Положение о персональных данных

Общие положения

1.1. Настоящее Положение в отношении персональных данных (далее – Положение) определяет порядок сбора, систематизации, накопления, уточнения, использования, хранения, распространения и защиты персональных данных работников и клиентов  ООО «Красота и Здоровье».

1.4. В  Положении используются следующие термины и понятия:

Работник – физическое лицо, состоящее в трудовых отношениях с работодателем.

Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника (сведения о фактах, обстоятельствах и событиях частной жизни).

Клиент — потребитель услуг, оказываемых клиникой.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Защита персональных данных – деятельность уполномоченных лиц по обеспечению с помощью локального регулирования порядка обработки персональных данных и организационно-технических мер конфиденциальности информации о конкретном работнике, клиенте.

Конфиденциальная информация – это информация (в документированном или электронном виде), доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

Клиника – ООО «Красота и Здоровье»  — юридическое лицо, созданное по законодательству Российской Федерации и зарегистрированное по адресу: Россия, 664022 г.Иркутск, ул.Трилиссера, д. 8/2, оф.2.

Партнеры – третьи лица, которым клиника может с согласия клиента и работника  поручить обработку, хранение и размещение  персональных данных.

Защита персональных данных работников

2.1. Персональные данные работников (лиц, являющихся стороной трудового договора), которые обрабатываются в клинике:

— фамилия, имя, отчество;

— фотография (биометрические данные);

— дата и место рождения;

— адрес регистрации по месту жительства и адрес фактического проживания;

— номер телефона (домашний, мобильный);

— данные документов об образовании, квалификации, профессиональной подготовке, сведения о повышении квалификации;

— семейное положение, сведения о составе семьи, которые могут понадобиться работодателю для предоставления мне льгот, предусмотренных трудовым и налоговым законодательством;

— отношение к воинской обязанности;

— сведения о трудовом стаже, предыдущих местах работы, доходах с предыдущих мест работы;

— СНИЛС;

— ИНН;

— информация о приеме, переводе, увольнении и иных событиях, относящихся к моей трудовой деятельности в ООО «Красота и Здоровье»;

— сведения о доходах в ООО «Красота и Здоровье»;

— сведения о деловых и иных личных качествах, носящих оценочный характер.

– информация о предварительных, периодических медицинских осмотрах;

– информация о прививках (вакцинопрофилактике);

– информация о факте беременности женщины;

– информация об инвалидности.

2.2. Обработка персональных данных работника

2.2.1. В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

– персональные данные работника могут обрабатываться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении, обеспечения личной и имущественной безопасности работников;

– все персональные данные (Ф. И. О., дата и место рождения, биометрические данные, адрес, семейное положение, образование, профессия работника, а также иная информация, необходимая в связи с трудовыми отношениями) следует получать лично у работника.

2.2.2. Если персональные данные работника можно получить только у третьей стороны, работник должен быть уведомлен об этом за 3 (три) дня и от него должно быть получено письменное согласие (либо отказ), которое работник должен дать в течение 5 (пяти) дней с даты получения уведомления.

2.2.3. Сведения о работниках клиники хранятся на бумажных носителях в кабинете генерального директора. Для этого используются специально оборудованный сейф. Ключ от сейфа находится у  генерального директора клиники.

2.2.4. Конкретные обязанности по хранению личных дел работников, заполнению, хранению и выдаче трудовых книжек (дубликатов трудовых книжек), иных документов, отражающих персональные данные работников, возлагаются на  генерального директора в соответствии с его должностными обязанностями, закрепленными в трудовом договоре.

2.2.5. Сведения о работниках клиники могут также храниться на электронных носителях, доступ к которым ограничен паролем.

2.2.6. Работодатель обеспечивает ограничение доступа к персональным данным работников лицам, не уполномоченным законом либо работодателем на получение соответствующих сведений.

2.2.7. При получении сведений, составляющих персональные данные работников, указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций, заданий.

2.2.8. При передаче персональных данных работника, в т.ч. в целях размещения на общедоступных сервисах и сайтах, работодатель должен соблюдать следующие требования:

– не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом (например, несчастный случай на производстве, вакцинация медицинского персонала);

– не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

– предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;

– не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые определяют возможность выполнения работником трудовой функции;

– передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом РФ и настоящим Положением, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций. Перечисленные требования установлены статьей 88 Трудового кодекса РФ и не подлежат изменению, так как являются обязательными для сторон трудовых отношений.

