2. ПРАВИЛА ОБРАБОТКИ ФАЙЛОВ COOKIES И МЕТРИЧЕСКИХ ДАННЫХ ЯНДЕКС. МЕТРИКА
2.1. Файлы cookie — это небольшой фрагмент данных, который принимается и обрабатывается устройством, которое Вы используете для доступа к сайту. Файлы cookie хранят и отправляют обратно на сайт информацию, которая помогает Вашей работе с сайтом и позволяет нам запоминать Ваши предпочтения по истечении времени, например, настройки браузера или узнавать Вашу учетную запись.
Оператор использует службу Yandex. Metrika, технологии cookies. В момент посещения пользователем той или иной страницы Оператора, браузер пользователя, выполняя сервисные коды службы Yandex. Metrika, передает в них информацию о факте посещения страницы, о времени посещения и времени нахождения на странице, об адресе страницы, с которой произошел переход на текущую страницу, IP-адрес, данные об аппаратных событиях, файлы cookies, сведения о местоположении, уникальные номера приложений.
На сайте используются следующие типы файлов cookie:
•         строго необходимые файлы cookie / технические файлы cookie: эти файлы cookie необходимы для работы сайта, кроме всего прочего, они позволяют нам идентифицировать Ваше аппаратное и программное обеспечение, включая тип Вашего браузера;
•         статистические / аналитические файлы cookie: эти файлы cookie позволяют распознавать пользователей, подсчитывать их количество и собирать информацию, такую как произведенные Вами операции на сайте, включая информацию о посещенных Вами веб-страницах и контенте, который Вы получаете;
•         технические файлы cookie: эти файлы cookie собирают информацию о том, как пользователи взаимодействуют с сайтом, что позволяет выявлять ошибки и тестировать новые функции для повышения производительности сайта;
•         функциональные файлы cookie: эти файлы cookie позволяют предоставлять определенные функции, чтобы облегчить использование Вами Сайта, например, сохраняя Ваши предпочтения (такие как язык и местоположение);
•         (сторонние) файлы отслеживания/рекламные файлы cookie: эти файлы cookie собирают информацию о пользователях, источниках трафика, посещенных страницах и рекламе, отображенной для Вас, а также той, по которой Вы перешли на рекламируемую страницу. Они позволяют отображать рекламу, которая может Вас заинтересовать, на основе анализа Персональной информации, собранной о Вас. Они также используются в статистических и исследовательских целях.
2.2. Сроки хранения файлов cookie
Мы используем информацию, содержащуюся в файлах cookie только в указанных выше целях, после чего собранные данные будут храниться на Вашем устройстве в течение периода, который может зависеть от соответствующего типа файлов cookie, но не превышая срока, необходимого для достижения их цели, после чего они будут автоматически удалены из Вашей системы.
2.3. При первом посещении сайта может быть запрошено Ваше согласие на использование файлов cookie. Если после того, как Вы одобрили использование файлов cookie, Вы захотите изменить свое решение, Вы сможете сделать это, удалив файлы cookie, хранящиеся в Вашем браузере (обычно это можно сделать в настройках браузера. Чтобы удалить сохраненные cookie-файлы браузера, вы можете открыть приведенные ниже ссылки, чтобы получить инструкции для своего браузера:
•         Chrome
•         Firefox
•         Internet Explorer
•         Opera
•         Safari.
 После этого может быть снова отображено всплывающее окно, запрашивающее Ваше согласие, и Вы сможете сделать иной выбор. Если Вы отказываетесь от использования файлов cookie, это может привести к тому, что некоторые функции сайта будут Вам недоступны, и повлияет на возможность использования Вами сайта.
 Вы также можете изменить настройки Вашего браузера, чтобы принимать или отклонять по умолчанию все файлы cookie или файлы cookie с определенных сайтов.
2.4. Использование функционала метрических систем:
Мы используем метрические программы, в частности систему Яндекс.Метрика, для сбора и анализа данных о посещаемости нашего сайта. Эти инструменты позволяют нам получать информацию о:

• Количестве посетителей сайта.
• Страницах, которые они посещают.
• Времени, которое они проводят на сайте.
• Источниках трафика (откуда пришли посетители).
• Географическом положении посетителей.
• Типах устройств и браузеров, которые они используют.

Эта информация помогает нам:

• Оценивать эффективность нашего сайта и его контента.
• Выявлять проблемные места и улучшать пользовательский опыт.
• Оптимизировать сайт для различных устройств и браузеров.
• Планировать развитие сайта и создавать более релевантный контент для наших клиентов.

Данные, полученные через метрические системы, используются только для совершенствования услуг на сайте и не объединяются с персональными сведениями посетителей.

6. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки, предусмотренным в пункте 6.3. настоящей Политики. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
6.2. Для каждой цели обработки персональных данных установлены:
- категории и перечень обрабатываемых ПД,
- категории субъектов ПД, данные которых обрабатываются;
- способы и сроки обработки и хранения ПД;
- порядок уничтожения ПД при достижении цели обработки.
 
6.3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1)  медико-профилактические цели, цели установления медицинского диагноза, оказание медицинских услуг по договору на оказание платных медицинских услуг:
1.1.категории и перечень обрабатываемых ПД:
общие персональные данные (фамилия, имя, отчество, пол, дата рождения, адрес регистрации, контактный телефон, реквизиты документа, удостоверяющего личность).
специальные персональные данные (данные о состоянии здоровья, заболеваниях, случаях обращения за медицинской помощью)
 
1.2.категории субъектов ПД, данные которых обрабатываются – Пациенты, законные представители Пациентов (Заказчики)
1.3.способы и сроки обработки и хранения ПД:
способы: обработка вышеуказанных персональных данных будет осуществляться путем смешанной (автоматизированной, не автоматизированной) обработки персональных данных.
сроки: хранение персональных данных пациентов осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. Хранение документов, содержащих персональные данные пациентов, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов. Срок хранения амбулаторной карты пациента составляет 25 лет.
Срок хранения договора на оказание платных медицинских услуг составляет 5 лет.
Причем ПД пациента могут обрабатываться вне зависимости от направленного пациентом отзыва в течение срока хранения медицинской документации в целях соблюдения медицинской организацией требований законодательства в сфере здравоохранения.
1.4.порядок уничтожения ПД при достижении цели обработки:
после достижения всех целей обработки персональных данных, а также выполнения обязанностей, возложенных на Оператора ПД законом, персональные данные подлежат уничтожению.
 
