ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ООО «СОНА ПЛЮС» (ИНН 2536069079, ОГРН 1022501279130)
Редакция от «02» июня 2025 г.

1. Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных пациентов, работников (далее - Политика) составлена в соответствии с п.2 ст.18.1 Федерального закона №152-ФЗ от 27.07.2006 года «О персональных данных» и является основополагающим внутренним регулирующим документом организации: ООО «СОНА ПЛЮС» и всех ее филиалах на территории Российской Федерации (далее - Организация или Оператор), определяющим ключевые направления его деятельности в области обработки и защиты персональных данных (далее - ПД), оператором которых является Организация.
1.2. Политика разработана в целях реализации требований законодательства в области обработки и защиты персональных данных, необходимых для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, направлена на обеспечение защиты прав и свобод человека и гражданина при обработке ПД в Организации, в том числе защиты прав на неприкосновенность частной жизни, личной, семейной и соблюдение врачебной тайны.
1.3. Положения Политики распространяются на отношения по обработке и защите ПД, полученных Организацией как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите ПД, полученных до ее утверждения.
1.4. Настоящая Политика Оператора в отношении обработки персональных данных применяется ко всей информации, которую Оператор может получить о посетителях веб-сайта: https://sona-plus.ru.
1.5. Обработка ПД в Организации осуществляется в связи с выполнением Организацией функций, предусмотренных ее учредительными документами, и определяемых:
- Федеральным законом от 21.11.2011 г. №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
- Федеральным законом от27.07.206 г. №152-ФЗ «О персональных данных» (далее – Федеральный закон о персональных данных);
- Постановлением Правительства РФ от01.11.2012г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Иными нормативными правовыми актами РФ.
1.6. Организация имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.
1.7. Использование Пользователем сайта означает согласие с настоящей Политикой и условиями обработки данных Пользователя. Оператор обрабатывает ПД Пользователя только в случае их заполнения и/или отправки Пользователем самостоятельно через специальные формы, расположенные на сайте https://sona-plus.ru. Заполняя соответствующие формы и/или отправляя свои персональные данные Оператору, Пользователь выражает свое согласие с данной Политикой.
1.8. В случае не согласия с условиями Политики Пользователь должен прекратить использование сайта.
1.9. Пользователь может получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Оператору с помощью электронной почты: sona-plus@mail.ru.
1.10. В Организации утверждены отдельные Положения о порядке обработки персональных данных работников, клиентов (пациентов) и контрагентов, с целью конкретизации цели, объема ПД и нюансов их обработки в зависимости от субъекта. Указанные Положения находятся по адресу: 690001, г. Владивосток, ул. Пионерская, д. 1, совместно с указанной Политикой.


1. Термины и принятые сокращения

Персональные данные (ПД) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие обработку персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Пользователь – любой посетитель веб-сайта https://sona-plus.ru.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
Информационная система персональных данных (ИСПДн) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
Пациент - физическое лицо, которому оказывается медицинская помощь или которое обратилось за оказанием медицинской помощи независимо от наличия у него заболевания или состояния;
Медицинская деятельность - профессиональная деятельность по оказанию медицинской помощи, проведению медицинских экспертиз, медицинских осмотров и медицинских освидетельствований, санитарно-противоэпидемических (профилактических) мероприятий;
Лечащий врач - врач, на которого возложены функции по организации и непосредственному оказанию пациенту медицинской помощи в период наблюдения за ним и его лечения;
Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу, совершается строго в порядке, установленном ст. 12 ФЗ Федерального закона №152-ФЗ от 27.07.2006 года «О персональных данных»;
«IP-адрес» - уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP;
«Cookie» - небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта.
«Яндекс.Метрика» - Сайт использует сервис аналитики Яндекс.Метрика, который получает данные посещения: IP-адрес, данные о браузере, операционной системе, сведения о действиях на сайте и др. Использование Яндекс.Метрики Администрацией сайта необходимо для анализа посещаемости, улучшения его функциональности, таргетинга рекламы.

