц, запись, систематизация, накопление, хранение, обновление, изменение, извлечение, использование, блокирование, обезличивание, удаление, уничтожение | До момента принятия решения о трудоустройстве |
3. | Организация и осуществление пропускного и внутриобъектового режима |
фамилия, имя, отчество (ФИО); реквизиты документа, удостоверяющего личность; время и дата посещения помещений, зданий и территории АО «Медицина» |
Сбор, запись, систематизация, накопление, хранение, обновление, изменение, извлечение, использование, блокирование, обезличивание, удаление, уничтожение | 1 год |
Работник
Под работниками понимаются:
- действующие работники АО «Медицина»;
- бывшие работники АО «Медицина» – субъекты, находившиеся в трудовых правоотношениях с АО «Медицина».
Осуществляется смешанная обработка персональных данных работника (автоматизированная обработка и обработка без использования средств автоматизации).
Уничтожение персональных данных работника осуществляется в соответствии с порядком, определенным «Положением о порядке организации и проведения работ по защите персональных данных» в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и Приказа Роскомнадзора от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».
№п/п | Цели обработки персональных данных | Состав обрабатываемых персональных данных | Перечень действий с персональными данными | Срок обработки и хранения персональных данных |
---|---|---|---|---|
1 | Заключение и исполнение трудового договора в соответствии с требованиями законодательства РФ |
адрес места жительства (прописки) адрес фактического проживания адрес электронной почты гражданство данные заключения по результатам предварительного медицинского осмотра (ст. 213 ТК РФ, п. 12 Порядка проведения медосмотров, утвержденного Приказом Минздравсоцразвития России от 12.04.2011 № 302н) данные свидетельства об аккредитации специалиста (в соответствии с Положением об аккредитации специалистов, утвержденное Приказом Минздрава России от 02.06.2016 N 334н). данные справки о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям, выданную органами МВД России; данные трудовой книжки данные учета рабочего времени дата рождения должность идентификатор пропуска информация о банковских реквизитах, включая номера счетов информация о забронированной гостинице информация о забронированном билете место рождения номер телефона (мобильный, домашний) образец собственноручной подписи отпечаток пальца пол рабочий номер телефона (стационарный, мобильный) реквизиты документа, удостоверяющего личность (серия, номер, кем выдан, код подразделения, дата выдачи) реквизиты заграничного паспорта (серия, номер, дата выдачи, выдавший орган) сведения водительского удостоверения сведения листка нетрудоспособности сведения о близких родственниках (фамилия, имя, отчество, степень родства, дата и место рождения родственника) сведения о визе сведения о владении иностранными языками сведения о военном билете сведения о воинском учете сведения о доверенности сведения о дополнительных вознаграждениях сведения о командировке сведения о наградах сведения о налогах на доходы сведения о начисленной и удержанной заработной плате сведения о начисленных и уплаченных страховых взносах сведения о повышении квалификации, переподготовке сведения о постановке на учет в системе государственного пенсионного страхования (СНИЛС) сведения о постановке на учет в системе медицинского страхования (ОМС) сведения о постановке на учет в системе налоговых органов (ИНН) сведения о состоянии здоровья, относящиеся к возможности выполнения трудовой функции сведения о страховом, льготном стаже сведения о трудовом договоре сведения о трудовом стаже сведения о членстве в ассоциациях и профессиональных сообществах сведения об инвалидности (включая реквизиты документа, подтверждающего инвалидность) сведения об образовании сведения об отпусках сведения об увольнении сведения об ученой степени, ученом звании семейное положение структурное подразделение табельный номер фамилия, имя, отчество (если менялись) фамилия, имя, отчество (ФИО) фотографическое изображение |
Сбор, систематизация, хранение, извлечение, передача (предоставление, доступ), запись, накопление, уточнение (обновление, изменение), использование, уничтожение, удаление |
5 лет в отношении сведений, содержащихся в первичных документах бухгалтерского учета и включаемых в бухгалтерскую отчетность; 4 года в отношении сведений, необходимых для исчисления, удержания и перечисления налогов; 75 лет (50 лет для документов, созданных после 2003 года) в отношении сведений, подлежащих архивному хранению |