Для уничтожения персональных данных:
- формируется комиссии по ликвидации данных.
- комиссия создается на основании приказа руководителя медицинской организации. В приказе должны быть отражены функции комиссии (определение персональных данных, подлежащих уничтожению).
- Далее происходит непосредственное уничтожение соответствующей информации без возможности восстановления.
- Издание акта уничтожения персональных данных. Документ также утверждает руководитель медицинской организации.
По общему принципу уничтожение материальных носителей, содержащих персональные данные, осуществляется механическим способом (до степени, исключающей возможность воспроизведения персональных данных) либо электромагнитным воздействием с помощью специализированных средств (шредер, уничтожитель оптических дисков).
Уничтожение персональных данных, которые обрабатываются автоматизированным способом происходит путем удаления всех персональных данных из медицинской информационной системы Оператора, в результате чего будет невозможно восстановить содержание персональных данных в информационной системе.
 
Оператор также обязан осуществить выгрузку из журнала регистрации событий в информационной системе персональных данных (при использовании автоматизированного способа обработки персональных данных).
 
2) ведение кадрового и бухгалтерского учета
2.1.категории и перечень обрабатываемых ПД:
общие персональные данные (фамилия, имя, отчество; пол; дата и место рождения; паспортные данные; адрес регистрации по месту жительства; адрес фактического проживания; гражданство; контактные данные; индивидуальный номер налогоплательщика; страховой номер индивидуального лицевого счета (СНИЛС); должность, профессия, семейное положение; сведения о трудовой деятельности, стаж работы, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий; данные о регистрации брака; отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; данные документа об образовании (наименование учебного заведения, год окончания, специальность, номер и серия документа); сведения о повышении квалификации; переподготовке, сертификате/аккредитации специалиста, сведения об инвалидности; сведения об удержании алиментов; сведения о доходе с предыдущего места работы; табельный номер; сведения о временной нетрудоспособности, номер и серия листка нетрудоспособности; статус получателя (резидент/не резидент); сведения о судимости, реквизиты для перевода заработной платы (наименование банка, БИК, ИНН, к/c, л/c получателя/реквизиты банковской карты); данные о доходах; страховой стаж, свидетельство о рождении ребенка)
специальные категории персональных данных (сведения о состоянии здоровья, сведения о судимости)
 
В соответствии со статьей 351.1. ТК РФ:
- к трудовой деятельности в сфере образования, воспитания, развития несовершеннолетних, организации их отдыха и оздоровления, медицинского обеспечения, социальной защиты и социального обслуживания, в сфере детско-юношеского спорта, культуры и искусства с участием несовершеннолетних не допускаются лица, имеющие или имевшие судимость, а равно и подвергавшиеся уголовному преследованию (за исключением лиц, уголовное преследование в отношении которых прекращено по реабилитирующим основаниям) за преступления, указанные в абзацах третьем и четвертом части второй статьи 331 ТК РФ, за исключением случаев, предусмотренных частью третьей статьи.
 
2.2.категории субъектов ПД, данные которых обрабатываются – Работники и бывшие работники Оператора, дети работников и бывших работников (при получении алиментов, оформлении социальных выплат)
2.3.способы и сроки обработки и хранения ПД:
способы: обработка вышеуказанных персональных данных будет осуществляться путем смешанной (автоматизированной, не автоматизированной) обработки персональных данных.
сроки: Хранение документов, содержащих персональные данные работников, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов. В соответствии с Приказом Росархива от 20.12.2019 № 236 "Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения" трудовые договоры, служебные контракты, соглашения об их изменении, расторжении хранятся 50/75 лет ЭПК.
2.4.порядок уничтожения ПД:
после достижения всех целей обработки персональных данных, а также выполнения обязанностей, возложенных на Оператора ПД законом, персональные данные подлежат уничтожению.
 
Для уничтожения персональных данных:
- формируется комиссии по ликвидации данных.
- комиссия создается на основании приказа руководителя медицинской организации. В приказе должны быть отражены функции комиссии (определение персональных данных, подлежащих уничтожению.)
- Далее происходит непосредственное уничтожение соответствующей информации без возможности восстановления.
- Издание акта уничтожения персональных данных. Документ также утверждает руководитель медицинской организации.
По общему принципу уничтожение материальных носителей, содержащих персональные данные, осуществляется механическим способом (до степени, исключающей возможность воспроизведения персональных данных) либо электромагнитным воздействием с помощью специализированных средств (шредер, уничтожитель оптических дисков).
Уничтожение персональных данных, которые обрабатываются автоматизированным способом происходит путем удаления всех персональных данных из электронных баз данных Оператора, в результате чего будет невозможно восстановить содержание персональных данных в базе.
 
3) оформление сотрудников на работу к Оператору;
3.1.категории и перечень обрабатываемых ПД:
общие персональные данные (фамилия, имя, отчество; пол; дата и место рождения; паспортные данные; адрес регистрации по месту жительства; адрес фактического проживания; гражданство; контактные данные; индивидуальный номер налогоплательщика; страховой номер индивидуального лицевого счета (СНИЛС); семейное положение; сведения о трудовой деятельности, стаж работы; данные о регистрации брака; отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; данные документа об образовании (наименование учебного заведения, год окончания, специальность, номер и серия документа); сведения о повышении квалификации; переподготовке, сертификате/аккредитации специалиста, сведения об инвалидности; сведения об удержании алиментов; сведения о судимости, реквизиты для перевода заработной платы реквизиты (наименование банка, БИК, ИНН, к/c, р/c получателя/реквизиты банковской карты), страховой стаж)
специальные категории персональных данных (сведения о состоянии здоровья, сведения о судимости)
 
В соответствии со статьей 351.1. ТК РФ:
- к трудовой деятельности в сфере образования, воспитания, развития несовершеннолетних, организации их отдыха и оздоровления, медицинского обеспечения, социальной защиты и социального обслуживания, в сфере детско-юношеского спорта, культуры и искусства с участием несовершеннолетних не допускаются лица, имеющие или имевшие судимость, а равно и подвергавшиеся уголовному преследованию (за исключением лиц, уголовное преследование в отношении которых прекращено по реабилитирующим основаниям) за преступления, указанные в абзацах третьем и четвертом части второй статьи 331 ТК РФ, за исключением случаев, предусмотренных частью третьей статьи.
 
