Общество с ограниченной ответственностью
«СолоДент», г.Санкт-Петербург, 195252,
пр. Науки, 38, Лит. А, Пом. 10-H
Введение: настоящее Положение ООО "СолоДент" в отношении обработки персональных данных (далее - Положение) разработано в соответствии со статьей 18.1 Федерального закона № 152 «О персональных данных» и определяет политику ООО "СолоДент" (далее - организация, медицинская стоматологическая клиника) в отношении информации о субъектах персональных данных, которую организация может обрабатывать при осуществлении установленной в лицензии деятельности.
В документе используются положения следующих нормативных актов:
1.1. Настоящее Положение устанавливает порядок получения, учета, обработки, накопления и хранения документов, содержащих сведения, отнесенных к персональным данным работников предприятия. Под работниками подразумеваются лица, заключившие трудовой договор с организацией.
1.2. Цель настоящего Положения - защита персональных данных работников организации (стоматологической медицинской клиники) от несанкционированного доступа и разглашения. Персональные данные всегда являются конфиденциальной, строго охраняемой информацией.
1.3. Основанием для разработки настоящего Положения являются Конституция Российской Федерации, Трудовой кодекс Российской Федерации, другие действующие нормативные правовые акты Российской Федерации.
1.4. Настоящее Положение и изменения к нему утверждаются руководителем организации и вводятся соответствующим приказом. Все работники организации должны быть ознакомлены под роспись с данным Положением и изменениями к нему.
2.1. Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных - определенному или определяемому физическому лицу.
2.2. Состав персональных данных работника:
- анкета;
- автобиография;
- образование;
- сведения о трудовом и общем стаже;
- сведения о предыдущем месте работы;
- сведения о составе семьи;
- паспортные данные;
- сведения о воинском учете;
- сведения о заработной плате сотрудника;
- сведения о социальных льготах;
- специальность;
- занимаемая должность;
- размер заработной платы;
- наличие судимостей;
- адрес места жительства;
- контактный телефон;
- содержание трудового договора;
- содержание декларации, подаваемой в налоговую инспекцию;
- подлинники и копии приказов по личному составу;
- личные дела и трудовые книжки сотрудников;
- основания к приказам по личному составу;
- дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;
- копии отчетов, направляемые в органы статистики;
- копии документов об образовании;
- результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей;
- фотографии и иные сведения, относящиеся к персональным данным работника (видеозапись);
- рекомендации, характеристики;
- принадлежность лица к конкретной нации, этнической группе, расе;
- привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);
- семейное положение, наличие детей, родственные связи;
- религиозные и политические убеждения (принадлежность к религиозной конфессии, членство в политической партии, участие в общественных объединениях, в том числе в профсоюзе, и др.);
- финансовое положение (доходы, долги, владение недвижимым имуществом, денежные вклады и др.);
- деловые и иные личные качества, которые носят оценочный характер;
- прочие сведения, которые могут идентифицировать человека.
Из указанного списка работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора.
2.3. Данные документы являются конфиденциальными. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 50-ти или 75 лет срока хранения, если иное не определено законом.
Трудовой договор с работником |
Отдел персонала (архив) |
75 лет – с завершенным делопроизводства до 2003 г. 50 лет – с завершенным делопроизводством после 2003 г. |
Дополнительные соглашения к трудовому договору |
Отдел персонала (архив) |
75 лет – с завершенным делопроизводства до 2003 г. 50 лет – с завершенным делопроизводством после 2003 г |
2.3.1. По истечении 2-х лет с момента увольнения сотрудника, документы и данные в информационных системах переносятся в архив.
Цели сбора и обработки персональных данных субъектов персональных данных
В организации производится обработка персональных данных следующих категорий субъектов персональных данных:
Целями обработки персональных данных работников организации являются:
Целью обработки персональных данных соискателей вакансий организации является заключение трудового договора.
Целями обработки персональных данных уволенных работников организации являются:
Целями обработки персональных данных членов семей работников организации:
Целью обработки персональных данных контрагентов является выполнение договорных обязательств.
3.1. В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника соблюдают следующие общие требования:
3.1.1. Обработка персональных данных работника осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
3.1.2. При определении объема и содержания обрабатываемых персональных данных работника работодатель руководствуется Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами.
3.1.3. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель сообщает работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
3.1.4. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
3.1.5. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
3.1.6. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
3.1.7. Защита персональных данных работника от неправомерного их использования или утраты обеспечивается работодателем за счет его средств в порядке, установленном федеральным законом.