2. | Организация и осуществление пропускного и внутриобъектового режима |
фамилия, имя, отчество; наименование должности; наименование структурного подразделения; идентификатор пропуска (ID-карты); табельный номер; фотографическое изображение лица; отпечатки пальцев (биометрические персональные данные); время и дата посещения помещений, зданий и территории АО «Медицина» |
Сбор, запись, систематизация, накопление, хранение, обновление, изменение, извлечение, использование, блокирование, удаление, уничтожение | 1 год после прекращения трудовых отношений с АО «Медицина» |
3. | Оформление зарплатных банковских карт |
фамилия, имя, отчество; наименование должности; наименование структурного подразделения; дата рождения; данные о месте рождения; данные о гражданстве; реквизиты документа, удостоверяющего личность; адрес места жительства; дата регистрации по месту жительства; адрес места пребывания; номер контактного телефона; половая принадлежность; наименование текущего места трудоустройства; табельный номер |
Сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, уничтожение) и передача | 5 лет после прекращения трудовых отношений с АО «Медицина» |
4. | Предоставление мобильной связи |
фамилия, имя, отчество; дата рождения; данные о месте рождения; данные о гражданстве; реквизиты документа, удостоверяющего личность; адрес места жительства; дата регистрации по месту жительства; адрес места пребывания; номер контактного телефона; половая принадлежность; наименование текущего места трудоустройства |
Сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, уничтожение) и передача | 5 лет после прекращения трудовых отношений с АО «Медицина» |
5. | Реализация информационной политики и информационное обеспечение, в том числе ведение корпоративных справочников |
фамилия, имя, отчество; фотографическое изображение лица; наименование должности; категория; наименование структурного подразделения; наименование профессии; данные о трудовом стаже; наименование текущего места трудоустройства; данные об образовании, квалификации, специальности; данные об ученой степени, ученом звании; данные о повышении квалификации, переподготовке; данные о членстве в ассоциациях и профессиональных сообществах; профессиональный опыт; стаж работы; область научных и практических интересов; рейтинг врача; сведения о наградах |
Сбор, запись, систематизация, накопление, хранение, обновление, изменение, извлечение, использование, распространение, блокирование, удаление, уничтожение | 1 год после прекращения трудовых отношений с АО «Медицина» |
6. | Подбор, бронирование, оплата билетов на транспорт, мест в гостиницах через специализированных агентов |
фамилия, имя, отчество; наименование должности; наименование структурного подразделения; дата рождения; данные о месте рождения; данные о гражданстве; реквизиты документа, удостоверяющего личность; реквизиты документа, удостоверяющего личность за границей; данные о месте и дате направления в командировку; данные о периоде нахождения в командировке; адрес места жительства; дата регистрации по месту жительства; адрес места пребывания; номер контактного телефона; половая принадлежность; наименование текущего места трудоустройства; фотографическое изображение лица |
Сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, уничтожение) и передача | 5 лет после прекращения трудовых отношений с АО «Медицина» |
7. | Оформления визитной карточки |
фамилия, имя, отчество; наименование должности; наименование структурного подразделения; наименование и адрес текущего места трудоустройства; номер контактного телефона; номер рабочего телефона, адрес электронной почты |
Сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, уничтожение) и передача | В течение трудовых отношений с АО «Медицина» |
Родственник работника
Под родственниками работников понимаются:
- родственники действующих работников АО «Медицина»;
- родственники бывших работников АО «Медицина».
Осуществляется смешанная обработка персональных данных родственников работника (автоматизированная обработка и обработка без использования средств автоматизации).
Уничтожение персональных данных родственников работника осуществляется в соответствии с порядком, определенным «Положением о порядке организации и проведения работ по защите персональных данных» в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и Приказа Роскомнадзора от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».