3.2.категории субъектов ПД, данные которых обрабатываются – Соискатели работы у Оператора
3.3.способы и сроки обработки и хранения ПД:
способы: обработка вышеуказанных персональных данных будет осуществляться путем смешанной (автоматизированной, не автоматизированной) обработки персональных данных.
сроки: Хранение документов, содержащих персональные данные работников, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов. В соответствии с Приказом Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения» трудовые договоры, служебные контракты, соглашения об их изменении, расторжении хранятся 50/75 лет ЭПК.
3.4.порядок уничтожения ПД:
после достижения всех целей обработки персональных данных, а также выполнения обязанностей, возложенных на Оператора ПД законом, персональные данные подлежат уничтожению.
 
Для уничтожения персональных данных:
- формируется комиссии по ликвидации данных.
- комиссия создается на основании приказа руководителя медицинской организации. В приказе должны быть отражены функции комиссии (определение персональных данных, подлежащих уничтожению.)
- Далее происходит непосредственное уничтожение соответствующей информации без возможности восстановления.
- Издание акта уничтожения персональных данных. Документ также утверждает руководитель медицинской организации.
По общему принципу уничтожение материальных носителей, содержащих персональные данные, осуществляется механическим способом (до степени, исключающей возможность воспроизведения персональных данных) либо электромагнитным воздействием с помощью специализированных средств (шредер, уничтожитель оптических дисков).
Уничтожение персональных данных, которые обрабатываются автоматизированным способом происходит путем удаления всех персональных данных из электронной базы данных Оператора, в результате чего будет невозможно восстановить содержание персональных данных в базе.
 
4) организация постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования
 
4.1.категории и перечень обрабатываемых ПД:
общие персональные данные (фамилия, имя, отчество; пол; дата и место рождения; паспортные данные; гражданство; адрес регистрации по месту жительства; адрес фактического проживания; контактные данные; индивидуальный номер налогоплательщика).
4.2.категории субъектов ПД, данные которых обрабатываются – Работники Оператора
4.3.способы и сроки обработки и хранения ПД:
способы: обработка вышеуказанных персональных данных будет осуществляться путем смешанной (автоматизированной, не автоматизированной) обработки персональных данных.
сроки: Хранение документов, содержащих персональные данные работников, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов. В соответствии с Приказом Росархива от 20.12.2019 № 236 "Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения".
4.4.порядок уничтожения ПД:
после достижения всех целей обработки персональных данных, а также выполнения обязанностей, возложенных на Оператора ПД законом, персональные данные подлежат уничтожению.
 
Для уничтожения персональных данных:
- формируется комиссии по ликвидации данных.
- комиссия создается на основании приказа руководителя медицинской организации. В приказе должны быть отражены функции комиссии (определение персональных данных, подлежащих уничтожению.)
- Далее происходит непосредственное уничтожение соответствующей информации без возможности восстановления.
- Издание акта уничтожения персональных данных. Документ также утверждает руководитель медицинской организации, подписывают члены комиссии.
По общему принципу уничтожение материальных носителей, содержащих персональные данные, осуществляется механическим способом (до степени, исключающей возможность воспроизведения персональных данных) либо электромагнитным воздействием с помощью специализированных средств (шредер, уничтожитель оптических дисков).
Уничтожение персональных данных, которые обрабатываются автоматизированным способом происходит путем удаления всех персональных данных из электронной базы данных Оператора, в результате чего будет невозможно восстановить содержание персональных данных в базе.
 
5) заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности

5.1.категории и перечень обрабатываемых ПД:
общие персональные данные (фамилия, имя, отчество; пол; дата и место рождения; паспортные данные; адрес регистрации по месту жительства; адрес фактического проживания; контактные данные; индивидуальный номер налогоплательщика; страховой номер индивидуального лицевого счета (СНИЛС), данные о страховом стаже, об общем трудовом стаже, данные о доходах)
 
5.2.категории субъектов ПД, данные которых обрабатываются – Работники и бывшие работники Оператора
5.3.способы и сроки обработки и хранения ПД:
способы: обработка вышеуказанных персональных данных будет осуществляться путем смешанной (автоматизированной, не автоматизированной) обработки персональных данных.
сроки: Хранение документов, содержащих персональные данные работников, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов. В соответствии с Приказом Росархива от 20.12.2019 N 236 "Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения".
5.4.порядок уничтожения ПД:
после достижения всех целей обработки персональных данных, а также выполнения обязанностей, возложенных на Оператора ПД законом, персональные данные подлежат уничтожению.
 
Для уничтожения персональных данных:
- формируется комиссии по ликвидации данных.
- комиссия создается на основании приказа руководителя медицинской организации. В приказе должны быть отражены функции комиссии (определение персональных данных, подлежащих уничтожению.)
- Далее происходит непосредственное уничтожение соответствующей информации без возможности восстановления.
- Издание акта уничтожения персональных данных. Документ также утверждает руководитель медицинской организации.
По общему принципу уничтожение материальных носителей, содержащих персональные данные, осуществляется механическим способом (до степени, исключающей возможность воспроизведения персональных данных) либо электромагнитным воздействием с помощью специализированных средств (шредер, уничтожитель оптических дисков).
Уничтожение персональных данных, которые обрабатываются автоматизированным способом происходит путем удаления всех персональных данных из электронной базы данных Оператора, в результате чего будет невозможно восстановить содержание персональных данных в базе
 
6) организация дополнительных социальных гарантий и компенсационных выплат
6.1.категории и перечень обрабатываемых ПД:
общие персональные данные (фамилия, имя, отчество; степень родства; год рождения; сведения об обучении ребенка, данные свидетельства о рождении ребенка, иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства).
6.2. категории субъектов ПД, данные которых обрабатываются – Члены семьи работников Оператора
6.3.           способы и сроки обработки и хранения ПД:
способы: обработка вышеуказанных персональных данных будет осуществляться путем смешанной (автоматизированной, не автоматизированной) обработки персональных данных.
сроки: хранение персональных данных членов семьи работников осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
6.4. порядок уничтожения ПД:
после достижения всех целей обработки персональных данных, а также выполнения обязанностей, возложенных на Оператора ПД законом, персональные данные подлежат уничтожению.
 
