Политика в отношении обработки персональных данных

Политика обработки и защиты персональных данных
в ООО «Дуэт Клиник»

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящее Положение разработано на основании:

• Конституции Российской Федерации;
• Трудового кодекса Российской Федерации;
• Гражданского кодекса Российской Федерации;
• Федерального закона от 19.12.2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
• Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
• Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных Постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119;
• Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687;
• Приказа Федеральной службы по техническому и экспортному контролю от 18.02.2013 г. № 21 «Об утверждении состава и содержания организационных и технологических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
• Постановления Правительства Российской Федерации от 06.07.2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».

1.2. Настоящее положение разработано в ООО «Дуэт Клиник» в соответствии с пп. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 г. N 152-ФЗ «О персональных данных».

1.3. Настоящее Положение определяет политику, порядок и условия в отношении обработки персональных данных, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой персональных данных.

1.4. Целями настоящего Положения являются:

• обеспечение соответствия действующему законодательству Российской Федерации действий работников оператора, направленных на обработку персональных данных работников, пациентов, соискателей на вакантные должности в ООО «Дуэт Клиник»;
• обеспечение защиты персональных данных от несанкционированного доступа, утраты, неправомерного их использования или распространения;
• защита прав и свобод человека и гражданина при обработке его персональных данных, в том числе защита прав на неприкосновенность частной жизни, личную и семейную тайну.

1.5. Задачами настоящего Положения являются:

• определение принципов, порядка обработки персональных данных;
• определение условий обработки персональных данных, способов защиты персональных данных;
• определение прав и обязанностей оператора и субъектов персональных данных при обработке персональных данных.

1.6. Обработка персональных данных должна осуществляться на основе следующих принципов:

• обработка персональных данных должна осуществляться на законной и справедливой основе;
• обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
• не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• обработке подлежат только персональные данные, которые отвечают целям их обработки;
• содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
• при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Сотрудники Клиники должны принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
• хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

1.7. В отношении сведений о субъектах персональных данных, позволяющих идентифицировать его личность, за исключением обезличенных и общедоступных персональных данных, в установленных федеральными законами случаях, должна обеспечиваться конфиденциальность таких сведений.

1.8. Защита персональных данных субъектов персональных данных от неправомерного их использования или утраты должна быть обеспечена оператором за счет его средств в порядке, установленном законодательством Российской Федерации.

1.9. Положение является обязательным для исполнения всеми работниками оператора, имеющими доступ к персональным данным.

1.10. Настоящее Положение не распространяется на отношения, возникающие при:

• организации хранения, комплектования, учета и использования содержащих персональные данные архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
• обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

1.11. В случаях, не указанных в настоящем Положении, следует руководствоваться действующими федеральными законами и нормативными правовыми актами Российской Федерации, регулирующими порядок обработки персональных данных.

1.12. Настоящее Положение вступает в силу с момента его утверждения главным врачом ООО «Дуэт Клиник» и действует бессрочно, до замены его новым Положением.

1.13.Все работники ООО «Дуэт Клиник» должны быть ознакомлены с настоящим Положением под роспись.

2. ОСНОВНЫЕ ПОНЯТИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

Для целей настоящего Положения используются следующие основные понятия:

персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);

оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

врачебная тайна — соблюдение конфиденциальности информации о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иных сведений, полученных при его обследовании и лечении;

документированная информация — зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель;

документы, содержащие персональные сведения пациента — формы медицинской и иной учетно-отчетной документации, включающие сведения о персональных данных;

информация — сведения (сообщения, данные) независимо от формы их представления;

конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения и не раскрывать третьим лицам персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;

общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;

пациент — физическое лицо (субъект), обратившееся в ООО «Дуэт Клиник» с целью получения медицинских услуг;

работник — физическое лицо, вступившее в трудовые отношения с работодателем ООО «Дуэт Клиник»;

соискатель вакантной должности ООО «Дуэт Клиник» — лицо, ищущее работу;

субъекты персональных данных — работники, пациенты и соискатели вакантных должностей ООО «Дуэт Клиник».

3. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Права субъектов персональных данных.

3.1.1. Субъекты персональных данных имеют право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

• подтверждение факта обработки персональных данных оператором;
• правовые основания и цели обработки персональных данных;
• цели и применяемые оператором способы обработки персональных данных;
• наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или федерального закона;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
• информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных»;
• иные сведения, предусмотренные федеральными законами.

3.1.2. Субъекты персональных данных имеют право требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также применять предусмотренные законом меры по защите своих прав.

3.1.3. Субъекты персональных данных имеют право доступа к своим персональным данным.

Сведения, указанные в п. 3.1.1. настоящего положения, предоставляются субъекту персональных данных или его представителю при личном обращении либо при получении запроса субъекта персональных данных или его представителя.

Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Клиникой (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя.

Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

В случае, если сведения, указанные в п. 3.1.1. настоящего положения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в п. 3.1.1. настоящего положения, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в п.3.1.1. настоящего положения, а также в целях ознакомления с обрабатываемыми персональными данными до истечения тридцатидневного срока, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения.

Повторный запрос наряду со сведениями, указанными в третьем абзаце настоящего пункта, должен содержать обоснование направления повторного запроса.

3.1.4. Субъекты персональных данных имеют право на обжалование действий или бездействий оператора в порядке, установленном действующим законодательством Российской Федерации.

3.1.5. Субъекты персональных данных имеют право определять своих представителей для защиты своих персональных данных.

3.1.6. Работник, как субъект персональных данных, имеет право на доступ к медицинской документации, отражающей состояние его здоровья.

3.1.7. Работник, как субъект персональных данных, имеет право дополнить персональные данные путем направления в адрес оператора заявления, содержащим собственную точку зрения работника.

3.1.8. Работник, как субъект персональных данных, имеет право требовать об извещении оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях.

3.1.9. Субъекты персональных данных имеют право отозвать свое согласие на обработку персональных данных посредством составления письменного заявления, которое будет вручено представителю оператора или направлено в адрес оператора по почте заказным письмом с уведомлением о вручении.

3.1.10. Субъекты персональных данных имеют иные права в соответствии с действующим законодательством Российской Федерации.

3.2. Обязанности субъектов персональных данных.

3.2.1. Предоставлять оператору достоверную информацию.

3.2.2. В случае изменения персональных данных незамедлительно сообщить об этом оператору.

4. ОБЯЗАННОСТИ ОПЕРАТОРА ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Обязанности оператора персональных данных.