2. Принципы обеспечения безопасности персональных данных

2.1. Основной задачей обеспечения безопасности ПД при их обработке в Организации является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения ПД, разрушения (уничтожения) или искажения их в процессе обработки;
2.2. Для обеспечения безопасности ПД Организация руководствуется следующими принципами:
- законность: защита ПД основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты ПД;
- системность: обработка ПД в Организации осуществляется с учетом всех взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности ПД;
- комплексность: защита ПД строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах Организации и других имеющихся в Организации систем и средств защиты;
- непрерывность: защита ПД обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки ПД, в том числе при проведении ремонтных и регламентных работ;
- своевременность: меры, обеспечивающие надлежащий уровень безопасности ПД принимаются до начала их обработки;
- преемственность и непрерывность совершенствования: модернизация и наращивание мер и средств защиты ПД осуществляется на основании результатов анализа практики обработки ПД в Организации с учетом выявления новых способов и средств реализации угроз безопасности ПД, отечественного и зарубежного опыта в сфере защиты информации;
- персональная ответственность: ответственность за обеспечение безопасности ПД возлагается на Работников в пределах их обязанностей, связанных с обработкой и защитой ПД;
- минимизация прав доступа: доступ к ПД предоставляется Работникам только в объеме, необходимом для выполнения их должностных обязанностей;
- гибкость: обеспечение выполнения функций защиты ПД при изменении характеристик функционирования информационных систем персональных данных Организации, а также объема и состава обрабатываемых ПД;
- специализация и профессионализм: реализация мер по обеспечению безопасности ПД осуществляются работниками, имеющими необходимые для этого квалификацию и опыт;
- эффективность процедур отбора кадров: кадровая политика Организации предусматривает тщательный отбор персонала и мотивацию Работников, позволяющую исключить или минимизировать возможность нарушения ими безопасности ПД;
- наблюдаемость и прозрачность: меры по обеспечению безопасности ПД должны быть спланированы так, чтобы результаты их применения были явно наблюдаемы (прозрачны) и могли быть оценены лицами, осуществляющими контроль;
- непрерывность контроля оценки: устанавливаются процедуры постоянного контроля использования систем обработки и защиты ПД, а результаты контроля регулярно анализируются.
2.3. В Организации не производится обработка ПД, несовместимая с целями их сбора. Если иное не предусмотрено федеральным законом, по окончании обработки ПД, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, обрабатываемые Организацией ПД уничтожаются или обезличиваются.
2.4. При обработке ПД обеспечивается их точность, достаточность, а при необходимости и актуальность по отношению к целям обработки. Организация принимает необходимые меры по удалению или уточнению не полных или неточных ПД.

3. Основные права и обязанности Организации (Оператора) и субъекта персональных данных

3.1. Основные права Организации:
3.1.1. самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством о персональных данных;
3.1.2. поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Организации, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством.
3.1.3. отказать субъекту персональных данных в предоставлении информации, если персональные данные получены Организацией от соответствующего оператора, которым субъект был уведомлен об обработке персональных данных, а также в случае, если персональные данные получены Организацией на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных либо предоставление субъекту персональных данных сведений, нарушает права и законные интересы третьих лиц;
3.1.4. обрабатывать персональные данные без согласия субъекта персональных данных, когда это необходимо для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
3.1.5. обрабатывать персональные данные без согласия субъекта персональных данных в случае осуществления такой обработки в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
3.1.6. в случае отзыва субъектом персональных данных согласия на обработку персональных данных Организация вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии законных оснований.
3.1.7. в случае утраты или разглашения конфиденциальной информации Оператор не несет ответственность, если данная информация стала публичным достоянием до ее утраты или разглашения, либо была разглашена с согласия Пользователя.
3.2. Основные обязанности Организации:
3.2.1. организовывать обработку персональных данных в соответствии с требованиями законодательства;
3.2.2. отвечать на обращения и запросы субъектов персональных данных и их законных представителей в установленный срок;
3.2.3. разъяснять субъекту персональных данных юридические последствия отказа предоставить персональные данные и (или) дать согласие на их обработку в случаях, когда в соответствии с законодательством предоставление персональных данных и (или) получение Организацией согласия на обработку персональных данных является обязательным;
3.2.4. не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством;
3.2.5. осуществлять трансграничную передачу данных в порядке и на условиях, предусмотренных законодательством;
3.2.6. в случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Организация обязана осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Организации) с момента такого обращения или получения указанного запроса на период проверки;
3.2.7. в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Организация обязана с момента самостоятельного выявления такого инцидента, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных;
3.2.8. при достижении цели обработки персональных данных Организация обязана в установленный законом срок прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Организации) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Организации); 3.2.9. уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, а в дальнейшем уведомлять об изменении указанных ранее сведений;
3.2.10. сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса.
3.3. Основные права субъекта персональных данных:
3.3.1. получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных законодательством. Сведения предоставляются субъекту персональных данных Организацией в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен законодательством;
3.3.2. требовать от Организации уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
3.3.3. обратиться в Организацию с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения;
3.3.4. выдвигать условие предварительного согласия при обработке персональных данных в целях продвижения на рынке товаров, работ и услуг;
3.4. Контроль за исполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных в Организации.
3.5. Ответственность Организации за нарушение требований законодательства в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации.