Для уничтожения персональных данных:
- формируется комиссии по ликвидации данных.
- комиссия создается на основании приказа руководителя медицинской организации. В приказе должны быть отражены функции комиссии (определение персональных данных, подлежащих уничтожению.)
- Далее происходит непосредственное уничтожение соответствующей информации без возможности восстановления.
- Издание акта уничтожения персональных данных. Документ также утверждает руководитель медицинской организации.
По общему принципу уничтожение материальных носителей, содержащих персональные данные, осуществляется механическим способом (до степени, исключающей возможность воспроизведения персональных данных) либо электромагнитным воздействием с помощью специализированных средств (шредер, уничтожитель оптических дисков).
Уничтожение персональных данных, которые обрабатываются автоматизированным способом происходит путем удаления всех персональных данных из электронной базы данных Оператора, в результате чего будет невозможно восстановить содержание персональных данных в базе.
 
7) продвижение услуг на рынке, онлайн запись на консультацию/прием, обеспечение обратной связи с посетителями сайта/получение информации о пользователях сайта, а также учета частоты посещения страниц сайта, улучшения работы сайта Оператора, совершенствования услуг Оператора, определения предпочтений пользователя, предоставления целевой информации по услугам Оператора, (в частности, используются метрические интернет-ресурсы, заполнение формы обратной связи)
7.1.категории и перечень обрабатываемых ПД:
общие персональные данные (имя, контактный телефон, источник захода на Сайт и информация поискового или рекламного запроса, данные о пользовательском устройстве (среди которых разрешение, версия и другие атрибуты, характеризующие пользовательское устройство), пользовательские клики, просмотры страниц, заполнения полей, параметры сессии, данные о времени посещения, информация, хранимая в cookie, IP адрес).[1]
7.2.категории субъектов ПД, данные которых обрабатываются – Пользователи сайта.
Оператор обрабатывает обезличенные данные о Пользователе в случае, если это разрешено в настройках браузера Пользователя (включено сохранение файлов «cookie» и использование технологии JavaScript).
7.3.     способы и сроки обработки и хранения ПД:
способы: в момент посещения пользователем той или иной страницы Оператора, браузер пользователя, выполняя сервисные коды службы Yandex. Metrika, передает в них информацию о факте посещения страницы, о времени посещения и времени нахождения на странице, об адресе страницы, с которой произошел переход на текущую страницу, IP-адрес, данные об аппаратных событиях, файлы cookies, сведения о местоположении, уникальные номера приложений.
сроки: хранение персональных данных пользователей сайта осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. Собранные данные будут храниться на устройстве Пользователя сайта в течение периода, который может зависеть от соответствующего типа файлов cookie, но не превышая срока, необходимого для достижения их цели, после чего они будут автоматически удалены из системы.
7.4.           порядок уничтожения ПД при достижении цели обработки:
после достижения всех целей обработки персональных данных, персональные данные подлежат уничтожению.

[1] IP-адрес может быть отнесен к персональным данным, поскольку идентификация пользователя сети Интернет осуществляется через установление его персональных данных по IP-адресу, назначаемому оператором связи и закрепленному за пользовательским оборудованием при заключении договора на оказание услуг доступа к сети Интернет. Существует судебная практика, которая признает IP-адрес персональными данными (Определение Восьмого кассационного суда общей юрисдикции от 30.08.2022 по делу N 88-15380/2022, Апелляционное определение Московского городского суда от 22.08.2022 N 33-32777/2022 (Определением Второго кассационного суда общей юрисдикции от 14.12.2022 N 88-29587/2022 данное Определение оставлено без изменения).

8. претензии физических лиц (Пациентов или их законных представителей)
8.1.категории и перечень обрабатываемых ПД:
общие персональные данные (Фамилия, имя, отчество; номер телефона; адрес электронной почты (при наличии), данные документа, удостоверяющего личность).
8.2.категории субъектов ПД, данные которых обрабатываются – Пациенты или их законные представители
8.3.способы и сроки обработки и хранения ПД:
способы: обработка вышеуказанных персональных данных будет осуществляться путем смешанной (автоматизированной, не автоматизированной) обработки персональных данных.
сроки: хранение персональных данных пациентов осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. Хранение документов, содержащих персональные данные пациентов, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов.
8.4.порядок уничтожения ПД при достижении цели обработки:
после достижения всех целей обработки персональных данных, а также выполнения обязанностей, возложенных на Оператора ПД законом, персональные данные подлежат уничтожению.

Для уничтожения персональных данных:
- формируется комиссии по ликвидации данных.
- комиссия создается на основании приказа руководителя медицинской организации. В приказе должны быть отражены функции комиссии (определение персональных данных, подлежащих уничтожению.)
- Далее происходит непосредственное уничтожение соответствующей информации без возможности восстановления.
- Издание акта уничтожения персональных данных. Документ также утверждает руководитель медицинской организации.
По общему принципу уничтожение материальных носителей, содержащих персональные данные, осуществляется механическим способом (до степени, исключающей возможность воспроизведения персональных данных) либо электромагнитным воздействием с помощью специализированных средств (шредер, уничтожитель оптических дисков).
Уничтожение персональных данных, которые обрабатываются автоматизированным способом происходит путем удаления всех персональных данных из медицинской информационной системы Оператора, в результате чего будет невозможно восстановить содержание персональных данных в информационной системе.
Оператор также обязан осуществить выгрузку из журнала регистрации событий в информационной системе персональных данных (при использовании автоматизированного способа обработки персональных данных).

9. обеспечения соблюдения требований законодательства о воинской обязанности
9.1.категории и перечень обрабатываемых ПД:
общие персональные данные (Фамилия, имя, отчество; дата рождения; место рождения; сведения о документе, удостоверяющем личность (серия, номер, дата выдачи, код подразделения, кем выдан); отношение к воинской обязанности, сведения о воинском учете; военно-учетная специальность, категория годности, воинское звание, состав (профиль), наименование в/к по месту воинского учета; водительское удостоверение (серия, номер, категория ТС, дата выдачи); сведения об образовании сведения о повышении квалификации; данные документа об образовании (наименование учебного заведения, год окончания, специальность, номер и серия документа); сведения о месте учебы (для лиц, получающих образование); семейное положение; состав семьи.
9.2.категории субъектов ПД, данные которых обрабатываются – Работники, члены семьи работников
9.3.способы и сроки обработки и хранения ПД:
способы: обработка вышеуказанных персональных данных будет осуществляться путем смешанной (автоматизированной, не автоматизированной) обработки персональных данных.
сроки: хранение персональных данных пациентов осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. Хранение документов, содержащих персональные данные пациентов, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов.
9.4.порядок уничтожения ПД при достижении цели обработки:
после достижения всех целей обработки персональных данных, а также выполнения обязанностей, возложенных на Оператора ПД законом, персональные данные подлежат уничтожению.
 