4.1.1. Предоставить субъекту персональных данных по его просьбе информацию, предусмотренную п. 3.1.1. настоящего положения.

4.1.2. Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные, если предоставление персональных данных является обязательным в соответствии с федеральным законом.

4.1.3. Выполнять обязанности, предусмотренные п. 5.2.3. и п. 7.2.4. настоящего положения.

4.1.4. Выполнять иные обязанности, установленные действующим законодательством Российской Федерации.

5. ПЕРСОНАЛЬНЫЕ ДАННЫЕ РАБОТНИКОВ ООО «Дуэт Клиник»

Работодатель проводит смешанную обработку ПД работника как в информационных системах с использованием средств автоматизации, так и на бумажных носителях без использования средств автоматизации, обеспечивает их защиту с учетом определенного типа угроз безопасности и уровня защищенности персональных данных в следующих целях:

1. Содействие в трудоустройстве, исполнение прав и обязанностей по трудовому договору, формирования личного дела

Категория персональных данных	Перечень персональных данных	Категория работников	Способы обработки	Срок обработки	Срок хранения	Порядок уничтожения персональных данных
общие, специальные и биометрические персональные данные	— фамилия, имя, отчество; — год, месяц, дата рождения; — место рождения; — адрес; — семейное положение; — образование; — профессия; — социальное положение; — доходы; — расовая, национальная принадлежности; — состояние здоровья; — сведения о судимости; — фото; — видео; — отпечатки пальцев.	Все работники	смешанная обработка персональных данных	До увольнения из организации	50 лет с 1 января года следующего за годом, в котором работник уволился	Согласно действующего на день уничтожения положения

2. Обучения и продвижения по службе, прохождения конкурсного отбора

Категория персональных данных	Перечень персональных данных	Категория работников	Способы обработки	Срок обработки	Срок хранения	Порядок уничтожения персональных данных
Общие персональные данные	— фамилия, имя, отчество; — год, месяц, дата рождения; — место рождения; — адрес; — семейное положение; — образование; — профессия; — социальное положение	Все работники	смешанная обработка персональных данных	До увольнения из организации	50 лет с 1 января года следующего за годом, в котором работник уволился	Согласно действующего на день уничтожения положения

3. Обеспечения личной безопасности, контроля количества и качества выполняемой работы и обеспечения сохранности имущества

Категория персональных данных	Перечень персональных данных	Категория работников	Способы обработки	Срок обработки	Срок хранения	Порядок уничтожения персональных данных
общие, специальные и биометрические персональные данные	— фамилия, имя, отчество; — образование; — профессия; — специальность; — подразделение; — фото и видеозаписи	Все работники	неавтоматизированная обработка персональных данных	До увольнения из организации	5 лет с 1 января года следующего за годом, в котором работник уволился. Аудио и видеозаписи хранятся не более 3 месяцев	Уничтожение путем стирания

4. Оформления доверенностей и иных документов

Категория персональных данных	Перечень персональных данных	Категория работников	Способы обработки	Срок обработки	Срок хранения	Порядок уничтожения персональных данных
Общие и специальные персональные данные	— фамилия, имя, отчество; — год, месяц, дата рождения; — место рождения; — адрес прописки; — данные паспорта.	Все работники	смешанная обработка персональных данных	До истечения срока действия доверенности	5 лет После истечения срока действия доверенности или ее отзыва	Уничтожение путем разрезания в шредере

5. Начисления заработной платы, исчисления и уплаты, предусмотренных законодательством Российской Федерации налогов, сборов и взносов на обязательное социальное и пенсионное страхование

Категория персональных данных	Перечень персональных данных	Категория работников	Способы обработки	Срок обработки	Срок хранения	Порядок уничтожения персональных данных
Общие и специальные персональные данные	— фамилия, имя, отчество; — год, месяц, дата рождения; — данные СНИЛС; — адрес; — доходы; — номер ИНН; — пол; — гражданство; — паспортные данные; — данные банковских реквизитов; — пол.	Все работники	смешанная обработка персональных данных	До окончания срока хранения	50 лет с 1 января года следующего за годом, в котором сдана отчетность	Согласно действующего на день уничтожения положения

6. Представления Работодателем установленной законодательством отчетности, в том числе сведений персонифицированного учета в ПФР, сведений подоходного налога в ИФНС, сведений в ФСС

Категория персональных данных	Перечень персональных данных	Категория работников	Способы обработки	Срок обработки	Срок хранения	Порядок уничтожения персональных данных
Общие персональные данные	— фамилия, имя, отчество; — год, месяц, дата рождения; — данные СНИЛС; — адрес; — доходы; — номер ИНН; — пол; — номер телефона; — гражданство; — паспортные данные; — данные банковских реквизитов; — пол.	Все работники	смешанная обработка персональных данных	До окончания срока хранения	50 лет с 1 января года следующего за годом, в котором сдана отчетность	Согласно действующего на день уничтожения положения

7. Расчета страхового стажа на оплату листов нетрудоспособности.

Категория персональных данных	Перечень персональных данных	Категория работников	Способы обработки	Срок обработки	Срок хранения	Порядок уничтожения персональных данных
Общие персональные данные	— фамилия, имя, отчество; — год, месяц, дата рождения; — данные СНИЛС; — адрес; — должность; — доходы; — номер ИНН; — пол; — номер телефона; — паспортные данные; — данные банковских реквизитов.	Все работники	смешанная обработка персональных данных	До окончания срока хранения	50 лет с 1 января года следующего за годом, в котором сдана отчетность	Согласно действующего на день уничтожения положения

8. Предоставления сведения в банк для оформления банковской карты и перечисления заработной платы на карту Работника

Категория персональных данных	Перечень персональных данных	Категория работников	Способы обработки	Срок обработки	Срок хранения	Порядок уничтожения персональных данных
Общие персональные данные	— фамилия, имя, отчество; — год, месяц, дата рождения; — данные СНИЛС; — место рождения; — адрес; — должность; — доходы; — номер ИНН; — пол; — номер телефона; — паспортные данные; — данные банковских реквизитов.	Все работники	автоматизированная обработка персональных данных	До увольнения из организации	3 года с 1 января года следующего за годом, в котором работник уволился	Согласно действующего на день уничтожения положения

9. Предоставления информации в военные комиссариаты (в случае если Работник является военнообязанным лицом)