№п/п | Цели обработки персональных данных | Состав обрабатываемых персональных данных | Перечень действий с персональными данными | Срок обработки и хранения персональных данных |
---|---|---|---|---|
1. | Предоставление компенсаций и льгот, предусмотренных законодательством РФ и внутренними документами |
адрес электронной почты; банковские реквизиты; год рождения; гражданство; данные свидетельства о браке; данные свидетельства о расторжении брака; данные свидетельства о рождении ребенка; данные свидетельства о смерти (члена семьи); дата рождения; домашний адрес (адрес фактического проживания); контактный телефон; место рождения паспортные данные; пол сведения исполнительных листов сведения о документе, удостоверяющем личность; сведения о регистрации по месту пребывания; степень родства; фамилия, имя, отчество (ФИО) |
Сбор, систематизация, хранение, извлечение, передача (предоставление, доступ), запись, накопление, уточнение (обновление, изменение), использование, уничтожение, удаление |
5 лет в отношении сведений, содержащихся в первичных документах бухгалтерского учета и включаемых в бухгалтерскую отчетность; 75 лет (50 лет для документов, созданных после 2003 года) в отношении сведений, подлежащих архивному хранению |
2. | Организация и осуществление пропускного и внутриобъектового режима |
фамилия, имя, отчество (ФИО); реквизиты документа, удостоверяющего личность; время и дата посещения помещений, зданий и территории АО «Медицина» |
Сбор, запись, систематизация, накопление, хранение, обновление, изменение, извлечение, использование, блокирование, обезличивание, удаление, уничтожение | 1 год после прекращения трудовых отношений работника с АО «Медицина» |
Контрагент
Под контрагентами понимаются физические лица, юридические лица и индивидуальные предприниматели, заключившие или намеревающиеся заключить договоры гражданско-правового характера с АО «Медицина» (контрагенты) и их законные представители (представители контрагентов).
Осуществляется смешанная обработка персональных данных контрагента (автоматизированная обработка и обработка без использования средств автоматизации).
Уничтожение персональных данных контрагента осуществляется в соответствии с порядком, определенным «Положением о порядке организации и проведения работ по защите персональных данных» в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и Приказа Роскомнадзора от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».
№п/п | Цели обработки персональных данных | Состав обрабатываемых персональных данных | Перечень действий с персональными данными | Срок обработки и хранения персональных данных |
---|---|---|---|---|
1. | Подготовка, заключение и исполнение гражданско-правового договора с контрагентами, с учетом требований применимого законодательства РФ |
адрес электронной почты данные пропуска данные учетной записи в личном кабинете информация о доверенности информация о назначении на должность руководителя организации ИНН; место работы, должность; название организации, должность номер контактного телефона (рабочий, мобильный) ОГРН ИП; реквизиты банковского счета; реквизиты документа, удостоверяющего личность (серия, номер, кем выдан, код подразделения, дата выдачи) СНИЛС; сумма оплаты (вознаграждения); фамилия, имя, отчество (ФИО) |
Сбор, систематизация, хранение, извлечение, передача (предоставление, доступ), запись, накопление, уточнение (обновление, изменение), использование, уничтожение, удаление | 5 лет по истечение срока действия договора |
2. | Организация и осуществление пропускного и внутриобъектового режима |
фамилия, имя, отчество; реквизиты документа, удостоверяющего личность; наименование должности; наименование организации контрагента; идентификатор пропуска (ID-карты); фотографическое изображение лица; отпечатки пальцев (биометрические персональные данные); время и дата посещения помещений, зданий и территории АО «Медицина» |
Сбор, запись, систематизация, накопление, хранение, обновление, изменение, извлечение, использование, блокирование, удаление, уничтожение | 1 год по истечение срока действия договора |
Пациент
Под пациентами понимаются:
- пациенты – физические лица;
-
представители пациентов:
- o заказчики (плательщики) – физические лица, юридические лица и индивидуальные предприниматели;
- o законные представители пациентов, в том числе члены семьи и близкие родственники
Осуществляется смешанная обработка персональных данных пациента (автоматизированная обработка и обработка без использования средств автоматизации).
Уничтожение персональных данных пациента осуществляется в соответствии с порядком, определенным «Положением о порядке организации и проведения работ по защите персональных данных» в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и Приказа Роскомнадзора от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».