3.1.8. Работники и их представители должны быть ознакомлены под подпись с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
3.1.9. Работники не должны отказываться от своих прав на сохранение и защиту тайны.
Работник обязан:
4.1. Передавать работодателю или его представителю комплекс достоверных документированных персональных данных, перечень которых установлен Трудовым кодексом Российской Федерации.
4.2. Своевременно в разумный срок, не превышающий 5 дней, сообщать работодателю об изменении своих персональных данных.
Работник имеет право:
5.1. На полную информацию о своих персональных данных и обработке этих данных.
5.2. На свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные сотрудника, за исключением случаев, предусмотренных законодательством Российской Федерации.
5.3. На доступ к медицинским данным с помощью медицинского специалиста по своему выбору.
5.4. Требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований, определенных трудовым законодательством. При отказе работодателя исключить или исправить персональные данные сотрудника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера сотрудник имеет право дополнить заявлением, выражающим его собственную точку зрения.
5.5. Требовать извещения работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные сотрудника, обо всех произведенных в них исключениях, исправлениях или дополнениях.
5.6. Обжаловать в суд любые неправомерные действия или бездействие работодателя при обработке и защите его персональных данных.
5.7. Определять своих представителей для защиты своих персональных данных.
6.1. Обработка персональных данных работника - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных работника.
6.2. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
6.3. Работодатель сообщает работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
6.4. Работник представляет работодателю достоверные сведения о себе. Работодатель проверяет достоверность сведений, сверяя данные, представленные работником, с имеющимися у работника документами. Представление работником подложных документов или ложных сведений при поступлении на работу является основанием для расторжения трудового договора.
6.5. При поступлении на работу работнику предлагается заполнить анкету (перечень вопросов о персональных данных).
6.5.1. Анкета заполняется работником самостоятельно. При заполнении анкеты работник должен заполнять все ее графы, на все вопросы давать полные ответы, не допускать исправлений или зачеркиваний, прочерков, помарок в строгом соответствии с записями, которые содержатся в его личных документах.
6.5.2 Анкета работника хранится в личном деле работника. В личном деле также хранятся иные документы персонального учета, относящиеся к персональным данным работника.
6.5.3. Личное дело работника оформляется после издания приказа о приеме на работу.
6.5.4. Все документы личного дела подшиваются в обложку образца, установленного в организации. На ней указываются фамилия, имя, отчество работника.
6.5.6. К каждому личному делу может быть приложена одна фотография (цветная или черно-белая) работника размером 3х4.
6.5.7. Все документы, поступающие в личное дело, располагаются в хронологическом порядке.
6.5.8. Личное дело ведется на протяжении всей трудовой деятельности работника. Изменения, вносимые в личное дело, должны быть подтверждены соответствующими документами.
7.1. При передаче персональных данных работника работодатель соблюдает следующие требования:
- не сообщает персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;
- не сообщает персональные данные работника в коммерческих целях без его письменного согласия;
- предупреждает лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать конфиденциальность. Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;
- разрешает доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
- не запрашивает информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
- передает персональные данные работника представителям работников в порядке, установленном Трудовым Кодексом Российской Федерации, и ограничивает эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
Условия обработки персональных данных пациентов (заказчика) и передачи третьим лицам
Организация обрабатывает и хранит персональные данные в соответствии с внутренними нормативными документами, разработанными согласно законодательству РФ.
В отношении персональных данных обеспечивается их конфиденциальность, целостность и доступность. Передача персональных данным третьим лицам для выполнения договорных обязательств осуществляется только с согласия субъектов персональных данных. В случае реорганизации стоматологической медицинской клиники, вновь образованной организации переходят все обязательства по соблюдению условий настоящей Политики применительно к получаемым им персональным данным.
Организация может поручить обработку персональных данных другому лицу при выполнении следующих условий:
При обработке персональных данных субъектов организация руководствуется Федеральным законом № 152-ФЗ «О персональных данных».
8.1. Внутренний доступ (доступ внутри организации).
Право доступа к персональным данным сотрудника имеют:
- руководитель предприятия – генеральный директор;
- главный бухгалтер;
- управляющий или администратор стоматологической клиники по согласованию с генеральным директором;
- сотрудники бухгалтерии, кадрового делопроизводства, системный администратор, главный врач, старшая медицинская сестра - к тем данным, которые необходимы для выполнения конкретных функций;
- сам работник, носитель данных.
8.2. Внешний доступ.
Персональные данные вне организации могут представляться в государственные и негосударственные функциональные структуры:
- налоговые инспекции;
- правоохранительные органы;
- органы статистики;
- страховые агентства;
- военкоматы;
- органы социального страхования;
- пенсионные фонды;
- подразделения муниципальных органов управления.