Категория персональных данных	Перечень персональных данных	Категория работников	Способы обработки	Срок обработки	Срок хранения	Порядок уничтожения персональных данных
общие, специальные и биометрические персональные данные	— Ф.И.О.; — дата рождения, место рождения; — гражданство; — образование, в том числе послевузовское, профессия; — сведения о профессиональной переподготовке, о повышенной квалификации; — сведения о семейном положении; — сведения о составе семьи (ФИО, год рождения); — паспортные данные; — сведения о воинском учете; — данные о приеме на работу, переводах, структурное подразделение; — сведения о регистрации в Пенсионном фонде (номер страхового свидетельства); — сведения о постановке на налоговый учет; — сведения о банковских счетах, картах для перечисления заработной платы; — сведения о месте фактического жительства, адрес по паспорту; — контактные телефоны.	Все работники	смешанная обработка персональных данных	До увольнения из организации	50 лет с 1 января года следующего за годом, в котором поданы сведения	Согласно действующего на день уничтожения положения

10. Предоставления информации в медицинские организации/учреждения здравоохранения для проведения медицинских осмотров (обследований)

Категория персональных данных	Перечень персональных данных	Категория работников	Способы обработки	Срок обработки	Срок хранения	Порядок уничтожения персональных данных
Общие и специальные персональные данные	— фамилия, имя, отчество; — год, месяц, дата рождения; — место рождения; — адрес; — должность; — подразделение; — вредность; — состояние здоровья.	Все работники	смешанная обработка персональных данных	До прохождения нового медицинского осмотра	50 лет с 1 января года следующего за годом, в котором поданы сведения	Согласно действующего на день уничтожения положения

11. Внесения в бухгалтерские и иные информационные системы (базы) Общества

Категория персональных данных	Перечень персональных данных	Категория работников	Способы обработки	Срок обработки	Срок хранения	Порядок уничтожения персональных данных
Общие персональные данные	— Ф.И.О.; — дата рождения, место рождения; — гражданство; — образование, в том числе послевузовское, профессия; — сведения о профессиональной переподготовке, о повышенной квалификации; — стаж работы; — сведения о семейном положении; — сведения о составе семьи (ФИО, дата рождения, контактный телефон); — паспортные данные; — сведения о воинском учете; — данные о приеме на работу, переводах, отпусках, данные трудового договора; — сведения об аккредитации, аттестации; — сведения о регистрации в Пенсионном фонде (номер страхового свидетельства); — сведения о постановке на налоговый учет; — сведения о банковских счетах, картах для перечисления заработной платы; — сведения о месте фактического жительства, адрес по паспорту; — контактные телефоны, адреса электронной почты; — сведения о наградах(поощрениях, почетные звания).	Все работники	автоматизированная обработка персональных данных	До увольнения из организации	50 лет с 1 января года следующего за годом, в котором поданы сведения	Согласно действующего на день уничтожения положения

12. Отражения персональных данных в кадровых документах (в частности личной карточке работника Т-2, приказах и пр.)

Категория персональных данных	Перечень персональных данных	Категория работников	Способы обработки	Срок обработки	Срок хранения	Порядок уничтожения персональных данных
Общие и специальные персональные данные	— Ф.И.О.; — дата рождения, место рождения; — гражданство; — образование, в том числе послевузовское, профессия; — сведения о профессиональной переподготовке, о повышенной квалификации; — стаж работы; — сведения о семейном положении; — сведения о составе семьи (ФИО, дата рождения, контактный телефон); — паспортные данные; — сведения о воинском учете; — данные о приеме на работу, переводах, отпусках, данные трудового договора; — сведения об аккредитации, аттестации; — сведения о регистрации в Пенсионном фонде (номер страхового свидетельства); — сведения о постановке на налоговый учет; — сведения о банковских счетах, картах для перечисления заработной платы; — сведения о месте фактического жительства, адрес по паспорту; — контактные телефоны, адреса электронной почты; — сведения о наградах(поощрениях, почетные звания).	Все работники	смешанная обработка персональных данных	До увольнения из организации	50 лет с 1 января года следующего за годом, в котором поданы сведения	Согласно действующего на день уничтожения положения

13. Предоставления льгот и гарантий, установленных действующим законодательством (при наличии права на получение соответствующих льгот/гарантий)

Категория персональных данных	Перечень персональных данных	Категория работников	Способы обработки	Срок обработки	Срок хранения	Порядок уничтожения персональных данных
Общие и специальные персональные данные	— Ф.И.О.; — дата рождения, место рождения; — должность; — подразделение; — данные о приеме на работу, данные трудового договора; — состояние здоровья; — удостоверения принадлежности к категории граждан, имеющих право.	Все работники	смешанная обработка персональных данных	До увольнения из организации	50 лет с 1 января года следующего за годом, в котором поданы сведения	Согласно действующего на день уничтожения положения

14. Предоставления налоговых вычетов

Категория персональных данных	Перечень персональных данных	Категория работников	Способы обработки	Срок обработки	Срок хранения	Порядок уничтожения персональных данных
Общие и специальные персональные данные	— Ф.И.О.; — дата рождения, место рождения; — должность; — доход, размер налогов уплаченных в бюджет (документ подтверждающий произведенные расходы); — данные о приеме на работу; — сведения о составе семьи (ФИО, дата рождения, данные свидетельства о рождении, справка из образовательной организации, свидетельство о браке); — справка о доходах (2 НДФЛ); — свидетельство об ИНН; — Паспорт; — банковские реквизиты; — документы подтверждающие фактическое нахождение в РФ.	Все работники	смешанная обработка персональных данных	До увольнения из организации	50 лет с 1 января года следующего за годом, в котором поданы сведения	Согласно действующего на день уничтожения положения

15. Для экстренной связи с Работником, с членами семьи и родственниками Работника в чрезвычайных случаях.