4. Объем и категория обрабатываемых персональных данных, категории субъектов персональных данных

4.1. Организация может обрабатывать персональные данные следующих категорий субъектов персональных данных.
4.1.1. Кандидаты на вакантные должности, открытые в Организации:
- фамилия, имя, отчество;
- пол;
- гражданство;
- дата и место рождения;
- контактная информация;
- сведения об образовании, опыте работы, квалификации;
- иные персональные данные, сообщаемые кандидатами в резюме, в том числе на сайтах по поиску работы, и сопроводительных письмах.
4.1.2. Работники и бывшие работники Организации:
- фамилия, имя, отчество;
- пол;
- гражданство;
- дата и место рождения;
- паспортные данные;
- адрес регистрации и фактического проживания;
- контактная информация;
- банковские реквизиты;
- индивидуальный номер налогоплательщика;
- страховой номер индивидуального лицевого счета (СНИЛС);
- сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации;
- семейное положение;
- сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий;
- данные о регистрации брака при смене фамилии работником;
- сведения о воинском учете; • сведения об инвалидности;
- сведения об удержании алиментов;
- иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового, налогового, пенсионного и другого применимого законодательства.
4.1.3. Пациенты Организации:
- фамилия, имя, отчество;
- дата и место рождения;
- паспортные данные;
- адрес регистрации и фактического проживания;
- контактная информация;
- банковские реквизиты в случае перечисления денежных средств;
- сведения о состоянии здоровья;
- данные полиса медицинского страхования;
- индивидуальный номер налогоплательщика;
- иные персональные данные, предоставляемые пациентами, необходимые для заключения и исполнения договора.
4.1.4. Представители пациентов, заказчики по договорам:
- фамилия, имя, отчество;
- паспортные данные;
- адрес регистрации и фактического проживания;
- контактная информация;
- банковские реквизиты в случае перечисления денежных средств;
- индивидуальный номер налогоплательщика;
- иные персональные данные, предоставляемые представителями и заказчиками, необходимые для заключения и исполнения договора.
4.1.5. Контрагенты Организации (физические лица):
- фамилия, имя, отчество;
- паспортные данные;
- адрес регистрации и фактического проживания; • контактная информация; • банковские реквизиты;
- индивидуальный номер налогоплательщика;
-иные персональные данные, предоставляемые контрагентами, необходимые для заключения и исполнения договора.
4.1.6. Представители контрагентов Организации (юридических лиц):
- фамилия, имя, отчество;
- паспортные данные
- адрес регистрации и фактического проживания;
- контактная информация;
- занимаемая должность;
- иные персональные данные, предоставляемые представителями, необходимые для заключения и исполнения договора.
4.2. Обработка специальной категории персональных данных и биометрических персональных данных осуществляется только в объеме сведений о состоянии здоровья в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг.
4.3. Оператор обрабатывает обезличенные данные о Пользователе в случае, если это разрешено в настройках браузера Пользователя (включено сохранение файлов «cookie» и использование технологии JavaScript).