8.3. Другие организации.
Сведения о работнике (в том числе уволенном) могут быть предоставлены другой организации только с письменного запроса на бланке организации с приложением копии заявления работника.
8.4. Родственники и члены семей.
Персональные данные работника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого работника.
9.1. В целях обеспечения сохранности и конфиденциальности персональных данных работников организации все операции по оформлению, формированию, ведению и хранению данной информации выполняются только работниками, осуществляющими данную работу в соответствии со своими служебными обязанностями, зафиксированными в их должностных инструкциях и положениях.
9.2. Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме на бланке предприятия и в том объеме, который позволяет не разглашать излишний объем персональных сведений о работниках предприятия.
9.3. Передача информации, содержащей сведения о персональных данных работников организации, по телефону, факсу, электронной почте без письменного согласия работника запрещается.
9.4. Личные дела и документы, содержащие персональные данные работников, хранятся в запирающемся кабинете, обеспечивающих защиту от несанкционированного доступа. Трудовые книжки работников хранятся в запирающемся сейфе.
9.5. Персональные компьютеры с паролями, сервер, в которых содержатся персональные данные, защищены паролями с использованием защиты информационных систем.
9.6. Помещения оснащены охранной сигнализацией и системой видеонаблюдения.
10.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
11.1. Ответственным лицом за разглашение информации связанной с персональными данными является генеральный директор, а также должностные лица, допустившие разглашения информации.
В документе используются положения следующих нормативных актов:
1.1. Положение об обработке и защите персональных данных пациентов (далее - "Положение") определяет политику ООО «СолоДент» в соответствии с пп. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных".
1.2. Настоящее Положение определяет порядок получения, обработки, учёта, накопления, хранения и защиты от несанкционированного доступа и разглашения сведений, составляющих персональные данные пациентов ООО «СолоДент» (далее – Клиника).
1.3. Обработка персональных данных пациентов организована оператором на принципах:
1.4. Обработка персональных данных пациентов оператором осуществляется с соблюдением принципов и правил, предусмотренных Конституцией РФ, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 29.11.2010 №326-ФЗ «Об обязательном медицинском страховании в Российской Федерации», Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», Федеральным законом от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и настоящим Положением.
1.5. Настоящее Положение и изменения к нему утверждаются руководителем Клиники, вводятся приказом руководителя и подлежат опубликованию на сайте Клиники. Все сотрудники Клиники, работающие с персональными данными пациентов, должны быть ознакомлены с настоящим Положением под роспись.
1.6. При обработке персональных данных оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", Постановлением Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденной ФСТЭК РФ 14.02.2008, Рекомендациями по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных, утвержденными Приказом Роскомнадзора от 19.08.2011 № 706 и иными документами.
2.1. Под персональными данными пациентов понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу, в том числе, его фамилия, имя, отчество, пол, год, месяц, дата и место рождения, адрес места жительства и регистрации, контактные телефоны, реквизиты полиса ОМС (ДМС), индивидуального лицевого счета в Пенсионном фонде России (СНИЛС), паспортные данные, данные о состоянии здоровья, заболеваниях, случаях обращения за медицинской помощью, данные о составе семьи, прочие сведения, которые могут идентифицировать человека.Персональные данные пациентов относятся к специальной категории персональных данных, обработка таких персональных данных должна осуществляться лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну.
Персональные данные пациентов являются конфиденциальными сведениями. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении срока хранения, если иное не определено законодательством РФ. Обеспечение конфиденциальности персональных данных не требуется:
2.2. Обработка персональных данных пациентов - любое действие (консультации, медицинские манипуляции и операция) или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных пациентов.
2.3. Целью обработки персональных данных пациентов является обеспечения соблюдения законов и иных нормативных правовых актов, установление медицинского диагноза и оказания медицинских услуг.
2.4. Пациент принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных даётся в письменной форме (см. Приложение №1 к настоящему Положению) и должно быть конкретным, информированным и сознательным.
В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от субъекта персональных данных проверяются оператором.
Согласие пациента на обработку его персональных данных должно храниться вместе с его медицинской документацией (медицинской картой).
Обработка персональных данных пациентов без их согласия допускается при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных".