Категория персональных данных	Перечень персональных данных	Категория работников	Способы обработки	Срок обработки	Срок хранения	Порядок уничтожения персональных данных
Общие персональные данные	— Ф.И.О.; — сведения о составе семьи (ФИО, телефон).	Все работники	смешанная обработка персональных данных	До увольнения из организации	50 лет с 1 января года следующего за годом, в котором поданы сведения	Согласно действующего на день уничтожения положения

16. Указания данных Работника во внутреннем телефонном справочнике Общества

Категория персональных данных	Перечень персональных данных	Категория работников	Способы обработки	Срок обработки	Срок хранения	Порядок уничтожения персональных данных
Общие персональные данные	— Ф.И.О.; — телефон личный, рабочий.	Все работники	смешанная обработка персональных данных	До увольнения из организации	После внесения изменений информация не хранится	Уничтожение путем разрезания в шредере

17. Публичного поздравления Работника с днем рождения, с юбилеями, иными праздниками

Категория персональных данных	Перечень персональных данных	Категория работников	Способы обработки	Срок обработки	Срок хранения	Порядок уничтожения персональных данных
Общие персональные данные	— Ф.И.О.; — дата рождения.	Все работники	смешанная обработка персональных данных	До увольнения из организации	50 лет с 1 января года следующего за годом, в котором работник уволился	Уничтожение путем разрезания в шредере

18. Публикации и выхода в печать/СМИ/корпоративных изданиях статей, очерков, рецензий и других материалов, подготовленных Работником (с участием Работника)

Категория персональных данных	Перечень персональных данных	Категория работников	Способы обработки	Срок обработки	Срок хранения	Порядок уничтожения персональных данных
Общие персональные данные	— Ф.И.О.; — должность, специальность, звание, ученая степень.	Все работники	смешанная обработка персональных данных	Не определен	Не определен	В организации уничтожению не подлежит

19. Размещения на информационном стенде Работодателя объявлений, приказов/распоряжений и иных корпоративных документов

Категория персональных данных	Перечень персональных данных	Категория работников	Способы обработки	Срок обработки	Срок хранения	Порядок уничтожения персональных данных
Общие персональные данные	— Ф.И.О.; — должность; — подразделение; — данные о приеме на работу, данные трудового договора.	Все работники	смешанная обработка персональных данных	До смены информации	5 лет с 1 января года следующего за годом, в котором принят приказ	Согласно действующего на день уничтожения положения

20. Отправки Работнику официальных уведомлений/извещений/писем и пр. (корреспонденции от работодателя)

Категория персональных данных	Перечень персональных данных	Категория работников	Способы обработки	Срок обработки	Срок хранения	Порядок уничтожения персональных данных
Общие персональные данные	— Ф.И.О.; — данные прописки, адреса места проживания.	Все работники	смешанная обработка персональных данных	До увольнения из организации	50 лет с 1 января года следующего за годом, в котором работник уволился	Согласно действующего на день уничтожения положения

21. Оформления визитных карточек

Категория персональных данных	Перечень персональных данных	Категория работников	Способы обработки	Срок обработки	Срок хранения	Порядок уничтожения персональных данных
Общие персональные данные	— Ф.И.О.; — должность; — подразделение; — ученое звание, степень, категория.	Все работники	смешанная обработка персональных данных	До смены формы карточки.	Не установлен	Уничтожение путем разрезания в шредере

22. Предоставление работнику информации о трудовом стаже, трудовой деятельности у Работодателя в виде справок

Категория персональных данных	Перечень персональных данных	Категория работников	Способы обработки	Срок обработки	Срок хранения	Порядок уничтожения персональных данных
Общие персональные данные	— Ф.И.О.; — должность; — подразделение; — предоставление отпуска; — размер заработной платы; — стаж работы в организации.	Все работники	смешанная обработка персональных данных	В организации не обрабатывается	В организации не хранится	В организации уничтожению не подлежит

23. Проведение специальной оценки условий труда

Категория персональных данных	Перечень персональных данных	Категория работников	Способы обработки	Срок обработки	Срок хранения	Порядок уничтожения персональных данных
Общие персональные данные	— Ф.И.О.; — должность; — подразделение; — СНИЛС.	Все работники	смешанная обработка персональных данных	Действует в течение 5 лет - до проведения новой СОУТ	75 лет с 1 января года следующего за годом, в котором проведена новая СОУТ на работах с вредностью; 50 лет с 1 января года следующего за годом, в котором проведена новая СОУТ на работах без вредности;	Согласно действующего на день уничтожения положения

24. Указания данных Руководителя при оформлении сделок с банками, лизинговыми компаниями, страховыми компаниями

Категория персональных данных	Перечень персональных данных	Категория работников	Способы обработки	Срок обработки	Срок хранения	Порядок уничтожения персональных данных
Общие персональные данные	— Ф.И.О.; — дата рождения, место рождения; — гражданство; — должность, профессия; — стаж работы; — сведения о семейном положении; — сведения о составе семьи (ФИО, год рождения, контактный телефон); — паспортные данные; — данные о приеме на работу, переводах, данные трудового договора, решения учредителя о назначении на должность — сведения о регистрации в Пенсионном фонде (номер страхового свидетельства); — сведения о постановке на налоговый учет; — сведения о банковских счетах, картах для перечисления заработной платы; — сведения о месте фактического жительства, адрес по паспорту; — контактные телефоны, адреса электронной почты.	Директор Главный врач	смешанная обработка персональных данных	До окончания действия договора с банком, лизинговой или страховой компанией	5 лет с 1 января года следующего за годом, в котором закончился срок действия соглашения	Согласно действующего на день уничтожения положения

5.1. Состав персональных данных работников ООО «Дуэт Клиник».

5.1.1. Информация, представляемая работником при поступлении на работу в ООО «Дуэт Клиник», должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет:

• паспорт или иной документ, удостоверяющий личность;
• трудовую книжку и (или) сведения о трудовой деятельности (статья 66.1 настоящего Кодекса), за исключением случаев, если трудовой договор заключается впервые;
• документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;
• документы воинского учета - для военнообязанных и лиц, подлежащих призыву на военную службу;
• документ об образовании и (или) о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;
• справку о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования;
• иные документы, предусмотренные Трудовым кодексом Российской Федерации.

5.1.2. Документы, содержащие персональные данные сотрудников:

• комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении;
• комплекс материалов по анкетированию, проведению собеседований с кандидатом на должность;
• подлинники и копии приказов (распоряжений) по кадрам;
• личные дела и трудовые книжки;
• дела, содержащие основания к приказу по личному составу;
• дела, содержащие материалы аккредитации работников;
• дела, содержащие материалы внутренних расследований;
• справочно-информационный банк данных по персоналу (картотеки, журналы);
• подлинники и копии отчетных, аналитических и справочных материалов, передаваемых директору ООО «Дуэт Клиник», руководителям структурных подразделений;
• копии отчетов, направляемых в государственные органы статистики, пенсионный фонд России налоговые инспекции, вышестоящие органы управления и другие учреждения;
• должностные инструкции работников;
• приказы, распоряжения, указания руководства ООО «Дуэт Клиник»;
• документы по оформлению обслуживания (зарплатного проекта) с банком;
• первичные учетные документы, регистры бухгалтерского учета, бухгалтерская (финансовая) отчетность, аудиторские заключения о ней, могут содержать персональные данные работников;
• документы (договоры и иные) оформляемые при обучении сотрудников, командировках сотрудников;
• размещение информации о сотрудниках клиники на официальном сайте, других сайтах и официальных страницах ООО «Дуэт Клиник» в социальных сетях.