№п/п | Цели обработки персональных данных | Состав обрабатываемых персональных данных | Перечень действий с персональными данными | Срок обработки и хранения персональных данных |
---|---|---|---|---|
1. | Заключение и исполнение договоров об оказании медицинских услуг |
адрес места жительства (прописки) адрес места пребывания адрес фактического места жительства адрес электронной почты гражданство группа инвалидности группа крови и резус принадлежности данные документа, удостоверяющего личность иностранного гражданина данные листка нетрудоспособности данные о сумме платежей по договору об оказании платных медицинских услуг данные свидетельства о рождении (для детей до 14 лет) данные удостоверения личности военнослужащего российской федерации данные удостоверения личности моряка данные, указанные в доверенности дата и время посещений АО «Медицина» дата и время смерти дата рождения диагноз заболевания идентификатор пропуска имя учетной записи (Skype) информация о результатах патологоанатомической экспертизы код заболевания по международной классификации болезней масса тела место работы место рождения название организации, должность номер домашнего телефона номер карты пациента номер мобильного телефона пол принадлежность к социальной группе (пенсионер) профиль и наименование вида ВМП результаты диагностических исследований результаты лабораторных исследований реквизиты документа, удостоверяющего личность (серия, номер, кем выдан, код подразделения, дата выдачи) реквизиты медицинского (врачебного) свидетельства о смерти реквизиты полиса ДМС реквизиты полиса ОМС рост сведения о наличии беременности сведения о причине смерти сведения о программе оказания медицинских услуг сведения о режиме и особенностях питания сведения о состоянии здоровья сведения о факте и о размере оплаты медицинских услуг СНИЛС степень родства структурное подразделение фамилия, имя, отчество (ФИО) фото-, видео-, аудиоинформация о проведенных оперативных и диагностических мероприятиях фотографическое изображение лица |
Сбор, запись, систематизация, накопление, хранение, обновление, изменение, извлечение, использование, предоставление (доступ) сервисным организациям, блокирование, удаление, обезличивание, уничтожение | 25 лет по истечение срока действия договора |
2. | Проведение гарантийного обслуживания медицинского оборудования АО «Медицина» |
фамилия, имя, отчество; дата рождения; данные о половой принадлежности; данные о росте, массе и температуре тела; номер карты пациента; информация о состоянии здоровья (результаты диагностики, мониторинга состояния организма человека, проведения медицинских исследований), полученная с использованием медицинского оборудования |
Сбор, запись, систематизация, накопление, хранение, обновление, изменение, извлечение, использование, предоставление (доступ) сервисным организациям, блокирование, удаление, обезличивание, уничтожение | выполнения АО «Медицина» медицинских услуг |
3. | Взаимодействие при обращении в Контакт-центр АО «Медицина» |
фамилия, имя, отчество; дата рождения; адрес места жительства; адрес места пребывания; номер контактного телефона, факса; контактный адрес электронной почты; номер карты пациента; реквизиты полиса добровольного медицинского страхования (при наличии); реквизиты договора на оказание медицинских услуг; сведения о периоде медицинского обслуживания в АО «Медицина»; сведения о правовом основании на получение медицинской помощи от АО «Медицина»; время и дата обращения за оказанием медицинских услуг |
Сбор, запись, систематизация, накопление, хранение, обновление, изменение, извлечение, использование, предоставление (доступ) сервисным организациям, блокирование, удаление, обезличивание, уничтожение | В течение 10 лет с момента выполнения АО «Медицина» медицинских услуг |
4. | Выплата вознаграждения агенту АО «Медицина» за оказанные им услуги по привлечению меня в качестве пациента |
фамилия, имя, отчество; дата рождения; номер карты пациента; стоимость оказанных медицинских услуг |
Сбор, запись, систематизация, накопление, хранение, обновление, изменение, извлечение, использование, предоставление (доступ) сервисным организациям, блокирование, удаление, обезличивание, уничтожение | В течение 10 лет с момента выполнения АО «Медицина» медицинских услуг |
5. | Информационно-сервисное обслуживание и реализация обратной связи |
имя контактный телефон обращение |
Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных | 1 год |
6. | Использование сервисов личного кабинета (регистрации пациента в личном кабинете на сайте www.medicina.ru, оформления QR-кода для физического доступа в клинику) |
логин пароль номер карты номер телефона ФИО дата рождения пол |
Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных | 1 год |
7. | Организация и осуществление пропускного и внутриобъектового режима |
фамилия, имя, отчество; идентификатор пропуска (ID-карты); фотографическое изображение лица (биометрические персональные данные); время и дата посещения АО «Медицина» |
Сбор, запись, систематизация, накопление, хранение, обновление, изменение, извлечение, использование, блокирование, удаление, уничтожение | В течение 10 лет с момента выполнения АО «Медицина» медицинских услуг |
Посетитель
Под посетителем понимаются физические лица, которые не являются работником и пациентом.
Осуществляется обработка без использования средств автоматизации.
Уничтожение персональных данных посетителей сайтов осуществляется в соответствии с порядком, определенным «Положением о порядке организации и проведения работ по защите персональных данных» в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и Приказа Роскомнадзора от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».
№п/п | Цели обработки персональных данных | Состав обрабатываемых персональных данных | Перечень действий с персональными данными | Срок обработки и хранения персональных данных |
---|---|---|---|---|
1. | Организация и осуществление пропускного и внутриобъектового режима |
фамилия, имя, отчество; дата посещения; время посещения |
Сбор, запись, хранение, удаление, уничтожение | 1 год |
Посетитель сайтов
Осуществляется смешанная обработка персональных данных посетителей сайтов (автоматизированная обработка и обработка без использования средств автоматизации).
