1.1 Политика ООО «Медконсалт» (далее по тексту также — Общество) в отношении обработки персональных данных» (далее – Политика) определяет позицию и намерения Общества в области обработки и защиты персональных данных, с целью соблюдения и защиты прав и свобод каждого человека и, в особенности, права на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
1.2 Настоящим Положением определяется порядок обращения с персональными данными пациентов в медицинском центре Общества и персональными данными работников Общества, которые необходимы работодателю в связи с трудовыми отношениями.
1.3 Настоящая Политика распространяется на деятельность всех подразделений Общества, участвующих в обработке персональных данных.
1.4 Настоящая Политика в соответствии с требованиями п. 2 ст. 18.1 Федерального закона «О персональных данных» подлежит опубликованию на официальном сайте. Действующая редакция Политики на бумажном носителе хранится по адресу: 353454, Краснодарский край, г. Анапа, ул. Владимирская 55, кор 4.
1.5 Настоящая Политика может пересматриваться и заново утверждаться по мере внесения изменений. Все изменения в Положение вносятся приказом.
- в нормативные правовые акты в сфере персональных данных;
- в локальные акты Общества, регламентирующие организацию обработки и обеспечение безопасности персональных данных.
1.6 В отношении сведений о субъектах персональных данных, позволяющих идентифицировать его личность, за исключением обезличенных и общедоступных персональных данных, в установленных федеральными законами случаях, должна обеспечиваться конфиденциальность таких сведений.
1.7 Защита персональных данных пациента от неправомерного их использования или утраты должна быть обеспечена оператором за счет его средств в порядке, установленном Федеральным Законом и другими нормативными документами Российской Федерации
1.8 Настоящее Положение не распространяется на отношения, возникающие при:
- организации хранения, комплектования, учета и использования содержащих персональные данные архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
- обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
1.9 В случаях, не указанных в настоящем Положении, следует руководствоваться действующими федеральными законами и нормативными правовыми актами Российской Федерации, регулирующими порядок обработки персональных данных.
1.10 Политика обязательна для ознакомления и исполнения всеми лицами, допущенными к обработке персональных данных в информационной системе персональных данных. Все работники Учреждения должны быть ознакомлены с настоящим Положением под роспись.
1.11 Действие Политики распространяется на все персональные данные субъектов, обрабатываемые в Обществе с применением средств автоматизации и без применения таких средств.

2.1 Автоматизированная обработка персональных данных − обработка персональных данных с помощью средств вычислительной техники.
2.2 Информационная система персональных данных − совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
2.3 Трансграничная передача персональных данных − передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2.4 Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
2.5 Врачебная тайна – соблюдение конфиденциальности информации о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иных сведений, полученных при его обследовании и лечении;
2.6 Документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской
Федерации случаях ее материальный носитель;
2.7 Документы, содержащие персональные сведения пациента – формы медицинской и иной учетно-отчетной документации, включающие сведения о персональных данных;
2.8 Информация – сведения (сообщения, данные) независимо от формы их представления;
2.9 Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
2.10 Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения и не раскрывать третьим лицам персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
2.11 Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
2.12 Обработка персональных данных – любое действия (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека;2.13 Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
2.14 Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
2.15 Пациент – физическое лицо (субъект), обратившееся в Общество с целью получения медицинского обслуживания, либо состоящее в иных гражданско-правовых отношениях с Обществом по вопросам получения медицинских услуг.
2.16 Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2.17 Персональные данные пациента – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, серия и номер паспорта, адрес регистрации и фактического проживания, идентификационный номер налогоплательщика (ИНН), страховое свидетельство государственного пенсионного страхования (СНИЛС), семейное, социальное положение, образование, профессия, должность, специальность, серия иномер страхового медицинского полиса и его действительность, номер амбулаторной карты, сведения о состоянии здоровья, в том числе группа здоровья, группа инвалидности и степень ограничения к трудовой деятельности, зарегистрированные диагнозы по результатам обращения пациентов к врачу, в том числе при прохождении медицинских осмотров, информация об оказанных медицинских услугах, в том числе о проведенных лабораторных анализах и исследованиях и их результатах, выполненных медицинских вмешательств, случаях амбулаторного лечения и их результатах, о выданных листах временной нетрудоспособности с указанием номера листа нетрудоспособности и периода нетрудоспособности, информация о выписанных и отпущенных лекарственных средствах и изделиях медицинского назначения;
2.18 Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
2.19 Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
2.20 Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