5.2. Организация обработки персональных данных работников ООО «Дуэт Клиник».

5.2.1. В ООО «Дуэт Клиник» смешанная обработка персональных данных работников (неавтоматизированная и автоматизированная).

Действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), удаление, уничтожение.

5.2.2. Персональные данные работников обрабатываются и хранятся у ведущего специалиста по кадрам, бухгалтера, архивариуса, ведущего юрисконсульта, ведущего экономиста.

На ведущего специалиста по кадрам возложена обязанность по ведению, хранению личных дел работников, заполнению, хранению и выдаче трудовых книжек, иных документов, отражающих персональные данные работников как в электронных базах данных (1С), так и на бумажных носителях, а также обязанность по хранению личных дел уволенных работников до передачи в архив на постоянное хранение.

Сведения о начислении и выплате заработной платы работникам общества хранятся в электронных базах данных (1С) и на бумажных носителях у главного бухгалтера, ведущего экономиста.

Хранение персональных данных работников осуществляется в закрытых ящиках, шкафах и/или сейфах. Доступ иных сотрудников в данным ограничен.

Сведения о начислении и выплате заработной платы передаются в Банк при наличии согласия работника.

5.2.3. Все персональные данные работника следует получать у него самого. При получении персональных данных не от работника оператор до начала обработки таких персональных данных обязан предоставить работнику следующую информацию:

• наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
• цель обработки персональных данных и ее правовое основание;
• предполагаемые пользователи персональных данных;
• установленные федеральными законами права субъекта персональных данных;
• источник получения персональных данных;
• перечень полученных персональных данных.

за исключением следующих случаев:

• субъект персональных данных уведомлен об осуществлении обработки его персональных данных оператором;
• персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого является субъект персональных данных;
• персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
• оператор осуществляет обработку персональных данных для статистических и иных исследовательских целей, научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных.

5.2.3. Персональные данные работников могут быть получены, проходить обработку и передаваться на хранение оператору как на бумажных носителях, так и в электронном виде (посредством локальной компьютерной сети).

5.2.4. Оператор не имеет права получать и обрабатывать персональные данные работника о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, интимной жизни.

5.2.5. Оператор не вправе запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

5.2.6. Оператор вправе обрабатывать персональные данные своих работников только с их письменного согласия (Приложение № 1 к настоящему Положению).

5.2.7. Письменное согласие работника на обработку своих персональных данных должно включать в себя все данные, которые обязан указать работник при его заполнении в соответствие со ст. 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных»

5.2.8. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения (Приложение № 8 к настоящему Положению), подписываемого сторонами на основании Приказа Министерства цифрового развития, связи и массовых коммуникаций РФ № 18 от 24.02.2021г.

5.2.9. Согласие работника не требуется в случаях, указанных в пп. 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных». Указанное согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. В согласии субъект персональных данных определяет перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения.

5.2.9. В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий, предусмотренных настоящей статьей, не допускается.

5.2.10. В соответствии с Постановлением Правительства Российской Федерации от 04.10.2012 г. № 1006 «Об утверждении правил предоставления медицинскими организациями платных медицинских услуг» сведения о медицинских работниках, участвующих в предоставлении платных медицинских услуг, об уровне их профессионального образования и квалификации размещаются оператором на сайте https://duetclinic.ru/ и информационных стендах (стойках).

5.2.11. Оператор вправе с согласия работника размещать его фотографию и информацию о нем на сайте https://duetclinic.ru/, официальных страницах клиники в соц.сетях: инстаграм, фейсбук, вконтакте; ютуб-канале https://www.youtube.com/@duet.clinic; в телеграмм-канале клиники; на сервисе фламп https://novosibirsk.flamp.ru/ и информационных стендах (стойках) ООО «Дуэт Клиник».

5.2.12. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено.

5.3. Доступ к персональным данным работников ООО «Дуэт Клиник».

5.3.1. Право доступа к персональным данным работников в объеме, необходимом для выполнения своих должностных обязанностей, имеют:

• Директор;
• главный врач;
• заместитель главного врача по лечебной части;
• главный бухгалтер;
• бухгалтер;
• ведущий экономист;
• старшая медицинская сестра;
• ведущий специалист по кадрам;
• ведущий юрисконсульт.

5.3.2. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, электронные базы). В общедоступные источники персональных данных могут включаться: фамилия, имя, отчество, год и место рождения, адрес, телефонный номер, сведения о профессии, занимаемой должности и иные персональные данные, сообщаемые субъектом персональных данных, а так же цветное цифровое фотографическое изображение лица.

5.4. Срок или условие прекращения обработки персональных данных:

• достижение целей, установленных до начала обработки данных, если срок хранения не установлен законом. Если срок хранения установлен законом – по истечении срока хранения;
• утрата правовых оснований обработки персональных данных.

5.5. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации и настоящим положением.

6. ПЕРСОНАЛЬНЫЕ ДАННЫЕ СОИСКАТЕЛЕЙ ВАКАНТНЫХ ДОЛЖНОСТЕЙ ООО «Дуэт Клиник»

6.1. Состав персональных данных соискателей вакантных должностей ООО «Дуэт Клиник»:

Данные из резюме в электронном виде: ФИО, образование, стаж, занимаемые должности, компетенции.

6.2. Организация обработки персональных данных соискателей вакантных должностей ООО «Дуэт Клиник».

6.2.1. ООО «Дуэт Клиник» проводит смешанную обработку ПД работника как в информационных системах с использованием средств автоматизации, так и на бумажных носителях без использования средств автоматизации, обеспечивает их защиту с учетом определенного типа угроз безопасности и уровня защищенности персональных данных с следующих целях:

отбора кандидата на вакантную должность

Категория персональных данных	Перечень персональных данных	Категория лиц	Способы обработки	Срок обработки	Срок хранения	Порядок уничтожения персональных данных
Общие персональные данные	— Ф.И.О.; — фото; — образование; — повышение квалификации; — трудовой стаж; — телефон; — адрес электронной почты	Соискатели вакантных должностей	смешанная обработка персональных данных	До принятия решения	Не хранится	Уничтожение путем разрезания в шредере

6.2.2. Оператор вправе обрабатывать персональные данные соискателей вакантных должностей ООО «Дуэт Клиник» при самостоятельном размещении соискателем своего резюме в Интернете и доступного неограниченному кругу лиц, либо с их письменного согласия (Приложение № 3 к настоящему Положению).