Для уничтожения персональных данных:
- формируется комиссии по ликвидации данных.
- комиссия создается на основании приказа руководителя медицинской организации. В приказе должны быть отражены функции комиссии (определение персональных данных, подлежащих уничтожению.)
- Далее происходит непосредственное уничтожение соответствующей информации без возможности восстановления.
- Издание акта уничтожения персональных данных. Документ также утверждает руководитель медицинской организации.
По общему принципу уничтожение материальных носителей, содержащих персональные данные, осуществляется механическим способом (до степени, исключающей возможность воспроизведения персональных данных) либо электромагнитным воздействием с помощью специализированных средств (шредер, уничтожитель оптических дисков).
Уничтожение персональных данных, которые обрабатываются автоматизированным способом происходит путем удаления всех персональных данных из медицинской информационной системы Оператора, в результате чего будет невозможно восстановить содержание персональных данных в информационной системе.
Оператор также обязан осуществить выгрузку из журнала регистрации событий в информационной системе персональных данных (при использовании автоматизированного способа обработки персональных данных).

10. обеспечения соблюдения требований законодательства о предоставлении отсрочки/брони.
10.1.категории и перечень обрабатываемых ПД:
общие персональные данные (Фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; должность; отношение к воинской обязанности, сведения о воинском учете; должностные обязанности; стаж работы; категория годности; воинское звание; состав (профиль), наименование в/к по месту воинского учета; серия и номер удостоверения об отсрочке; данные военкомата, выдавшего удостоверение; водительское удостоверение (серия, номер, категория ТС, дата выдачи)
10.2. категории субъектов ПД, данные которых обрабатываются – Работники
10.3. способы и сроки обработки и хранения ПД:
способы: обработка вышеуказанных персональных данных будет осуществляться путем смешанной (автоматизированной, не автоматизированной) обработки персональных данных.
сроки: хранение персональных данных пациентов осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. Хранение документов, содержащих персональные данные пациентов, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов.
10.4. порядок уничтожения ПД при достижении цели обработки:
после достижения всех целей обработки персональных данных, а также выполнения обязанностей, возложенных на Оператора ПД законом, персональные данные подлежат уничтожению.
 
Для уничтожения персональных данных:
- формируется комиссии по ликвидации данных.
- комиссия создается на основании приказа руководителя медицинской организации. В приказе должны быть отражены функции комиссии (определение персональных данных, подлежащих уничтожению.)
- Далее происходит непосредственное уничтожение соответствующей информации без возможности восстановления.
- Издание акта уничтожения персональных данных. Документ также утверждает руководитель медицинской организации.
По общему принципу уничтожение материальных носителей, содержащих персональные данные, осуществляется механическим способом (до степени, исключающей возможность воспроизведения персональных данных) либо электромагнитным воздействием с помощью специализированных средств (шредер, уничтожитель оптических дисков).
Уничтожение персональных данных, которые обрабатываются автоматизированным способом происходит путем удаления всех персональных данных из медицинской информационной системы Оператора, в результате чего будет невозможно восстановить содержание персональных данных в информационной системе.
Оператор также обязан осуществить выгрузку из журнала регистрации событий в информационной системе персональных данных (при использовании автоматизированного способа обработки персональных данных).
 
11.  обеспечение соблюдения страхового законодательства РФ
11.1. категории и перечень обрабатываемых ПД:
общие персональные данные (Фамилия, имя, отчество; дата рождения; место рождения; семейное положение; доходы; номер телефона; СНИЛС; ИНН; гражданство; профессия; сведения о социальных льготах (наименование, номер и дата выдачи документа, основание); причина нетрудоспособности; сведения о временной нетрудоспособности (номер и серия листка нетрудоспособности); статус получателя (резидент/не резидент); реквизиты для перевода (банковский счет); страховой стаж; место государственной регистрации, дата выдачи, серия и номер свидетельства о рождении ребенка; номер и дата выдачи справки из ЗАГСа.)
11.2. категории субъектов ПД, данные которых обрабатываются – Работники; родственники работников; уволенные работники; родственники уволенных работников; исполнители по договорам возмездного оказания услуг/подряда.
11.3. способы и сроки обработки и хранения ПД:
способы: обработка вышеуказанных персональных данных будет осуществляться путем смешанной (автоматизированной, не автоматизированной) обработки персональных данных.
сроки: хранение персональных данных пациентов осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
порядок уничтожения ПД при достижении цели обработки:
после достижения всех целей обработки персональных данных, а также выполнения обязанностей, возложенных на Оператора ПД законом, персональные данные подлежат уничтожению.
 
Для уничтожения персональных данных:
- формируется комиссии по ликвидации данных.
- комиссия создается на основании приказа руководителя медицинской организации. В приказе должны быть отражены функции комиссии (определение персональных данных, подлежащих уничтожению.)
- Далее происходит непосредственное уничтожение соответствующей информации без возможности восстановления.
- Издание акта уничтожения персональных данных. Документ также утверждает руководитель медицинской организации.
По общему принципу уничтожение материальных носителей, содержащих персональные данные, осуществляется механическим способом (до степени, исключающей возможность воспроизведения персональных данных) либо электромагнитным воздействием с помощью специализированных средств (шредер, уничтожитель оптических дисков).
Уничтожение персональных данных, которые обрабатываются автоматизированным способом происходит путем удаления всех персональных данных из медицинской информационной системы Оператора, в результате чего будет невозможно восстановить содержание персональных данных в информационной системе.
Оператор также обязан осуществить выгрузку из журнала регистрации событий в информационной системе персональных данных (при использовании автоматизированного способа обработки персональных данных).
 
12.  обеспечение соблюдения налогового законодательства РФ
12.1. категории и перечень обрабатываемых ПД:
общие персональные данные (Фамилия, имя, отчество; дата рождения; доходы; номер телефона; гражданство; данные документа, удостоверяющего личность; должность; данные документа, подтверждающего налоговый вычет.)
12.2. категории субъектов ПД, данные которых обрабатываются – Работники; родственники работников; уволенные работники; родственники уволенных работников; Пациенты/законные представители.
12.3. способы и сроки обработки и хранения ПД:
способы: обработка вышеуказанных персональных данных будет осуществляться путем смешанной (автоматизированной, не автоматизированной) обработки персональных данных.
сроки: хранение персональных данных пациентов осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. Хранение документов, содержащих персональные данные пациентов, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов.
12.4. порядок уничтожения ПД при достижении цели обработки:
после достижения всех целей обработки персональных данных, а также выполнения обязанностей, возложенных на Оператора ПД законом, персональные данные подлежат уничтожению.
 