2.3. Обязанности работника и работодателя при обработке персональных данных Обязанности работника:

2.3.1. При поступлении на работу работник предоставляет свои персональные данные в форме документов:

– паспорт или иной документ, удостоверяющий личность;

– трудовая книжка, за исключением случаев, когда работник поступает на работу впервые или на условиях совместительства;

– страховое свидетельство государственного пенсионного страхования;

– документы воинского учета – для военнообязанных и лиц, подлежащих призыву на военную службу;

– документ об образовании, о квалификации или наличии специальных знаний при поступлении на работу, требующую специальных знаний или специальной подготовки;

– документы о предварительных, периодических медицинских осмотрах;

– документы  о прививках (вакцинопрофилактике);

– документы  об инвалидности.

2.3.2. В случае изменения сведений, составляющих персональные данные, работник должен незамедлительно предоставить данную информацию работодателю.

Обязанности работодателя:

2.3.3. Работодатель обязан:

– обеспечить защиту персональных данных работника;

– обеспечить хранение первичной учетной документации по учету труда и его оплаты, к которой, в частности, относятся документы по учету кадров, по учету использования рабочего времени и расчетов с работниками по оплате труда (персональные данные не должны храниться дольше, чем это оправдано выполнением задач, для которых они собирались, или дольше, чем это требуется в интересах лиц, о которых собраны данные);

– заполнять документацию, содержащую персональные данные работника, преимущественно в соответствии с унифицированными формами первичной учетной документации по учету труда и его оплаты, если иные формы не утверждены в клинике;

– выдавать работнику копии документов, связанных с работой, по письменному заявлению работника не позднее 3 (трех) дней со дня подачи заявления. Копии документов, связанных с работой (приказа о приеме на работу, приказов о переводе на другую работу, приказа об увольнении, выписки из трудовой книжки, справки о заработной плате и др.), должны заверяться надлежащим образом и предоставляться работнику безвозмездно.

2.3.4. Работодатель не имеет права:

– получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях, частной жизни;

– получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных законом.

2.3.5. Запрещается требовать от лица, поступающего на работу, документы помимо предусмотренных Трудовым кодексом РФ, иными федеральными законами, указами Президента и постановлениями Правительства РФ.

2.4. Права работников в целях защиты персональных данных

2.4.1. В целях защиты персональных данных, хранящихся у работодателя, работники вправе:

– получать полную информацию об их персональных данных и обработке этих данных, в частности, работник имеет право знать, кто и в каких целях использует или использовал его персональные данные;

– иметь свободный бесплатный доступ к своим персональным данным, в том числе получать копии любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;

– определять представителей для защиты своих персональных данных;

– требовать исключения или исправления неверных или неполных персональных данных; дополнять данные оценочного характера заявлением, выражающим его собственную точку зрения;

– обжаловать в суд любые неправомерные действия или бездействие работодателя при обработке и защите его персональных данных.

Персональные данные клиентов

3.1. Состав сведений (персональных данных) о клиентах и цели их обработки

3.1.1. Персональные данные клиентов:

— фамилия, имя, отчество;

— дата рождения;

— паспортные данные;

— адрес регистрации и места жительства;

— номера телефонов для связи с клиентом (контактная информация);

— информация о состоянии здоровья пациента, поставленных диагнозах, проведенном или планируемом к проведению медицинском вмешательстве, указанные в индивидуальной карте амбулаторного больного (ф. №252/у).

3.1.2. Клиника выполняет в отношении персональных данных клиентов действия, предусмотренные пунктом 3 части первой статьи 3 Федерального закона от 27.07.2006                    N 152-ФЗ «О персональных данных»  в целях:

— обеспечения соблюдения законодательства Российской Федерации;

— записи для получения услуг;

— информирования о дате и времени оказания услуг;

— формирования электронных баз данных, необходимых ООО «Красота и Здоровье» в связи с оказанием косметологических услуг.

— отправки на электронный адрес пресс-релизов или уведомлений о совершаемых заказах;

— информирования о товарах, услугах и проводимых мотивационных программах;

— для принятия решения о возможности оказания услуг (видах процедур) с учетом состояния здоровья, особенностей организма.

3.1.3. Клиника обеспечивает конфиденциальность персональных данных клиентов и обязана не допускать их распространения без согласия клиентов либо наличия иного законного основания.

3.1.4. Все меры конфиденциальности при сборе, обработке, хранении и передаче персональных данных клиентов распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

3.2. Порядок обработки персональных данных клиентов

3.2.1. Клиника получает персональные данные непосредственно от субъекта персональных данных – клиента при размещении информации  на сайте клиники или партнеров клиники,  заключения с клиентом письменного договора на оказание услуг.

3.2.2. В силу подпункта 5 части 1 статьи 6, подпункта 4 части 2 статьи 10 Федерального закона от 27.07.2006 № 152- ФЗ письменного согласия на обработку персональных данных о здоровье пациента не требуется. По смыслу части 1 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ фотографии пациентов не являются биометрическими данными, поскольку не используются оператором для установления личности субъекта персональных данных. Согласие на обработку персональных данных пациентов берется клиникой с целью демонстрации пациентам серьезности намерений соблюдения конфиденциальности, а также с целью предупреждения о тех случаях, когда информация о здоровье пациента может быть передана третьим лицам без его согласия.

