+7 499 551-77-51
Москва, Очаковское шоссе, 32

Политика обработки персональных данных в Обществе с ограниченной ответственностью «ЭфДжи Лаб»

Настоящая Политика обработки персональных данных в Обществе с ограниченной ответственностью «ЭфДжи Лаб» (ООО «ЭфДжи Лаб») (далее Политика) определяет принципы обработки и защиты персональных данных пациентов ООО «ЭфДжи Лаб» (далее субъекты ПД), реализуемые в ООО «ЭфДжи Лаб» (далее Общество). Настоящая Политика разработана в соответствии с ФЗ №152-ФЗ «О персональных данных», ФЗ №149-ФЗ «Об информации, информационных технологиях и о защите информации» и другими нормативными правовыми актами, регламентирующими процессы обработки персональных данных. Действие настоящей Политики распространяется на все процессы по сбору, записи, систематизации, хранению, использованию, передаче и уничтожению персональных данных, осуществляемые как с использованием средств автоматизации, так и без использования таких средств. В дополнение к настоящей Политике могут быть разработаны другие локальные нормативные акты, регламентирующие процессы обработки персональных данных.

1. Понятие персональных данных

1.1 Под персональными данными пациентов понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу, в том числе: его фамилия, имя, отчество, пол, год, месяц, дата и место рождения, адрес места жительства и регистрации, контактные телефоны, паспортные данные, данные о состоянии здоровья, заболеваниях, случаях обращения за медицинской помощью, данные о составе семьи, прочие сведения, которые могут идентифицировать человека.

Персональные данные пациентов относятся к специальной категории персональных данных, обработка таких персональных данных должна осуществляться лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну.

Персональные данные пациентов являются конфиденциальными сведениями. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении срока хранения, если иное не определено законодательством РФ.

Обеспечение конфиденциальности персональных данных не требуется:

- в случае обезличивания персональных данных;

- в отношении общедоступных персональных данных.

2. Сбор, обработка и уничтожение персональных данных

2.1. Обработка ПД осуществляется на основе следующих принципов:

- соблюдение законов и иных нормативно-правовых актов, регламентирующих процессы обработки ПД;

- недопущение обработки ПД, несовместимой с целями сбора ПД;

- обработка только тех ПД, которые отвечают целям их обработки;

− ограничение содержания и объема обрабатываемых ПД соответствием заявленным целям их обработки;

2.2. Целью обработки персональных данных пациентов является установление медицинского диагноза и оказания медицинских услуг при соблюдении законов и иных нормативно-правовых актов.

2.3. Сбор, накопление, хранение, изменение, использование и передача ПД осуществляется при условии наличия согласия субъекта ПД, за исключением случаев, когда в соответствии с действующим законодательством допускается обработка ПД без получения согласия субъекта ПД.

2.4. Хранение ПД осуществляется в форме, позволяющей определить субъекта ПД не дольше, чем этого требуют соответствующие цели обработки ПД, если срок хранения ПД не установлен федеральным законом, договором, стороной которого является субъект ПД, обрабатываемые ПД подлежат уничтожению либо обезличиванию по достижении целей обработки, или в случае утраты необходимости в достижении этих целей. ПД субъектов могут обрабатываться как на бумажных носителях, так и в электронном виде. ПД на бумажных носителях хранятся в запираемых шкафах или сейфах. ПД субъектов в электронном виде обрабатываются в компьютерных сетях Общества.

2.5. В случае отзыва субъектом ПД согласия на обработку своих ПД Обществом прекращает их обработку, если иное не предусмотрено соглашением между Обществом и субъектом ПД, либо если Общество вправе осуществлять обработку ПД без согласия субъекта ПД на основаниях, предусмотренных действующим законодательством, регулирующим процессы обработки ПД.

2.6. При обработке ПД Общество принимает необходимые правовые, организационные и технические меры для защиты ПД от неправомерного или случайного доступа к ним, уничтожения,

изменения,

блокирования,

копирования,

предоставления,

распространения ПД, а также от иных неправомерных действий в отношении ПД.

2.7. Общество обеспечивает конфиденциальность ПД, то есть не допускает их распространения без согласия субъекта ПД или наличия иного законного основания. Обеспечение конфиденциальности обезличенных и общедоступных ПД осуществляется аналогично обеспечению конфиденциальности иных данных, обрабатываемых в Обществе. Доступ к ПД предоставляется только тем работникам Общества, которым он необходим для исполнения их непосредственных должностных обязанностей.

2.8. Уничтожение документов (носителей), содержащих ПД, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.

2.9. ПД на электронных носителях уничтожаются путем стирания или форматирования носителя.

2.10 Уничтожение производится комиссией. Факт уничтожения ПД подтверждается документально актом об уничтожении носителей, подписанным членами комиссии.

3. Защита персональных данных

3.1 Основными мерами защиты ПД, используемыми Организацией, являются:

- назначение лица, ответственного за обработку ПД, которое осуществляет организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите ПД;

- установление правил доступа к ПД, а также обеспечения регистрации и учета всех действий, совершаемых с ПД;

- установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями;

- применение средств защиты информации, учет машинных носителей ПД, обеспечение их сохранности;

- сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами;

- соблюдение условий, обеспечивающих сохранность ПД и исключающие несанкционированный к ним доступ, оценка эффективности принимаемых и реализованных мер по обеспечению безопасности ПД;

- осуществление внутреннего контроля и аудита.

4. Ответственность

4.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных пациентов, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами РФ.