5. Цели сбора персональных данных

5.1. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
5.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5.3. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Организация должна принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
5.4. Цели обработки ПД:
5.4.1. обеспечение организации оказания медицинской помощи населению, а также наиболее полного исполнения обязательств и компетенций в соответствии с Федеральными законами от 21.11.2011 г. №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», от 29.11.2010 г. №326-ФЗ «Об обязательном медицинском страховании граждан в Российской Федерации», Постановлением Правительства Российской Федерации от 04.10.2012 г. №1006 «Правила предоставления медицинскими организациями платных медицинских услуг», соблюдение Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;
5.4.2. осуществление уставной деятельности Организации;
5.4.3. осуществление трудовых отношений;
5.4.4. осуществление гражданско-правовых отношений;
5.4.5. соблюдение требований трудового, включая ведение кадрового делопроизводства, налогового, пенсионного законодательства;
5.4.6. содействие работникам в трудоустройстве, получении образования, продвижении по службе и на рынке оказания услуг, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества;
5.4.7. выполнение требований законодательства в части размещения информации о работниках на официальном веб-сайте Организации в информационно-телекоммуникационной сети Интернет;
5.4.8. привлечение и отбор кандидатов на работу в Организацию;
5.4.9. организация постановки на индивидуальный (персонифицированный) учет работника в системе обязательного пенсионного страхования;
5.4.10. заполнение и передача в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;
5.4.11. выполнения требований законодательства в сфере охраны здоровья граждан;
5.4.12. оформление пациентами социального вычета по расходам на лечение;
5.4.13. исполнение договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
5.4.14. информирование пациентов и третьих лиц об услугах и акциях Организации;
5.4.15. оформление клубных карт и подарочных сертификатов;
5.4.16. осуществление коммуникации с Организацией посредством телефона, СМС, мессенджеров, социальных сетей, веб-сайта Организации в информационно-телекоммуникационной сети Интернет и официального программного обеспечения, в том числе:
- запись на прием;
- оплата услуг;
- оставление отзывов и предложений.
5.4.17. предоставление сведений о пациенте и оказываемых ему медицинских услугах страховой компании, физическому или юридическому лицу, выполняющему функции заказчика по договору и\или являющемуся плательщиком;
5.4.18. предоставление сведений о медицинской помощи другим медицинским организациям в интересах обследования и лечения пациента;
5.4.19. при наличии спора предоставление сведений судам и специализированным государственным учреждениям;
5.4.20. ведение бухгалтерского учета;
5.4.21. осуществление пропускного режима.
5.5. Полный список ПД представлен в Положениях об обработке ПД работников и пациентов, утвержденных главным врачом Организации.

6. Правовые основания обработки персональных данных

6.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Организация осуществляет обработку персональных данных, в том числе:
- Конституция Российской Федерации;
- Федеральный закон от 21.11.2011 г. N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации";
- Гражданский кодекс Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Федеральный закон от 08.02.1998 N 14-ФЗ "Об обществах с ограниченной ответственностью";
- Федеральный закон от 06.12.2011 N 402-ФЗ "О бухгалтерском учете";
- Федеральный закон от 15.12.2001 N 167-ФЗ "Об обязательном пенсионном страховании в Российской Федерации";
- Федеральный закон от 1 апреля 1996 г. N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования";
- Федеральный закон от 16 июля 1999 г. N 165-ФЗ "Об основах обязательного социального страхования";
- Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
- Федеральный закон от 22 октября 2004 г. N 125-ФЗ "Об архивном деле в Российской Федерации";
- Постановление Правительства РФ от 4 октября 2012 г. N 1006 "Об утверждении Правил предоставления медицинскими организациями платных медицинских услуг";
- Приказ Министерства здравоохранения РФ от 30 декабря 2014 г. N 956н "Об информации, необходимой для проведения независимой оценки качества оказания услуг медицинскими организациями, и требованиях к содержанию и форме предоставления информации о деятельности медицинских организаций, размещаемой на официальных сайтах Министерства здравоохранения Российской Федерации, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и медицинских организаций в информационно-телекоммуникационной сети "Интернет";
- Приказ Министерства здравоохранения РФ от 15 декабря 2014 г. N 834н "Об утверждении унифицированных форм медицинской документации, используемых в медицинских организациях, оказывающих медицинскую помощь в амбулаторных условиях, и порядков по их заполнению";
- Приказ Минздрава СССР от 4 октября 1980 г. N 1030 "Об утверждении форм первичной медицинской документации учреждений здравоохранения"; • иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Компании.
6.2. Правовым основанием обработки персональных данных также являются:
- устав Организации;
- локальные нормативные акты;
- договоры, заключаемые между Организацией, субъектами персональных данных, третьими лицами;
- согласие субъектов персональных данных на обработку их персональных данных.