3.2.3. Персональные данные клиента обрабатываются клиникой и ее партнерами  в целях оказания медицинских/косметологических услуг клиенту.

3.2.4. Обработка персональных данных клиентов ведется методом смешанной (в том числе автоматизированной) обработки.

3.2.5. К обработке персональных данных клиента могут иметь доступ только сотрудники клиники, допущенные к работе с персональными данными клиента или партнеры клиники, с согласия клиента, полученного при входе клиентом на Сайты партнеров.

3.2.6. Отзыв пациен согласия на обработку персональных данных о здоровье не влечет прекращения обработки персональных данных в силу части 2 статьи 9 Федерального закона от 27.07.2006 № 152-ФЗ.

3.2.7. Клиника уничтожает персональные данные клиента, за исключением данных, содержащихся в медицинской карте и иной медицинской документации в течение 7 (семи) рабочих дней с момента расторжения договора или отзыва согласия на обработку при условии завершения расчетов между клиникой и клиентом.

3.2.8. Без согласия клиента персональные данные о состоянии его здоровья могут быть переданы в случаях, прямо предусмотренных статьей 13 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», о чем клиент уведомляется в информированном согласии с общим планом обследования и лечения, согласии  на обработку персональных данных.

3.2.9. Персональные данные клиентов содержатся в:

— на сервисах клиники и партнеров;

— договорах возмездного оказания косметологических  услуг и  приложениях к нему;

– согласиях родителей на подписание договора несовершеннолетним;

– анкетах о здоровье;

– медицинских картах;

– информированных согласиях на различные виды медицинских манипуляций;

– протоколах фиксации претензий пациентов.

3.2.10. Персональные данные клиентов могут храниться как на бумажных носителях, так и в электронном виде.

3.2.11. Персональные данные клиентов на бумажных носителях, если с них не снят на законном основании режим конфиденциальности, хранятся в специально отведенных железных шкафах. Ключи от железных шкафов хранятся соответствующего специалиста, допущенного к обработке персональных данных клиентов.

3.2.12. Персональные данные клиентов также хранятся в электронном виде  в базах данных, размещенных на серверах клиники,  доступ к которым разрешен сотрудникам, допущенным к обработке персональных данных клиентов.

Персональные данные клиентов также хранятся в электронном видев с согласия клиентов  в базах данных третьих лиц – партнеров клиники, с соблюдением требований  Политики о конфиденциальности клиники.

3.2.13. При передаче персональных данных клиента клиника должна соблюдать следующие требования:

– не сообщать персональные данные клиента третьей стороне без письменного согласия клиента, за исключением случаев, установленных федеральным законом;

– не сообщать персональные данные клиента в коммерческих целях без его письменного согласия;

– предупредить лиц, получающих персональные данные клиента о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;

– разрешать доступ к персональным данным клиентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные клиентов, которые необходимы для выполнения конкретных функций.

3.3. Права и обязанности клиники при обработке персональных данных клиента

3.3.1. В целях обеспечения прав и свобод человека и гражданина клиника и ее сотрудники при обработке персональных данных клиента обязаны соблюдать следующие общие требования:

– при определении объема и содержания персональных данных клиента, подлежащих обработке, руководствоваться федеральными законами от 27.07.2006 № 152-ФЗ и от 21.11.2011 № 323-ФЗ, а также договорными обязательствами, взятыми на себя сторонами по договору между клиентом и клиникой;

– не получать и не обрабатывать персональные данные клиента о его судимости, политических, религиозных и иных убеждениях и частной жизни.

3.3.2. Клиника должна обеспечить защиту персональных данных клиента от неправомерного их использования или утраты за собственный счет в порядке, установленном федеральным законодательством.

3.3.3. Клиника обязана сообщить клиенту информацию о наличии персональных данных о нем, а также предоставить возможность ознакомиться с ними.

3.3.4. Все сотрудники, связанные с получением, обработкой и защитой персональных данных клиентов, обязаны подписать обязательство о неразглашении персональных данных клиентов и соблюдении правил  обработки персональных данных клиентов.

Процедура оформления доступа к персональным данным клиента включает:

– ознакомление сотрудника под подпись с настоящим Положением. При наличии иных нормативных актов (приказов, распоряжений, инструкций), регулирующих обработку и защиту персональных данных клиента, с данными актами также производится ознакомление под подпись;

– уведомление сотрудника о факте обработки персональных данных;

– истребование у сотрудника письменного обязательства о неразглашении персональных данных клиентов и соблюдении правил  обработки персональных данных клиентов.