В случае получения резюме соискателя по каналам электронной почты, факсимильной связи руководителю ООО «Дуэт Клиник» необходимо дополнительно провести мероприятия, направленные на подтверждение факта направления указанного резюме самим соискателем. К таким мероприятиям относится приглашение соискателя на личную встречу с уполномоченными сотрудниками работодателя, ответ соискателю направляется посредством электронной почты.

При поступлении в адрес работодателя резюме, составленного в произвольной форме, при которой однозначно определить физическое лицо, его направившее, не представляется возможным, данное резюме подлежит уничтожению в день поступления.

6.2.3. Письменное согласие на обработку персональных данных соискатель вакантной должности ООО «Дуэт Клиник» дает по форме, утвержденной приказом директора общества.

6.2.4. Срок или условие прекращения обработки персональных данных:

• принятие оператором решения о приеме либо отказе в приеме на работу.

6.2.5. Резюме соискателя вакантной должности ООО «Дуэт Клиник» подлежит удалению из электронной базы данных после принятия решения об отказе в приеме на работу.

6.3. Доступ к персональным данным соискателей вакантных должностей ООО «Дуэт Клиник».

6.3.1. Право доступа к персональным данным соискателям вакантных должностей в полном объеме, имеют:

• Директор;
• главный врач;
• заместитель главного врача по лечебной части;
• ведущий специалист по кадрам;
• старшая медицинская сестра;
• секретарь.

6.4. Срок или условие прекращения обработки персональных данных: после принятия решения о приеме или отказе в приеме на работу — резюме уничтожается путем разрезания в шредере.

7. ПЕРСОНАЛЬНЫЕ ДАННЫЕ ПАЦИЕНТОВ ООО «Дуэт Клиник»

7.1. В ООО «Дуэт Клиник» смешанная обработка персональных данных пациентов (неавтоматизированная и автоматизированная).

Действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, удаление, уничтожение.

7.2 Обработка персональных данных пациента осуществляется на основании представленного пациентом (его законным представителем) письменного согласия на обработку персональных данных (Приложение № 2 к настоящему Положению), за исключением случаев, прямо предусмотренных в пп. 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».

Согласно требованиям Минздрава (Приказ Минздрава от 15.12.2014 № 834.), медработник обязан вносить сведения о пациенте в мед.карту на основании документа, удостоверяющего личность.

В случае недееспособности пациента или не достижения пациентом возраста 14 лет согласие на обработку его персональных данных дает в письменной форме его законный представитель.

7.3. Все персональные данные пациента следует получать у него самого или его законного представителя. Пациент или его законный представитель предоставляет оператору персональные данные, которые оператор указывает в медицинских документах.

При получении персональных данных не от пациента оператор до начала обработки таких персональных данных обязан предоставить пациенту следующую информацию:

• наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
• цель обработки персональных данных и ее правовое основание;
• предполагаемые пользователи персональных данных;
• установленные федеральными законами права субъекта персональных данных;
• источник получения персональных данных

за исключением следующих случаев:

• субъект персональных данных уведомлен об осуществлении обработки его персональных данных оператором;
• персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого является субъект персональных данных;
• персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
• оператор осуществляет обработку персональных данных для статистических и иных исследовательских целей, научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
• предоставление субъекту персональных данных сведений, предусмотренных в настоящем пункте, нарушает права и законные интересы третьих лиц.

7.4. Оператор не имеет права получать и обрабатывать персональные данные субъекта о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях.

7.5. Персональные данные пациентов хранятся в электронных базах данных, которые могут быть подключены к локальной сети оператора, а также на бумажных носителях, которые хранятся у администратора. Для хранения персональных данных на бумажных носителях используются специально оборудованные шкафы.

Бумажными носителями персональных данных пациентов являются:

• медицинская карта амбулаторного больного, которая заводится на каждого обратившегося в Общество за оказанием медицинской помощи при первом обращении и хранится у администратора. Медицинская карта передается врачам-специалистам оператора при личном обращении пациента в ООО «Дуэт Клиник», по окончании приема медицинская карта сдается врачом-специалистом администратору;
• карты больного дневного стационара, журналы и другие формы медицинской документации, содержащие персональные данные пациентов, оформляются и хранятся у администратора, главного врача, в кабинетах врачей оператора в специально оборудованных шкафах.
• прочие документы, используемые при оказании медицинской помощи и содержащие персональные данные пациентов (заключения, справкиакты, направления, договоры, квитанции и пр.), после оформления передаются работнику, допущенному к работе с персональными данными, в должностные обязанности которого входит хранение этих данных.

Порядок ведения медицинской документации определяется соответствующими локальными нормативными актами.

7.6. Персональные данные пациента могут быть получены, а так же обрабатываться оператором как в электронном виде с использованием средств автоматизации, так и на бумажных носителях без использования средств автоматизации, что обеспечивает их защиту с учетом определенного типа угроз безопасности и уровня защищенности персональных данных в следующих целях:

1. Оформления договора на оказание медицинских услуг

Категория персональных данных	Перечень персональных данных	Категория лиц	Способы обработки	Срок обработки	Срок хранения	Порядок уничтожения персональных данных
общие, специальные и биометрические персональные данные	— фамилия, имя, отчество; — год, месяц, дата рождения; — место рождения; — адрес; — социальное положение; — фото; — видео; — данные паспорта; -СНИЛС; — данные о здоровье	Все пациенты	смешанная обработка персональных данных	До истечения срока действия договора	25 лет с 1 января года следующего за годом, в котором закончился срок действия договора	Согласно действующего на день уничтожения положения

2. Оформления карты амбулаторного/стационарного больного

Категория персональных данных	Перечень персональных данных	Категория лиц	Способы обработки	Срок обработки	Срок хранения	Порядок уничтожения персональных данных
общие, специальные и биометрические персональные данные	— фамилия, имя, отчество (последнее — при наличии), — пол, — дата рождения, — место рождения, — социальный статус (рабочий, пенсионер, ребенок, студент) — данные документа, удостоверяющего личность, — семейное положение, — инвалидность, — место регистрации, — телефон, — сведения о регистрации в Пенсионном фонде (номер страхового свидетельства), — номер полиса обязательного медицинского страхования застрахованного лица, полиса добровольного медицинского страхования (при наличии), — анамнез, данные о диспансерном наблюдении, — диагноз, — данные лабораторных и инструментальных методов обследования, — сведения об организации, направившей для оказания медицинских услуг, — вид оказанной медицинской помощи, — условия оказания медицинской помощи, — сроки оказания медицинской помощи, — объем оказанной медицинской помощи, — результат обращения за медицинской помощью, — серия и номер выданного листка нетрудоспособности (при наличии), — сведения об оказанных медицинских услугах, — образование, занятость, — место работы, должность, — фотографические изображения.	Все пациенты	смешанная обработка персональных данных	До истечения срока лечения	25 лет с 1 января года следующего за годом, в котором закончился срок действия договора	Согласно действующего на день уничтожения положения