4.1.1 Общество в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
4.1.2 Обработка персональных данных в Обществе включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. В Обществе осуществляется обработка персональных данных с использованием средств автоматизации и без использования средств автоматитизации. Все персональные данные субъекта следует получают у него самого. Информация о персональных данных субъекта предоставляется Обществу субъектом устно, либо путем заполнения медицинских карт, которые хранятся в в архиве (регистратуре). Если персональные данные субъекта возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом и от него должно быть получено письменное согласие (либо письменный отказ). В письменном уведомлении оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных (например, оформление запроса в медицинское учреждение о прохождении обследования и лечения и т.п.) и последствиях отказа субъекта дать письменное согласие на их получение. Получение персональных данных пациента преимущественно осуществляется путем представления пациентом письменного согласия на обработку персональных данных, за исключением случаев прямо предусмотренных действующим законодательством РФ. В случае недееспособности пациента или не достижения пациентом возраста 15 лет согласие на обработку его персональных данных дает в письменной форме его законный представитель.В случае смерти пациента, согласие на обработку его персональных данных дают в письменной форме наследники пациента, если такое согласие не было дано пациентом при его жизни. В состав персональных данных пациентов Общества входят документы, содержащие информацию о паспортных данных, страховом полисе ДМС, амбулаторная карта больного, а так же иные документы сопровождающие оказание медицинских услуг.
4.1.3 Общество осуществляет сбор и дальнейшую обработку персональных данных следующих категорий субъектов персональных данных:
• действительные пациенты Общества;
• потенциальные пациенты Общества ;
• члены семей и иные родственники действительных и потенциальных пациентов Общества;
• представители (в силу закона и по доверенности) действительных и потенциальных
пациентов Общества;
• сотрудники и представители сторонних медицинских организаций;
• сотрудники и представители действующих контрагентов Общества (юридических лиц), включая страховые и ассистансные компании;ков на основании соответствующего рецепта;
• лица, являющиеся соискателями на замещение вакантных должностей Общества;
• действующие и потенциальные контрагенты Общества (физические лица);
• сотрудники и представители действующих и потенциальных контрагентов Общества
(юридических лиц);
• посетители частных и публичных мероприятий, организованных Обществом;
• сотрудники (представители, контактные лица) Общества;
• сотрудники Общества, являющиеся гражданами иностранных государств;
• члены семей сотрудников Общества;
• получатели алиментов от сотрудников Общества;
• сотрудники юридических лиц и физические лица, представляющие интересы Общества;
• лица, участвующие в гражданском, арбитражном, уголовном, административном процессах и исполнительном производстве (участником которых является Общество);
• посетители помещений, зданий и территории Общества.
4.1.4 Общество осуществляет сбор и дальнейшую обработку персональных данных в следующих целях:
• организация и осуществление комплекса мероприятий, направленных на поддержание и (или) восстановление здоровья и включающих в себя предоставление медицинских услуг, в том числе профилактику, диагностику и лечение заболеваний, медицинскую реабилитацию;
• реализация Обществом лекарственных препаратов, изделий медицинского назначения;
• осуществление дистанционного взаимодействия Общества с пациентами и иными заинтересованными лицами в рамках сервисно-информационного обслуживания путем использования телефонной связи, служб мгновенных сообщений, IP-телефонии, электронной почты;
• осуществление дистанционного взаимодействия Общества с пациентами и иными заинтересованными лицами посредством сайта Общества в сети «Интернет»;
• организация и проведение мероприятий, направленных на повышение узнаваемости и лояльности в отношении Общества, а также продвижение услуг Общества;
• проведение тендеров, ведение договорной работы, не связанной с основной деятельностью Общества, в рамках возникновения, изменения и прекращения правоотношений между Обществом и третьими лицами, а также оформление доверенностей на представление интересов Общества;
• участие Общества в гражданском, арбитражном, уголовном, административном процессах и исполнение судебных актов;
• замещение вакантных должностей в Обществе соискателями, наиболее полно соответствующими требованиям Общества;
• оказание помощи сотрудникам Общества, являющимся гражданами иностранных государств, в получении разрешений на работу и оформлении рабочих въездных виз в РФ;
• выполнение Обществом требований трудового законодательства, законодательства по учету труда и его оплаты;