7. Порядок и условия обработки персональных данных

7.1. Обработка персональных данных осуществляется Организацией в соответствии с требованиями законодательства Российской Федерации.
7.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без согласия в случаях, предусмотренных законодательством Российской Федерации, в частности, когда обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
7.3. Организация может осуществлять как автоматизированную, так и неавтоматизированную обработку персональных данных.
7.4. К обработке персональных данных допускаются работники Организации, в должностные обязанности которых входит обработка соответствующих категорий персональных данных.
7.5. Организация при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
7.6. Организация получает персональные данные в устной и письменной форме непосредственно от субъектов персональных данных, из общедоступных источников либо от других операторов персональных данных.
7.7. Организация вносит персональные данные работников в трудовой договор, дополнения и приложения к нему, иные документы, предусмотренные трудовым законодательством, в том числе унифицированными формами первичной учетной документации по учету труда и его оплате, налоговым, пенсионным законодательством, а также в информационные системы Организация для достижения целей, предусмотренных настоящей Политикой.
7.8. Организация вносит персональные данные пациентов в договор на оказание медицинских услуг, дополнения и приложения к нему, иные документы предусмотренные гражданским, налоговым законодательством, в медицинские документы, предусмотренные законодательством в сфере охраны здоровья граждан, в клубные карты и подарочные сертификаты, а также в информационные системы Организации для достижения целей, предусмотренных настоящей Политикой.
7.9. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
7.10. Передача персональных данных органам дознания и следствия, в суд, Федеральную налоговую службу, Пенсионный фонд Российской Федерации, Фонд социального страхования и другие уполномоченные органы исполнительной власти осуществляется в соответствии с требованиями законодательства Российской Федерации.
7.11. Организация принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе: - определяет угрозы безопасности персональных данных при их обработке;
- принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
- назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Организации;
- создает необходимые условия для работы с персональными данными;
- организует учет документов, содержащих персональные данные;
- организует работу с информационными системами, в которых обрабатываются персональные данные;
- хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
- принимает иные необходимые меры.
7.12. Организация осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
7.13. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Организация обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в законе.
7.14. Документы, содержащие персональные данные создаются путем:
- копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, СНИЛС и др.);
- внесения сведений в учетные формы;
- получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.).
7.15. Обработка специальных категорий персональных данных без получения согласия пациента для медицинской организации возможна в следующих случаях:
- обработка персональных данных для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
- обработка персональных данных в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну (пункт 4 части 2 статьи 10 Федерального закона о персональных данных).
7.16. Доступ Работников к обрабатываемым ПД осуществляется в соответствии с их должностными обязанностями и требованиями внутренних регулятивных документов Организации. Допущенные к обработке персональных данных Работники под роспись знакомятся с документами Организации, устанавливающими порядок обработки ПД, включая документы, устанавливающие права и обязанности конкретных Работников. Организацией производится устранение выявленных нарушений законодательства об обработке и защите ПД.

8. Актуализация, исправление, хранение и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