Для уничтожения персональных данных:
- формируется комиссии по ликвидации данных.
- комиссия создается на основании приказа руководителя медицинской организации. В приказе должны быть отражены функции комиссии (определение персональных данных, подлежащих уничтожению.)
- Далее происходит непосредственное уничтожение соответствующей информации без возможности восстановления.
- Издание акта уничтожения персональных данных. Документ также утверждает руководитель медицинской организации.
По общему принципу уничтожение материальных носителей, содержащих персональные данные, осуществляется механическим способом (до степени, исключающей возможность воспроизведения персональных данных) либо электромагнитным воздействием с помощью специализированных средств (шредер, уничтожитель оптических дисков).
Уничтожение персональных данных, которые обрабатываются автоматизированным способом происходит путем удаления всех персональных данных из медицинской информационной системы Оператора, в результате чего будет невозможно восстановить содержание персональных данных в информационной системе.
Оператор также обязан осуществить выгрузку из журнала регистрации событий в информационной системе персональных данных (при использовании автоматизированного способа обработки персональных данных).

13.  проведения Оператором рекламных и маркетинговых мероприятий в отношении Пациентов (их законных представителей)
13.1. категории и перечень обрабатываемых ПД:
общие персональные данные (фамилия, имя, отчество, контактные телефоны; адрес электронной почты)
13.2. категории субъектов ПД, данные которых обрабатываются – Пациенты, законные представители
13.3. способы и сроки обработки и хранения ПД:
способы: обработка вышеуказанных персональных данных будет осуществляться путем автоматизированной обработки персональных данных.
сроки: хранение персональных данных осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. Хранение документов, содержащих персональные данные, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов.
13.4.порядок уничтожения ПД при достижении цели обработки:
после достижения всех целей обработки персональных данных, а также выполнения обязанностей, возложенных на Оператора ПД законом, персональные данные подлежат уничтожению.

Для уничтожения персональных данных:
- формируется комиссии по ликвидации данных.
- комиссия создается на основании приказа руководителя медицинской организации. В приказе должны быть отражены функции комиссии (определение персональных данных, подлежащих уничтожению.)
- Далее происходит непосредственное уничтожение соответствующей информации без возможности восстановления.
- Издание акта уничтожения персональных данных. Документ также утверждает руководитель медицинской организации.
По общему принципу уничтожение материальных носителей, содержащих персональные данные, осуществляется механическим способом (до степени, исключающей возможность воспроизведения персональных данных) либо электромагнитным воздействием с помощью специализированных средств (шредер, уничтожитель оптических дисков).
Уничтожение персональных данных, которые обрабатываются автоматизированным способом происходит путем удаления всех персональных данных из медицинской информационной системы Оператора, в результате чего будет невозможно восстановить содержание персональных данных в информационной системе.
Оператор также обязан осуществить выгрузку из журнала регистрации событий в информационной системе персональных данных (при использовании автоматизированного способа обработки персональных данных).

14.      передача сведений о медицинских работниках в Единую государственную информационную систему здравоохранения (ЕГИСЗ)
14.1.   категории и перечень обрабатываемых ПД:
общие персональные данные (фамилия, имя, отчество, СНИЛС, данные документа, удостоверяющего личность, адрес регистрации, сведения об образовании (реквизиты диплома, удостоверения о повышении квалификации, переподготовке, сертификат или аккредитация специалиста, табельный номер, номер трудового договора)
14.2.   категории субъектов ПД, данные которых обрабатываются – Работники (медицинский персонал)
14.3.   способы и сроки обработки и хранения ПД:
способы: обработка вышеуказанных персональных данных будет осуществляться путем автоматизированной обработки персональных данных.
сроки: хранение персональных данных осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. Хранение документов, содержащих персональные данные, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов.
14.4.   порядок уничтожения ПД при достижении цели обработки:
после достижения всех целей обработки персональных данных, а также выполнения обязанностей, возложенных на Оператора ПД законом, персональные данные подлежат уничтожению.

Для уничтожения персональных данных:
- формируется комиссии по ликвидации данных.
- комиссия создается на основании приказа руководителя медицинской организации. В приказе должны быть отражены функции комиссии (определение персональных данных, подлежащих уничтожению.)
- Далее происходит непосредственное уничтожение соответствующей информации без возможности восстановления.
- Издание акта уничтожения персональных данных. Документ также утверждает руководитель медицинской организации.
По общему принципу уничтожение материальных носителей, содержащих персональные данные, осуществляется механическим способом (до степени, исключающей возможность воспроизведения персональных данных) либо электромагнитным воздействием с помощью специализированных средств (шредер, уничтожитель оптических дисков).
Уничтожение персональных данных, которые обрабатываются автоматизированным способом происходит путем удаления всех персональных данных из медицинской информационной системы Оператора, в результате чего будет невозможно восстановить содержание персональных данных в информационной системе.
Оператор также обязан осуществить выгрузку из журнала регистрации событий в информационной системе персональных данных (при использовании автоматизированного способа обработки персональных данных).

15. размещение данных о медицинских работниках на официальном сайте организации, на информационном стенде)
15.1.         категории и перечень обрабатываемых ПД:
общие персональные данные (фамилия, имя, отчество, сведения об образовании (реквизиты диплома, удостоверения о повышении квалификации, переподготовке, сертификат или аккредитация специалиста, изображение)
15.2.         категории субъектов ПД, данные которых обрабатываются – Работники
15.3.         способы и сроки обработки и хранения ПД:
способы: обработка вышеуказанных персональных данных будет осуществляться путем автоматизированной обработки персональных данных.
сроки: хранение персональных данных пациентов осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. Хранение документов, содержащих персональные данные, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов.
15.4.         порядок уничтожения ПД при достижении цели обработки:
после достижения всех целей обработки персональных данных, а также выполнения обязанностей, возложенных на Оператора ПД законом, персональные данные подлежат уничтожению.