3. Подача реестров для оплаты оказанной медицинской помощи в территориальный Фонд обязательного медицинского страхования и в страховые компании (Общество С Ограниченной Ответственностью «Страховая Медицинская Организация «Симаз-Мед», Филиал Общества С Ограниченной Ответственностью «Страховая Компания «Ингосстрах-М» В Г. Новосибирск, Новосибирский Филиал Ао «Страховая Компания «Согаз-Мед»)

Категория персональных данных	Перечень персональных данных	Категория лиц	Способы обработки	Срок обработки	Срок хранения	Порядок уничтожения персональных данных
общие, специальные и биометрические персональные данные	— фамилия, имя, отчество; — год, месяц, дата рождения; — адрес; — социальное положение; — данные паспорта; -СНИЛС; — данные о здоровье	Все пациенты	смешанная обработка персональных данных	До истечения срока проверки медицинской организации контролирующим органом (ТерФонд)	25 лет с 1 января года следующего за годом, в котором закончился срок действия договора	Согласно действующего на день уничтожения положения

4. Оформление информированного добровольного согласия пациента на медицинское вмешательство

Категория персональных данных	Перечень персональных данных	Категория лиц	Способы обработки	Срок обработки	Срок хранения	Порядок уничтожения персональных данных
общие, специальные персональные данные	— фамилия, имя, отчество; — год, месяц, дата рождения; — данные о здоровье	Все пациенты	смешанная обработка персональных данных	До истечения срока действия договора	25 лет с 1 января года следующего за годом, в котором закончилось оказание медицинских услуг пациенту	Согласно действующего на день уничтожения положения

5. Выдача справок, выписок, заключений, рекомендаций

Категория персональных данных	Перечень персональных данных	Категория лиц	Способы обработки	Срок обработки	Срок хранения	Порядок уничтожения персональных данных
общие, специальные персональные данные	— фамилия, имя, отчество; — год, месяц, дата рождения; — адрес; — социальное положение; — данные паспорта; — СНИЛС; — данные о здоровье — диагноз — прогноз	Все пациенты	смешанная обработка персональных данных	Не обрабатывается в организации	Не хранится в организации	Не подлежит уничтожению в организации

7.7. Доступ к персональным данным пациентов ООО «Дуэт Клиник».

Доступ к электронным базам данных ограничен персональным паролем. Право доступа к персональным данным пациентов, обращающихся как в рамках ОМС, так и на коммерческой основе, в объеме, необходимом для выполнения своих должностных обязанностей, имеют:

• Директор;
• Главный врач;
• Заместитель главного врача по лечебной части;
• Заместитель главного врача по клинико-экспертной работе;
• Старшая медицинская сестра;
• Заведующие отделениями;
• Врачи специалисты;
• Медицинские сестры;
• Главный бухгалтер;
• Ведущий экономист;
• Ведущий юрисконсульт;
• Архивариус;
• Системный администратор;
• Администратор;
• Старший администратор;
• Медицинский регистратор.

7.8. Потенциальный пациент при обращении к сайту ООО «Дуэт Клиник» должен ознакомиться с политикой обработки персональных данных, дать согласие на обработку персональных данных, действующее в отношении всей информации, которую Сервис может получить о Пользователе во время использования им Сайта и ПО. Сайт использует файлы cookie и похожие технологии, чтобы гарантировать максимальное удобство пользователям, предоставляя персонализированную информацию, запоминая предпочтения в области маркетинга и продукции, а также помогая получить правильную информацию. Если пациент не согласен с тем, что используется данный тип файлов, то ему необходимо соответствующим образом установить настройки своего браузера или не использовать сайт www.duetclinic.ru.

8. ПЕРСОНАЛЬНЫЕ ДАННЫЕ ФИЗИЧЕСКИХ ЛИЦ, ОБРАЩАЮЩИХСЯ В ООО «Дуэт Клиник»

8.1. Организация обработки персональных данных физических лиц, обращающихся в ООО «Дуэт Клиник».

Обработка персональных данных физических лиц, обращающихся в ООО «Дуэт Клиник» осуществляется на основании представленного письменного согласия на обработку персональных данных (Приложение № 10 к настоящему Положению).

Предоставления сведений, информации

Категория персональных данных	Перечень персональных данных	Категория лиц	Способы обработки	Срок обработки	Срок хранения	Порядок уничтожения персональных данных
общие, специальные персональные данные	— фамилия, имя, отчество; — год, месяц, дата рождения; — адрес регистрации; — данные паспорта; — телефон — сведения о состоянии здоровья	Все обращающиеся в письменной форме непосредственно в клинику	Неавтоматизированная обработка	Период подготовки и выдачи ответа по обращению	5 лет с момента выдачи ответа обратившемуся лицу	Уничтожение путем разрезания в шредере

9. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

При передаче персональных данных субъектов сотрудники оператора, имеющие доступ к персональным данным, должны соблюдать следующие требования:

9.1. Не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в других случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами.

9.2. Не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия.

9.3. Предупредить лиц, получающих персональные данные субъекта персональных данных о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.

9.4. Разрешать доступ к персональным данным субъектов персональных данных только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные субъектов персональных данных, которые необходимы для выполнения конкретных функций.

9.5. В процессе автоматизированной обработки персональные данные передаются по внутренней сети юридического лица и доступны строго определенным работникам ООО «Дуэт Клиник». Персональные данные с согласия пациента могут передаваться по электронной почте с использованием сети интернет третьим лицам, с которыми оператор заключил договор.

9.6. В процессе неавтоматизированной обработки оператор передает в общество, с которым заключен договор, биологический материал пациентов для выполнения анализов (проведение лабораторных исследований) с соблюдением мер, обеспечивающих защиту от несанкционированного доступа, при условии, что проведение лабораторных исследований осуществляется лицом (лицами), обязанным(и) сохранять профессиональную тайну.