8.1. Подтверждение факта обработки персональных данных Организацией, правовые основания и цели обработки персональных данных, а также иные указанные в законе сведения предоставляются Организацией субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя. В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
8.2. Запрос должен содержать:
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие субъекта персональных данных в отношениях с Организацией (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Организацией;
- подпись субъекта персональных данных или его представителя.
8.3. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
8.4. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
8.5. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с требованиями законодательства, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
8.6. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Организация осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
8.7. В случае подтверждения факта неточности персональных данных Организацией на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
8.8. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Организация осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.
8.9. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- иное не предусмотрено другим соглашением между Организацией и субъектом персональных данных;
- Организация не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных законодательством.
8.10. ПД субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение, как на бумажных носителях, так и в электронном виде.
8.11. ПД, зафиксированные на бумажных носителях, хранятся в запираемом помещении с ограниченным правом доступа (регистратура, кабинет отдела кадров, кабинет статистики), в запираемых шкафах.
8.12. ПД субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках (вкладках).
8.13. Не допускается хранение и размещение документов, содержащих ПД, в открытых электронных каталогах (файлообменниках) в ИСПД.
8.14. Хранение ПД в форме, позволяющей определить субъекта ПД, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
8.15. Уничтожение документов (носителей), содержащих ПД производится путём сожжения, дробления (измельчения), превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
8.16. ПД на электронных носителях уничтожаются путем стирания или форматирования носителя.
8.17. Уничтожение производится комиссией. Факт уничтожения ПД подтверждается документально актом об уничтожении носителей, подписанным членами комиссии.

9. Защита персональных данных

9.1. В соответствии с требованиями нормативных документов Организацией создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.
9.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.
9.3. Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами, защиты информации в открытой печати, публикаторской и рекламной деятельности, аналитической работы.
9.4. Подсистема технической защиты включает в себя комплекс технических, программных программно-аппаратных средств, обеспечивающих защиту ПД.
9.5. Основными мерами защиты ПД, используемыми Организацией являются:
9.5.1. Назначение лица ответственного за обработку ПД, которое осуществляет организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите ПД;
9.5.2. Определение актуальных угроз безопасности ПД при их обработке в ИСПД, и разработка мер и мероприятий по защите ПД;
9.5.3. Разработка политики в отношении обработки ПД.
9.5.4. Установление прав доступа к ПД, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в ИСПД.
9.5.5. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.
9.5.6. Применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации, учет машинных носителей ПД, обеспечение их сохранности.
9.5.7. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
9.5.8. Сертифицированное программное средство защиты информации от несанкционированного доступа.
9.5.9. Сертифицированный межсетевой экран и средство обнаружения вторжения.
9.5.10. Соблюдение условий, обеспечивающих сохранность ПД и исключающие несанкционированный к ним доступ, оценка эффективности принимаемых мер по обеспечению безопасности ПД.
9.5.11 Установление правил доступа к обрабатываемым ПД, обеспечение регистрации и учета действий совершаемых с ПД, а также обнаружение фактов несанкционированного доступа к персональным данным и принятия мер.
9.5.12. Восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
9.5.13. Обучение работников Организации непосредственно осуществляющих обработку персональных данных, положениям Законодательства РФ о персональных данных, в том числе, требованиям к защите ПД, документам, определяющим политику Организации в отношении обработки ПД, локальным актам по вопросам обработки ПД.
9.5.14. Осуществление внутреннего контроля и аудита.

10. Опубликование сведений о медицинской деятельности и о медицинских работниках

10.1. Согласно пункту 7 части 1 статьи 79 Федерального закона от 21.11.2011 г. №323-ФЗ «Об основах охраны здоровья граждан в РФ» медицинская организация обязана информировать граждан в доступной форме, в том числе с использованием сети «Интернет», об осуществляемой медицинской деятельности и о медицинских работниках медицинских организаций, об уровне их образования и об их квалификации, а также предоставлять иную необходимую информацию для проведения независимой оценки качества оказания услуг медицинскими организациями информацию. Во исключение данной правовой нормы приказом Минздрава России от 30.12.2014 №956н утверждены требования к содержанию и форме предоставления информации о деятельности медицинских организаций, размещаемой на официальных сайтах Министерства здравоохранения Российской Федерации, органов государственной власти субъектов Российской федерации, органов местного самоуправления и медицинских организаций в информационно-телекоммуникационной сети "Интернет". Обработка персональных данных лиц, не предусмотренных данным правовым актом, а также обработка категорий персональных данных в объеме, превышающем объем, определенный приказом, возможен только с согласия субъекта персональных данных.