• сохранение жизни и здоровья сотрудников Общества в процессе трудовой деятельности и выявление нарушений состояния здоровья и медицинских противопоказаний к работе у сотрудников (включая освидетельствование на наличие медицинских противопоказаний к управлению транспортным средством), а также выполнение требований действующего законодательства по расследованию и учету несчастных случаев, происшедших с сотрудниками Общества;
• реализация Обществом как работодателя обязанностей, предусмотренных Трудовым кодексом Российской Федерации, по выплате сотрудникам причитающейся заработной платы, компенсаций и премий, по осуществлению пенсионных и налоговых отчислений, а также расчет с контрагентами и пациентами;
• организация обучения, повышения квалификации и проверки знаний для сотрудников Общества осуществление оценки деловых, личностных качеств сотрудников и результатов их труда, а также осуществление оценки удовлетворенности сотрудников своим трудом;
• оформление командировочных документов для сотрудников, а также бронирования и приобретения гостиничных мест и транспортных билетов в интересах сотрудников Общества, направляемых в командировки;
• облегчение коммуникаций между сотрудниками Общества посредством ведения справочника контактных данных сотрудников ;
• обеспечение личной безопасности сотрудников Общества, иных лиц, посещающих объекты недвижимости (помещения, здания, территорию) , а также обеспечение сохранности материальных и иных ценностей, находящихся в ведении Общества;
• выделение/подключение вычислительных средств, создание новых пользователей в информационных системах Общества, предоставления доступа к ресурсам информационных систем, а также решения проблем, возникающих у пользователей в процессе работы с компьютерами (аппаратным и программным обеспечением) и оргтехникой;
• учёт информации об использовании услуг корпоративной стационарной и мобильной связи сотрудниками Общества;
• проведение независимой проверки бухгалтерской (финансовой) отчетности Общества в целях выражения мнения о достоверности такой отчетности;
• организация и осуществление в Обществе внутреннего контроля качества медицинской помощи и внутренних производственных процессов.
4.1.5 В Обществе установлены следующие условия прекращения обработки персональных данных:
• достижение целей обработки персональных данных и максимальных сроков хранения;
• утрата необходимости в достижении целей обработки персональных данных;
• представление субъектом персональных данных или его законным представителем документально подтвержденных сведений о том, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;ти обработки персональных данных;
• отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных;
• истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных.
4.1.6 В Обществе осуществляется обработка специальных категорий персональных данных о состоянии здоровья в соответствии с требованиями законодательства, а также с письменного согласия субъектов персональных данных (сотрудников и пациентов).
4.1.7 Общество осуществляет трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных в иностранные страховые компании с письменного согласия субъектов персональных данных (пациентов).
4.1.8 Обществе не принимаются решения, порождающие юридические последствия в отношении субъектов персональных данных или иным образом затрагивающие их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.
4.1.9 Общество осуществило уведомление уполномоченного органа по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.
4.1.10 Меры по надлежащей организации обработки и обеспечению безопасности персональных данных . Обеспечение безопасности персональных данных в Обществе достигается, в частности, следующими способами:
• назначением ответственного лица за организацию обработки персональных данных, права и обязанности которого определяются локальными актами Общества ;
• осуществлением внутреннего контроля и/или аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, требованиями к защите персональных данных, локальными актами Общества ;
• ознакомлением сотрудников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных и/или обучением указанных сотрудников;
• определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
• применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
• оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
• учетом машинных (материальных) носителей персональных данных;
• выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер;
• восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
• контролем над соблюдением требований в сфере обеспечения безопасности персональных данных и к уровням защищенности информационных систем персональных данных.
4.1.11 Обязанности сотрудников Общества, непосредственно осуществляющих обработку персональных данных, а также их ответственность определяются в локальных актах Общества.