Кроме того, предоставление сведений о факте обращения пациента за оказанием медицинской помощи, сведений о состоянии его здоровья и диагнозе, иных сведений, полученных при его медицинском обследовании и лечении (врачебная тайна), без согласия гражданина или его законного представителя допускается:
2.6. Согласие на обработку персональных данных может быть отозвано пациентом (см. Приложение №2 к настоящему Положению). В случае отзыва пациентом согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия пациента при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных". Обязанность предоставить доказательство получения согласия пациента на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", возлагается на оператора.
2.7. Все персональные данные пациента следует получать у него самого. Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных".
2.8. В случае недееспособности пациента согласие на обработку его персональных данных дает его законный представитель.
2.9.Оператор не имеет право получать и обрабатывать персональные данные пациента о его политических, религиозных и иных убеждениях и частной жизни.
2.10. При передаче персональных данных пациента третьим лицам оператор должен соблюдать следующие требования:
2.11. Передача персональных данных пациента сотрудникам оператора для выполнения должностных обязанностей должна осуществлять только в объёме, необходимом для выполнения их работы.
2.12. Доступ к персональным данным пациентов должен быть ограничен и регламентирован для предотвращения утечки данных. При хранении материальных носителей с персональными данными пациентов должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.
2.13. Доступ к персональным данным пациентов внутри ООО «СолоДент» имеют:
2.14. Персональные данные вне ООО «СолоДент» могут представляться в государственные и негосударственные функциональные структуры (внешний доступ):
2.20. Персональные данные пациента могут быть предоставлены его законному представителю, а также родственникам или членам его семьи, иным представителям только с письменного разрешения самого пациента либо его законного представителя.
2.21. Оператор и иные лица, получившие доступ к персональным данным пациентов, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
2.22. Хранение персональных данных пациентов должно осуществляться в форме, позволяющей их идентифицировать.
2.23. Хранение персональных данных пациентов должно происходить в порядке, исключающим их утрату или их неправомерное использование.
2.24. Срок хранения персональных данных пациентов определяется целью обработки персональных данных. По истечению срока хранения или утраты цели обработки персональные данные подлежат уничтожению, обезличиванию или передаче в архив.
3.1. Клиника при обработке персональных данных обязана:
3.2. В целях обеспечения защиты персональных данных, хранящихся у оператора, пациенты имеют право:
3.2.1. на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
3.2.2. Пациент вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
3.2.3. Сведения, указанные в п.3.2.1. ст.3.2. настоящего Положения, предоставляются пациенту или его представителю оператором при обращении либо при получении запроса пациента или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность пациента или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие пациента в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись пациента или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
3.2.4. В случае, если сведения, указанные в п. 3.2.1. ст.3.2. настоящего Положения, а также обрабатываемые персональные данные были предоставлены для ознакомления пациенту по его запросу, пациент вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в п. 3.2.1. ст.3.2. настоящего Положения, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законодательством или договором, стороной которого является пациент.
3.2.5. Пациент вправе обратиться повторно в Клинику или направить ей повторный запрос в целях получения сведений, указанных п.3.2.1. ст.3.2. настоящего Положения, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в п.3.2.4. ст.3.2. настоящего Положения, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в п.3.2.3. ст.3.2. настоящего Положения, должен содержать обоснование направления повторного запроса.
3.2.6. Оператор вправе отказать пациенту в выполнении повторного запроса, не соответствующего условиям, предусмотренным п.3.2.4., 3.2.5. ст.3.2. настоящего Положения. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.
3.2.7. Решение, порождающее юридические последствия в отношении пациента или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме пациента или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов пациентов. Оператор обязан разъяснить пациенту порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты пациентом своих прав и законных интересов. Оператор обязан рассмотреть указанное возражение в течение тридцати дней со дня его получения и уведомить пациента о результатах рассмотрения такого возражения.
3.2.8. Если пациент считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Положения или иным образом нарушает его права и свободы, пациент вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных, также пациент имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда, в судебном порядке.
4.1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.
4.2. Сотрудники, осуществляющие обработку персональных данных пациентов без использования средств автоматизации должны быть проинформированы о факте обработки ими персональных данных пациентов, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных законодательством РФ.
4.3. Персональные данные пациентов при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
4.4. При фиксации персональных данных пациентов на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
4.5. Если материальный носитель не позволяет осуществлять обработку персональных данных пациентов отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
4.6. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
4.7. Уточнение персональных данных пациентов при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
4.8. Обработка персональных данных пациентов, осуществляемая без использования средств автоматизации, осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
4.9. Оператор обязан обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
4.10. При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
4.11. При обработки персональных данных без использования средств автоматизации, длякаждой категории персональных данных обеспечивается место хранения и перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
4.12. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:
5.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных пациентов, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами РФ.
01.12.2023г.