9.7. Оператор заключает договор с третьим лицом с целью организации и обслуживания программного обеспечения, с помощью которого осуществляется обработка персональных данных, о чем субъект персональных данных дает согласие.

9.8. Оператором передаются сведения в фонд ОМС, страховые компании, ГБУЗ НСО МИАЦ о застрахованном лице, об оказанной ему медицинской помощи по защищенным каналам связи (VipNet).

9.9. Все сведения о передаче персональных данных субъекта третьим лицам должны регистрироваться в Журнале учета передачи персональных данных в целях контроля правомерности использования данной информации лицами, ее получившими. В журнале фиксируются сведения о лице, направившим запрос, дата передачи персональных данных или дата уведомления об отказе в их предоставлении, а также отмечается какая именно информация была передана. Форма журнала учета передачи персональных данных представлена в Приложении № 4 к настоящему Положению.

9.10. В целях соблюдения законодательства Российской Федерации для достижения целей обработки персональных данных, а также в интересах субъектов персональных данных и в случаях, предусмотренных действующим законодательством Российской Федерации, оператор в ходе своей деятельности предоставляет персональные данные следующим органам: Федеральной налоговой службе Российской Федерации, Пенсионному фонду Российской Федерации, Фонду социального страхования Российской Федерации, Федеральной службе государственной статистики Российской Федерации, Фонду обязательного медицинского страхования НСО, Страховым компаниям, Лицензирующим и/или контролирующим органам государственной власти и местного самоуправления и т.д.

9.11. Оператор не поручает обработку персональных данных другим лицам на основании договора.

10. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. Защита персональных данных у оператора представляет собой принятие правовых, организационных и технических мер, направленных на:

• обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
• соблюдение конфиденциальности информации ограниченного доступа;
• реализацию права на доступ к информации.

10.2. В целях обеспечения безопасности персональных данных при их обработке оператором:

• в пп. 5.3.1., 6.3.1., 7.3.1. настоящего положения установлен перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;
• обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
• обеспечивать пропускной режим в соответствии с утвержденными документами по охране и осуществлению пропускного режима;
• осуществлять видеонаблюдение в течение времени работы оператора и хранение видеозаписей в течение месяца;
• помещения, в которых ведется работа с персональными данными, должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц;
• доступ к информации в электронном виде должен осуществляться с использованием парольной защиты, а в информационных системах персональных данных — с использованием средств автоматизации в соответствии с нормативными документами;
• носители информации, содержащие персональные данные, учитывают в журнале учета электронных и материальных носителей персональных данных, в том числе биометрических персональных данных (Приложение № 6 к настоящему Положению).

10.3. Обеспечение безопасности персональных данных в информационных системах персональных данных осуществляется в соответствии с требованиями ст. 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119, нормативными и руководящими документами уполномоченных федеральных органов исполнительной власти.

10.4. Мероприятия по обеспечению безопасности персональных данных проводятся в соответствии с «Составом и содержанием организационным и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденных приказом ФСТЭК России от 18.02.2013 г. № 21.

10.5. Выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых обществом угроз безопасности персональных данных (модели угроз) и в зависимости от уровня защищенности информационной системы, определенного в соответствии с «Требованиями к защите персональных данных при их обработке в информационных системах персональных данных», утвержденными Приказом ФСТЭК России от 1 ноября 2012 г. № 1119.

10.6. Выбранные и реализованные методы и способы защиты информации в информационной системе должны обеспечивать нейтрализацию предполагаемых угроз безопасности персональных данных при их обработке в информационных системах в составе системы защиты персональных данных.

10.7. Обеспечение безопасности персональных данных в информационных системах персональных данных без использования средств автоматизации осуществляется в соответствии с требованиями Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687.

10.8. Обеспечение безопасности биометрических персональных данных всех информационных систем осуществляется в соответствии с Требованиями к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных, утвержденными Постановлением Правительства Российской Федерации от 06.07.2008 г. № 312.

10.9. Сотрудники оператора, имеющие доступ к персональным данным, обязаны принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, модифицирования, блокирования, копирования, распространения, а также от иных неправомерных действий в отношении данной информации.

10.10. Сотрудники оператора, имеющие доступ к персональным данным, подписывают обязательство о неразглашении персональных данных иных лиц, ставших им известными в процессе выполнения своей трудовой функции (Приложение № 5 к настоящему Положению).

10.11. Контроль за выполнением требований к защите персональных данных при их обработке, установленных действующим законодательством Российской Федерации, осуществляется оператором самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в три года в сроки, определяемые главным врачом ООО «Дуэт Клиник».

10.12. Оператор назначает лицо, ответственное за организацию обработки персональных данных, которое обязано осуществлять внутренний контроль соответствия обработки персональных данных действующему законодательству Российской Федерации и настоящему Положению.

10.13. В случае обнаружения несанкционированного доступа к персональным данным оператор принимает меры, предусмотренные действующим законодательством Российской Федерации.

11. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ

11.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, гражданско-правовую, административную (ст. ст. 5.39, 13.11, 13.14 Кодекса об административных правонарушениях Российской Федерации) или уголовную ответственность (ст. ст. 137, 272, 274 Уголовного кодекса Российской Федерации) в соответствии с действующим законодательством Российской Федерации.

12. ПОРЯДОК УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

12.1. Уничтожение документов, содержащих персональные данные, производится в строгом соответствии со сроками хранения медицинской документации Письмо Министерства здравоохранения РФ от 7 декабря 2015 г. N 13-2/1538 «О сроках хранения медицинской документации»:

• протоколы решений врачебной комиссии (подкомиссии врачебной комиссии) — 10 лет
• Журнал записи амбулаторных операций — 5 лет
• Медицинские карты — 25 лет

12.2. Разрешение на уничтожение дает экспертная комиссия, путем проставления в учетной карточке (журнале) резолюции «Уничтожить», своей подписи и даты.

12.3. При проведении экспертизы ценности документов перед их передачей на архивное состояние, отбор документов на уничтожение производит экспертная комиссия.

12.4. Отобранные для уничтожения документы, содержащие персональные данные, вносятся в акт установленной формы, сверяются перед уничтожением работниками с учетными данными и уничтожаются.

12.5. После уничтожения в учетных данных производятся отметки с указанием номера акта, даты уничтожения и подписи сотрудников, производивших уничтожение.

12.6. Уничтожение документов, содержащих персональные данные, должно производиться путем их сожжения или измельчения или другим путем исключающим восстановление текста документов.