4.2.1 Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Общества.
- об операторе;
- о месте нахождения оператора, -о наличии у оператора персональных данных, относящихся к соответствующему субъектуперсональных данных;
- на подтверждение факта обработки персональных данных оператором, а также цели такой обработки;
- о способах обработки персональных данных, применяемые оператором;
- о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
- о перечне обрабатываемых персональных данных и источник их получения;
- о сроках обработки персональных данных, в том числе сроки их хранения;
- о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных;
- на ознакомление с персональными данными, за исключением случая, когда предоставление персональных данных нарушает конституционные права и свободы других лиц.
4.2.2 Субъект персональных данных вправе требовать уточнения этих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
4.2.3 Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
4.2.4 Для реализации и защиты своих прав и законных интересов субъект персональных данных имеет право обратиться в Общество. Общество (Оператор) рассматривает обращения и запросы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций.
Субъект персональных данных вправе обжаловать действия или бездействие Общества путем обращения в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

5.1 При передаче персональных данных субъектов сотрудники Общества, имеющие доступ к персональным данным, должны соблюдать следующие требования:
5.1.1 Не сообщать персональные данные субъекта третьей стороне без письменного согласия за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в других случаях, предусмотренных Трудовым кодексом РФ или иными федеральными законами.
5.1.2 Не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия.
5.1.3 Предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.
5.1.4 Разрешать доступ к персональным данным субъектов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные субъектов, которые необходимы для выполнения конкретных функций.
5.1.5 Все сведения о передаче персональных данных субъекта регистрируются в Журнале учета передачи персональных данных в целях контроля правомерности использования данной информации лицами, ее получившими. В журнале фиксируются сведения о лице, направившим запрос, дата передачи персональных данных или дата уведомления об отказе в их предоставлении, а также отмечается какая именно информация была передана.

6.1 Защита персональных данных в Обществе представляет собой принятие правовых, организационных и технических мер, направленных на:
- обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
- соблюдение конфиденциальности информации ограниченного доступа;
- реализацию права на доступ к информации.
6.2 В целях обеспечения безопасности персональных данных при их обработке в информационных системах Общества :
- установлен перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;
- обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
- помещения, в которых ведется работа с персональными данными, должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц;
- доступ к информации в электронном виде должен осуществляться с использованием парольной защиты, а в информационных системах персональных данных с использованием средств автоматизации в соответствии с нормативными документами;
- электронные носители информации, содержащие персональные данные, учитывают в журнале учета электронных носителей персональных данных.
- поддержание технических средств охраны, сигнализации в постоянной готовности;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

7.1 Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим российским законодательством.

Получить разъяснения по интересующим Вас вопросам обработки Ваших персональных данных, обратившись лично в Общество либо направив официальный запрос по Почте России по адресу:
353454, Краснодарский край, г. Анапа, ул. Владимирская 55, корп. 4
В случае направления официального запроса в Общество в тексте запроса необходимо указать:
— ФИО;
— номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
— сведения, подтверждающие Ваше участие в отношениях Обществом либо сведения, иным способом подтверждающие факт обработки персональных данных Обществом;
— подпись гражданина (или его законного представителя). Если запрос отправляется в электронном виде, то он должен быть оформлен в виде электронного документа и подписан электронной подписью в соответствии с законодательством РФ.