Для уничтожения персональных данных:
- формируется комиссии по ликвидации данных.
- комиссия создается на основании приказа руководителя медицинской организации. В приказе должны быть отражены функции комиссии (определение персональных данных, подлежащих уничтожению.)
- Далее происходит непосредственное уничтожение соответствующей информации без возможности восстановления.
- Издание акта уничтожения персональных данных. Документ также утверждает руководитель медицинской организации.
По общему принципу уничтожение материальных носителей, содержащих персональные данные, осуществляется механическим способом (до степени, исключающей возможность воспроизведения персональных данных) либо электромагнитным воздействием с помощью специализированных средств (шредер, уничтожитель оптических дисков).
Уничтожение персональных данных, которые обрабатываются автоматизированным способом происходит путем удаления всех персональных данных из медицинской информационной системы Оператора, в результате чего будет невозможно восстановить содержание персональных данных в информационной системе.
Оператор также обязан осуществить выгрузку из журнала регистрации событий в информационной системе персональных данных (при использовании автоматизированного способа обработки персональных данных).

16. Подготовка, заключение и исполнение гражданско-правовых договоров)
16.1.         категории и перечень обрабатываемых ПД:
общие персональные данные (фамилия, имя, отчество; адрес регистрации; номер телефона; адрес электронной почты; ИНН; ОГРНИП; данные документа, удостоверяющего личность; должность; реквизиты (наименование банка, БИК, ИНН, к/c, р/c получателя)
16.2.         категории субъектов ПД, данные которых обрабатываются – Исполнители по договорам; контрагенты (физические лица), самозанятые.
16.3.         способы и сроки обработки и хранения ПД:
способы: обработка вышеуказанных персональных данных будет осуществляться путем смешанной (автоматизированной, не автоматизированной) обработки персональных данных.
сроки: хранение документов, содержащих персональные данные, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов. В соответствии с Приказом Росархива от 20.12.2019 № 236 "Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения" договоры гражданско-правового характера о выполнении работ, оказании услуг физическими лицами, акты сдачи-приемки выполненных работ, оказанных услуг хранятся 50/75 лет.
16.4.         порядок уничтожения ПД при достижении цели обработки:
после достижения всех целей обработки персональных данных, а также выполнения обязанностей, возложенных на Оператора ПД законом, персональные данные подлежат уничтожению.

Для уничтожения персональных данных:
- формируется комиссии по ликвидации данных.
- комиссия создается на основании приказа руководителя медицинской организации. В приказе должны быть отражены функции комиссии (определение персональных данных, подлежащих уничтожению.)
- Далее происходит непосредственное уничтожение соответствующей информации без возможности восстановления.
- Издание акта уничтожения персональных данных. Документ также утверждает руководитель медицинской организации.
По общему принципу уничтожение материальных носителей, содержащих персональные данные, осуществляется механическим способом (до степени, исключающей возможность воспроизведения персональных данных) либо электромагнитным воздействием с помощью специализированных средств (шредер, уничтожитель оптических дисков).
Уничтожение персональных данных, которые обрабатываются автоматизированным способом происходит путем удаления всех персональных данных из медицинской информационной системы Оператора, в результате чего будет невозможно восстановить содержание персональных данных в информационной системе.
Оператор также обязан осуществить выгрузку из журнала регистрации событий в информационной системе персональных данных (при использовании автоматизированного способа обработки персональных данных).

17.  обеспечение соблюдения законодательства в сфере здравоохранения РФ;
17.1.категории и перечень обрабатываемых ПД:
общие персональные данные (фамилия, имя, отчество, пол, дата рождения, адрес регистрации, контактный телефон, реквизиты документа, удостоверяющего личность, СНИЛС).
специальные персональные данные (данные о состоянии здоровья, заболеваниях, случаях обращения за медицинской помощью)
17.2. категории субъектов ПД, данные которых обрабатываются – Пациенты
17.3. способы и сроки обработки и хранения ПД:
способы: обработка вышеуказанных персональных данных будет осуществляться путем автоматизированной обработки персональных данных.
сроки: хранение персональных данных пациентов осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. Хранение документов, содержащих персональные данные пациентов, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов. Согласно рекомендациям Минздрава РФ, срок хранения сведений о медицинской документации в ЕГИСЗ (подсистеме РЭМД) составляет 25 лет, если нормативными правовыми актами не установлен иной срок хранения.
Причем ПДн пациента могут обрабатываться вне зависимости от направленного пациентом отзыва в течение срока хранения медицинской документации.
17.4. порядок уничтожения ПД при достижении цели обработки:
после достижения всех целей обработки персональных данных, а также выполнения обязанностей, возложенных на Оператора ПД законом, персональные данные подлежат уничтожению.

Для уничтожения персональных данных:
- формируется комиссии по ликвидации данных.
- комиссия создается на основании приказа руководителя медицинской организации. В приказе должны быть отражены функции комиссии (определение персональных данных, подлежащих уничтожению.)
- Далее происходит непосредственное уничтожение соответствующей информации без возможности восстановления.
- Издание акта уничтожения персональных данных. Документ также утверждает руководитель медицинской организации.
По общему принципу уничтожение материальных носителей, содержащих персональные данные, осуществляется механическим способом (до степени, исключающей возможность воспроизведения персональных данных) либо электромагнитным воздействием с помощью специализированных средств (шредер, уничтожитель оптических дисков).
Уничтожение персональных данных, которые обрабатываются автоматизированным способом происходит путем удаления всех персональных данных из медицинской информационной системы Оператора, в результате чего будет невозможно восстановить содержание персональных данных в информационной системе.
Оператор также обязан осуществить выгрузку из журнала регистрации событий в информационной системе персональных данных (при использовании автоматизированного способа обработки персональных данных).

7. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
7.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации. Правовые основания обработки персональных данных указаны в пункте 5.2. настоящей Политики.
7.3. Оператор не выполняет обработку специальных категорий Персональных данных, касающихся национальной принадлежности, политических взглядов, религиозных или философских убеждений.
7.4. Оператор не производит трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу Персональных данных.
7.5. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
7.6. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.
7.7. Все Персональные данные Оператор получает от самого субъекта Персональных данных. Если Персональные данные субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено письменное согласие на их обработку. Оператор должен сообщить субъекту Персональных данных о целях, предполагаемых источниках и способах получения Персональных данных, характере подлежащих получению Персональных данных, а также о последствиях отказа субъекта дать письменное согласие на их получение.
7.8. Предоставление Оператором Персональных данных третьим лицам (передача Персональных данных) осуществляется исключительно для достижения целей, заявленных для обработки Персональных данных в разделе 3 настоящей Политики. Передача Персональных данных третьим лицам осуществляется с письменного согласия субъекта Персональных данных, которое оформляется по установленной законодательством форме, либо в иных случаях, установленных федеральными законами.
7.9. В целях соблюдения законодательства Российской Федерации для достижения целей обработки Персональных данных Оператор в ходе своей деятельности предоставляет следующим третьим лицам:
- уполномоченным органам государственной власти в случаях, предусмотренных федеральными законами;
- контрагентам Оператора по договорам, при наличии согласия субъекта Персональных данных;
- иным лицам – в случаях и в порядке, предусмотренных федеральным законодательством и при наличии согласия субъекта Персональных данных.
7.10. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.
7.11. Обработка персональных данных осуществляется путем:
·  получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
·  внесения персональных данных в журналы, реестры, медицинские карты, договоры и информационные системы Оператора, базы данных, передача сведений в подсистемы ЕГИСЗ (РЭМД);
·  использования иных способов обработки персональных данных.
7.12. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
7.13. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Пенсионный фонд Российской Федерации, Фонд социального страхования и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
 

8. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

      8.1. Обработка Персональных данных осуществляется Оператором на основании следующих принципов:
1)обработка Персональных данных осуществляется на законной и справедливой основе;
2) обработка Персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
3) не допускается объединение баз данных, содержащих Персональных данных, обработка которых осуществляется в целях, несовместимых между собой;
4) обработке подлежат только Персональных данных, которые отвечают целям их обработки;
5) содержание и объем обрабатываемых Персональных данных соответствуют заявленным целям обработки и не являются избыточными по отношению к заявленным целям их обработки;
6) при обработке Персональных данных обеспечивается точность Персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки Персональных данных (принимаются необходимые меры по удалению или уточнению неполных, или неточных данных);
7)хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
 

9. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ

ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ

НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

9.1. Для обеспечения соблюдения установленных законодательством прав субъектов персональных данных, в Медицинской организации локальными нормативными актами определен порядок работы с обращениями и запросами субъектов персональных данных, а также порядок предоставления субъектам персональных данных информации, установленной законодательством РФ в области персональных данных.
9.2. Запросы субъектов предоставляются на бумажном носителе (при личном обращении Субъекта) или на электронную почту Оператораdenta-lux.orel@ya.ru.
9.3. Запрос должен содержать:
•         номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
•         сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
•         подпись субъекта персональных данных или его представителя.
9.4. Учет обращений (запросов) субъектов персональных данных ведется в Журнале учета обращений (запросов) субъектов персональных данных, составленном по форме, которая утверждается Руководителем Оператора.
9.5. Запрос также может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ.
9.6. Работники Медицинской организации не имеют право отвечать на вопросы, связанные с передачей или разглашением персональных данных по телефону в связи с тем, что в таком случае нет возможности идентифицировать личность обращающегося человека.
9.7. Сроки реагирования Оператора на запросы субъекта ПД установлены законодательствам, и составляют 10 рабочих дней с момента обращения или получения запроса, при этом Оператору необходимо:
- предоставить субъекту ПД информацию, касающуюся обработки его персональных данных (п. 7 ст. 14 Закона № 152-ФЗ); 
- предоставить возможность субъекту ознакомиться с его ПД, находящимися у Оператора, либо дать письменный отказ в предоставлении такой информации (ч. 1-2 ст. 20 Закона № 152-ФЗ);
-предоставить в Роскомнадзор запрошенные этим органом сведения (ч. 4 ст. 20 Закона № 152-ФЗ);
- прекратить обработку ПД по требованию субъекта ПД (п. 5.1. ст. 21 Закона № 152-ФЗ).
9.8. Ответы на письменные запросы субъектов персональных данных даются в письменной форме в объеме, обеспечивающем конфиденциальность персональных данных. Мотивированный отказ в предоставлении запрашиваемой информации направляется, если субъект персональных данных не обладает правами доступа к запрашиваемой информации или запрос не соответствует требованиям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
9.9. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 ФЗ о персональных данных, предоставляются Оператором субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя.
В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
9.10. Сведения по запросу, предоставляются субъекту персональных данных или его представителю Оператором в течение десяти рабочих дней с момента обращения либо получения Оператором запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
9.11. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями ФЗ о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
9.12. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 ФЗ о персональных данных, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
9.13. В случае если запрашиваемые сведения были предоставлены для ознакомления субъекту персональных данных по его запросу, он вправе обратиться повторно к Оператору или направить повторный запрос в целях получения этих сведений и ознакомления с ними не ранее чем через 30 дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных. До истечения этого срока субъект персональных данных вправе обратиться повторно к Оператору или направить повторный запрос в случае, если такие сведения и (или) обрабатываемые Персональных данных не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения.
Повторный запрос должен содержать обоснование направления повторного запроса.
9.14. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным п.8.3. настоящей Политики. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.
9.15. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
9.16. В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
9.17. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
9.18. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:
1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
9.19. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.
9.20. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.
9.21. В случае обращения субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных Оператор обязан в срок, не превышающий десяти рабочих дней с даты получения Оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона 152-ФЗ. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
9.22. В случае отсутствия возможности уничтожения персональных данных в течение срока, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
9.23. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
9.24. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
· иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
· Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
· иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.
 

10.  МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ

Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
1) определяет угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применяет организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применяет прошедшие в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценивает эффективность принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) ведет учет машинных носителей персональных данных;
6) принимает меры по обнаружению фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
7) восстанавливает персональные данные, модифицированные или уничтоженные вследствие несанкционированного доступа к ним;
8) устанавливает правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивает регистрацию и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9) ведет контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
10) назначает лиц, ответственных за организацию обработки Персональных данных;
11) издает локальные акты по вопросам обработки Персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
12) проводит ознакомление Работников, непосредственно осуществляющих обработку Персональных данных, с положениями законодательства Российской Федерации о Персональных данных, в т.ч. с требованиями к защите Персональных данных, локальными актами в отношении обработки Персональных данных и обучением указанных Работников;
13) организовывает обучение и проведение методической работы с Работниками, обрабатывающими Персональные данные;
14) разделяет Персональные данные, обрабатываемые без использования средств автоматизации, от иной информации, в частности путем их фиксации на отдельных материальных носителях Персональных данных, в специальных разделах.