Уничтожение персональных данных посетителей сайтов осуществляется в соответствии с порядком, определенным «Положением о порядке организации и проведения работ по защите персональных данных» в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и Приказа Роскомнадзора от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».
№п/п | Цели обработки персональных данных | Состав обрабатываемых персональных данных | Перечень действий с персональными данными | Срок обработки и хранения персональных данных |
---|---|---|---|---|
1. | Анализ посещаемости, пользовательской активности и оптимизации работы сайта |
IP-адрес пользователя JavaScript-события URL страницы браузер и его версия версия Flash версия silverlight визит возраст, пол, интересы, географическое месторасположение пользователя время на сайте высота и ширина экрана глубина просмотра глубина цвета экрана дата и время посещения сайта заголовок страницы интересы посетителей информация о поведении пользователя на сайте (включая количество и наименование просмотренных страниц) источник входа на сайт наличие Cookies наличие Java наличие JavaScript обращение операционная система и ее версия отказ параметры загрузки страницы пароль переход по внешней ссылке просмотр страницы прочие технические данные (cookies, flash, java и т.п.). реферер страницы тип и модель мобильного устройства типы браузера и операционной систем часовой пояс ширина и высота клиентской части окна браузера электронная почта язык браузера |
Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение | 1 год |
2. | Обработка обращений (в том числе информационно-сервисное обслуживание (запись на прием к врачу, запись на семинары, проверка полиса ДМС, подбор программы обслуживания, оформления заявки на получение обратного звонка и т.д.)) |
имя контактный телефон обращение |
Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение | 1 год |
Приложение № 2
Регламент
реагирования на запросы субъектов персональных данных/уполномоченного органа по защите прав субъектов персональных данных и действия работников
АО «Медицина»
№ п/п | Виды запросов от субъектов персональных данных/уполномоченного органа | Действия работников АО «Медицина» | Срок для выполнения действий с персональными данными | Срок для ответа и (или) уведомления субъекта персональных данных/уполномоченного органа |
---|---|---|---|---|
1. | Запрос субъекта персональных данных/ уполномоченного органа о подтверждении обработки персональных данных | Ответ на запрос | Не позднее 10 рабочих дней. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления АО «Медицина» в адрес субъекта персональных данных/ уполномоченного органа мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации | |
2. | Запрос на ознакомление с персональными данными | Ответ на запрос с датой и указанием времени для возможности ознакомления субъекта со своими персональными данными | Не позднее 10 рабочих дней. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления АО «Медицина» в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации | |
Отказ (мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа) в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя | Не позднее 10 рабочих дней. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления АО «Медицина» в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации | |||
Заблокировать персональные данные при предоставлении субъектом персональных данных/уполномоченным органом подтверждающих сведений о том, что персональные данные являются неполными, неточными или неактуальными | Не позднее 7 рабочих дней | |||
3. | Отзыв согласия на обработку персональных данных | Удалить и уничтожить персональные данные, если иное не предусмотрено договором с субъектом, либо если АО «Медицина» не вправе осуществлять обработку персональных данных без согласия | Не позднее 30 календарных дней с момента регистрации отзыва | |
Прекратить передачу (распространение, предоставление, доступ) персональных данных, ранее разрешенных субъектом персональных данных для распространения | В течение 3 рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу | |||
4. | Запрос о прекращении обработки персональных данных | Прекратить обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных) | Не позднее 10 рабочих дней. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления АО «Медицина» в адрес субъекта персональных данных/уполномоченного органа мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации | |
5. | Неправомерная обработка персональных данных субъекта | Прекратить обработку персональных данных с момента получения обращения/запроса субъекта персональных данных/уполномоченного органа | Не позднее 3 рабочих дней | В течение 10 рабочих дней с момента удаления и уничтожения персональных данных |
Удалить и уничтожить персональные данные | В течение 10 рабочих дней, если невозможно обеспечить правомерность обработки | |||
6. | Достижение целей обработки персональных данных | Удалить и уничтожить персональные данные, если иное не предусмотрено договором с субъектом либо если АО «Медицина» не вправе осуществлять обработку персональных данных без согласия | В течение 30 календарных дней с момента достижения целей |