11. Анонимное использование Сайта

11.1. Пользователь может посетить Сайт, оставаясь анонимом и не раскрывая своих персональных данных. При первом посещении Сайт спросит согласие на размещение файлов cookie на устройстве Пользователя и на отслеживание его поведения при пользовании Сайтом.
11.2. При несогласии Пользователя с вышеописанной практикой возможно отказаться (не давать согласие). Каждый браузер уникален, поэтому необходимо обратиться к функции «Помощь» браузера Пользователя, чтобы узнать, как настроить работу с файлами «cookie».
11.3. Любые личные данные, полученные Сайтом в анонимной форме (т.е. в неидентифицируемой с конкретной личностью форме, не позволяющей делать какие-либо выводы относительно личности Пользователя) используются для статистических целей и для внутренней оценки на предмет улучшения продуктов и услуг Владельца Сайта. Данные не будут обрабатываться для каких-либо других целей или вне сферы действия настоящей Политики конфиденциальности, за исключением тех случаев, когда это прямо разрешено или требуется применимым законодательством.
11.4. Большинство браузеров изначально настроены на прием файлов cookie. Пользователь может изменить настройки браузера на конкретном устройстве: полный отказ от файлов cookie, удаление с устройства имеющихся файлов cookie или получение предупреждения перед размещением файла cookie. Отказ от приема файлов cookie может повлиять на удобство пользования Сайтом, отдельные функции и услуги будут недоступны Пользователю.
11.5. При использовании разных устройств (смартфон, планшет, компьютер и т.д.) необходимо произвести настройку браузера каждого устройства.

12. Информация о «cookie»

12.1. Файл «cookie» небольшой фрагмент данных, среди которых часто содержится уникальный анонимный идентификатор, отправленный веб-сервером и хранимый на жестком диске устройства Пользователя. Веб-клиент (обычно веб-браузер) всякий раз при попытке открыть страницу сайта пересылает этот фрагмент данных веб-серверу в составе HTTP-запроса.
12.2. Файлы «cookie» широко используются владельцами сайтов для обеспечения работы сайтов или повышения эффективности работы, а также для получения аналитической информации.
12.3. Некоторый контент или приложения на Сайте, включая рекламу, могут обслуживаться независимыми третьими лицами. Они могут размещать файлы «cookie» на устройстве Пользователя в собственных целях. Сайт не контролирует применяемые этими третьими лицами технологии отслеживания или то, каким образом они могут использоваться, и не несет ответственности за любые действия или политики третьих лиц. Предотвратить размещение таких сторонних файлов «cookie» и отслеживание с их помощью, можно соответствующим образом отрегулировав или изменив настройки своего браузера. За дополнительной информацией Пользователю необходимо обратиться к инструкциям своего браузера.
12.4. При посещении страницы с контентом, вставленным, например с веб-сайтов YouTube или Vimeo, данные поставщики услуг могут создавать собственные «cookie»-файлы в браузере Пользователя. Сайт не контролирует использование этих «cookie»-файлов и не может получить к ним доступ в силу особенностей работы «cookie»-файлов — доступ к ним имеет лишь та сторона, которая создавала их изначально. Более подробная информация об этих «cookie»-файлах размещена на веб-сайтах третьих сторон.
12.5. Файлы «cookie» используются в различных целях в том числе, чтобы:
- облегчить Владельцу Сайта получение информации о посещениях Пользователями Сайта.
- анализировать обобщенную и другую информацию, не связанную с идентификацией отдельных Пользователей (например, об операционной системе, версии браузера и URL-адресе, с которого выполнен переход на данную страницу Сайта, в том числе из электронного письма или объявления).
- анализировать информацию о посещении страниц Пользователями для совершенствования Сайта, маршрутов посещения Сайтов.
- помогать Пользователю в получении необходимой информации.
- предоставлять персонализированный контент, ориентированный на интересы Пользователей.
- определять количество посетителей и то, как они используют Сайт, для повышения эффективности Сайта и для наилучшего понимания интересов аудитории Сайта.
12.6. Сайт не использует программы для сбора персональных данных или IP-адресов отдельных лиц. Данные используются исключительно анонимным образом в сводной форме в статистических целях, а также для разработки Сайта. Сайт не создает индивидуальный профиль действий Пользователей в интернете. Содержимое постоянных cookie-файлов ограничивается идентификационным номером.