3.3.5. Сотрудник клиники, имеющий доступ к персональным данным клиентов в связи с исполнением трудовых обязанностей:

– обеспечивает хранение информации, содержащей персональные данные клиента, исключающее доступ к ним третьих лиц;

– не оставляет на рабочем месте документы, содержащие персональные данные клиентов;

– при уходе в отпуск, во время служебной командировки и в иных случаях длительного отсутствия передает документы и иные носители, содержащие персональные данные клиентов, генеральному директору клиники.

3.3.6. Допуск к персональным данным клиента  сотрудников клиники, не имеющих надлежащим образом оформленного доступа, запрещается.

3.4. Права и обязанности клиента

3.4.1. Клиент обязан передавать клинике или ее представителю комплекс достоверных, документированных персональных данных, состав которых установлен настоящим Положением и договорными обязательствами, взятыми на себя сторонами по договору между клиентом и клиникой.

3.4.2. Клиент имеет право на получение сведений о клинике, о ее местонахождении, о наличии у клиники персональных данных, относящихся к клиенту, а также на ознакомление с такими персональными данными. Клиент вправе требовать от клиники уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

3.4.3. Доступ клиента к своим персональным данным предоставляется на основании письменного запроса клиента. Запрос должен содержать номер основного документа, удостоверяющего личность клиента или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись клиента или его законного представителя.

3.4.5. Сведения о наличии персональных данных должны быть предоставлены клиенту в доступной форме, в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

3.4.6. Клиент имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

– подтверждение факта обработки персональных данных клиникой, а также цель такой обработки;

– способы обработки персональных данных, применяемые клиникой;

– сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

– перечень обрабатываемых персональных данных и источник их получения;

– сроки обработки персональных данных, в том числе сроки их хранения;

– сведения о том, какие юридические последствия для клиента может повлечь обработка его персональных данных.

3.4.7. Клиент имеет право отозвать согласие на обработку персональных данных, ограничить способы и формы обработки персональных данных, запретить распространение персональных данных без его согласия. Отзыв пациентом согласия на обработку персональных данных о здоровье не влечет прекращения обработки персональных данных в силу части 2 статьи 9 Федерального закона от 27.07.2006 № 152-ФЗ.

3.4.8. Клиент вправе обжаловать действия или бездействие клиники в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

3.4.9. Клиент имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.

Система мер защиты персональных данных

4.1. Общую организацию защиты персональных данных клиентов осуществляет генеральный директор клиники.

4.2. Защиту персональных данных, хранящихся в электронных базах данных клиники, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий обеспечивает специалист IT, оказывающий услуги на основании договора подряда.

4.3. Система организационно-технических мер защиты персональных данных определяется в отдельных локально-нормативных актах клиники в соответствии с действующими требованиями российского законодательства к защите персональных данных при их обработке в зависимости от типа угроз.

4.4. Помимо организационно-технических мер клиника принимает правовые меры для защиты персональных данных, а именно издает локальные правовые акты, направленные на регулирование обработки персональных данных в рамках клиники:

– Политика о конфиденциальности;

— Инструкция по обработке персональных данных без использования средств автоматизации;

—   Инструкция по обеспечению безопасности персональных данных при их обработке с использованием средств автоматизации;

– приказ о назначении лица, ответственного за обработку персональных данных;

– приказ об утверждении перечня обрабатываемых персональных данных;

– приказ о допуске сотрудников к обработке персональных данных.

Ответственность за разглашение персональных данных

5.1. Клиника несет ответственность за разработку, введение и действенность соответствующих требованиям законодательства норм, регламентирующих получение, обработку и защиту

персональных данных клиента и сотрудников. Клиника закрепляет персональную ответственность сотрудников за соблюдение установленного в клинике режима конфиденциальности.

5.2. Генеральный директор, разрешающий доступ сотрудника к документам, содержащим персональные данные клиента, несет персональную ответственность за данное разрешение.

5.3. Каждый сотрудник клиники, получающий для работы документ, содержащий персональные данные клиента, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

5.4. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных клиента, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами:

– статьи 150, 151 Гражданского кодекса – гражданско-правовая ответственность;

– статья 13.14 КоАП – административная ответственность;

– статья 137 Уголовного кодекса – уголовная ответственность.

5.5. За неисполнение или ненадлежащее исполнение сотрудником по его вине возложенных на него обязанностей по соблюдению установленного порядка обработки персональных данных клиентов клиника вправе применять предусмотренные Трудовым кодексом дисциплинарные взыскания, в том числе увольнение на основании подпункта «в» пункта 6 статьи 81 Трудового кодекса за разглашение персональных данных другого работника.

6.Заключительные положения

Настоящее Положение вступает в силу с момента издания приказа генерального директора клиники о введении Положения в силу и обязательно для ознакомления, соблюдения и исполнения всеми сотрудниками клиники.