1.Настоящий документ определяет политику ООО «Северная звезда» (далее – Общество, Оператор, Медицинский центр) в отношении обработки персональных данных, осуществляемой Обществом как оператором, а также содержит сведения о реализуемых требованиях к защите персональных данных.
2.Обработка персональных данных в Медицинском центре осуществляется в соответствии с законодательством Российской Федерации, в том числе Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом Российской Федерации от 06.04.2011 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных», Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановлением Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», иными нормативно-правовыми актами.
3. Обработка персональных данных в Медицинском центре осуществляется в целях:
3.1.обеспечения соблюдения законодательства РФ в сфере здравоохранения (оказание медицинских услуг; предоставления информации, необходимой для проведения независимой оценки качества оказания услуг медицинскими организациями; предоставления информации о пациенте в порядке, предусмотренном законом):
- категории субъектов, персональные данные которых обрабатываются: пациенты; законные представители пациентов; медицинские работники, в том числе медицинских организаций - партнеров; лица, сведения о которых указаны в информированном добровольном согласии или согласии на разглашение сведений, составляющих врачебную тайну;
- категории обрабатываемых персональных данных: иные и специальные категории персональных данных;
- перечень обрабатываемых персональных данных пациентов: фамилия, имя, отчество; дата рождения; место рождения; гражданство; паспортные данные; пол; данные свидетельства о рождении; адрес проживания и регистрации, дата регистрации; контактный телефон; адрес электронной почты; сведения о состоянии здоровья; сведения об оказанных медицинских услугах, их стоимости; социальный статус; льготы;
- перечень персональных данных законных представителей пациентов: фамилия, имя, отчество; паспортные данные; адрес; номер телефона; адрес электронной почты;
- перечень персональных данных медицинских работников: фамилия, имя, отчество, должность, сведения из документа об образовании (уровень образования, организация, выдавшая документ об образовании, год выдачи, специальность, квалификация); сведения из сертификата специалиста (специальность, соответствующая занимаемой должности, срок действия);
- перечень обрабатываемых персональных данных лиц, сведения о которых указаны в информированном добровольном согласии/согласии на разглашение сведений, составляющих врачебную тайну: фамилия, имя, отчество; номер телефона;
- способы обработки персональных данных: с использованием средств автоматизации и без использования средств автоматизации;
- срок обработки (исключая хранение) пациентов, законных представителей и лиц, указанных в согласии: до достижения цели обработки персональных данных;
- срок обработки (хранения) персональных данных пациентов, законных представителей и лиц, указанных в согласии: 25 лет, в МИС - 50 лет;
- срок обработки (включая хранение) персональных данных медицинских работников: 75 лет.
3.2.анализа поведенческой информации на сайте Медицинского центра https://avenudent.ru/ с помощью сервисов Яндекс.Метрика, VK Pixel:
- категории субъектов, персональные данные которых обрабатываются: пользователи сайта;
- категории обрабатываемых персональных данных: иные категории персональных данных;
- перечень обрабатываемых персональных данных: частота посещения сайта пользователями; информация об активности на сайте; посещенные страницы и сайты, на которых были пользователи до перехода на сайт Медицинского центра; файлы cookie; данные об устройстве, операционной системе и ее версии;
- способы обработки персональных данных: с использованием средств автоматизации;
- срок обработки (включая хранение): до достижения цели обработки персональных данных.
3.3.осуществления записи на прием к врачу, в том числе в другие клиники, являющиеся партнерами Медицинского центра (поликлиники Авеню):
- категории субъектов, персональные данные которых обрабатываются: пользователи сайта Медицинского центра https://avenudent.ru/; лица, запись которых осуществляется по телефону; лица, которых записывают пользователи сайта;
- категории обрабатываемых персональных данных: иные категории персональных данных;
- перечень обрабатываемых персональных данных: номер телефона; фамилия, имя, отчество; пол; число, месяц, год рождения;
- способы обработки персональных данных: с использованием средств автоматизации;
- срок обработки (включая хранение): до достижения цели обработки персональных данных.
3.4.информирования о специальных предложениях, новостях, акциях Медицинского центра:
- категории субъектов, персональные данные которых обрабатываются: пациенты; законные представители пациентов; пользователи сайта;
- категории обрабатываемых персональных данных: иные категории персональных данных;
- перечень обрабатываемых персональных данных: имя; номер телефона; e-mail; регион; пол; дата рождения;
- способы обработки персональных данных: с использованием средств автоматизации;
- срок обработки (включая хранение): до отзыва согласия.
3.5.получения отзывов об оказанных медицинских услугах посредством сайта https://avenudent.ru:
- категории субъектов, персональные данные которых обрабатываются: пациенты, законные представители пациентов - пользователи сайта;
- категории обрабатываемых персональных данных: иные и специальные категории персональных данных;
- перечень обрабатываемых персональных данных: фамилия, имя; отчество; номер телефона; дата посещения медицинской организации, о враче; сведения о состоянии здоровья;
- способы обработки персональных данных: с использованием средств автоматизации;
- срок обработки (включая хранение): до достижения цели обработки персональных данных.
3.6.информирования неограниченного круга лиц посредством сайта, социальных сетей о деятельности Медицинского центра:
- категории субъектов, персональные данные которых обрабатываются: работники; пациенты; законные представители пациентов; врачи поликлиник «Авеню»;
- категории обрабатываемых персональных данных: иные категории персональных данных;
- перечень обрабатываемых персональных данных: фамилия, имя, отчество; специализация; сведения из документов об образовании, повышении квалификации, переподготовке (копии); должность; места работы, сведения о трудовой деятельности; стаж; ученая степень, ученое звание, почетное звание; категория; информация о достижениях в профессии; профиль лечения; компетенции; информация о членстве в специализированных объединениях; фотоизображение; сведения о научных трудах; сведения об участии в научных и профессиональных мероприятиях.
- способы обработки персональных данных: с использованием средств автоматизации;
- срок обработки (включая хранение): до отзыва согласия.
3.7. оформления и выполнения договорных, преддоговорных отношений:
- категории субъектов, персональные данные которых обрабатываются: контрагенты; работники контрагентов; представители контрагентов; лица, являющиеся заказчиками услуг по договору об оказании платных медицинских услуг;
- категории обрабатываемых персональных данных: иные категории персональных данных;
- перечень обрабатываемых персональных данных: фамилия, имя, отчество; адрес; номер телефона; место работы; должность; e-mail, паспортные данные, ИНН;
- способы обработки персональных данных: с использованием средств автоматизации и без использования средств автоматизации;
- срок обработки (исключая хранение): до исполнения, расторжения договора;
- срок обработки (хранения): 5 лет.
3.8.выполнения требований законодательства, возложенных на Медицинский центр как работодателя:
- категории субъектов, персональные данные которых обрабатываются: работники, близкие родственники работников, бывшие работники;
- категории обрабатываемых персональных данных: иные и специальные категории персональных данных;
- перечень обрабатываемых персональных данных: фамилия, имя, отчество; сведения об изменении фамилии; год, месяц, дата рождения; место рождения; гражданство; адрес регистрации и проживания, дата регистрации по месту жительства; данные паспорта; контактный телефон; семейное положение; сведения о детях; сведения о заключении брака; сведения об образовании; профессия; квалификация; сведения об аттестации, повышении квалификации, профессиональной переподготовке; специальность; стаж работы; ИНН физического лица; сведения о воинском учете; данные водительского удостоверения; данные страхового свидетельства государственного пенсионного страхования; сведения о трудовой деятельности (данные трудовой книжки); сведения о заработной плате; сведения о банковской карте, счете; сведения о состоянии здоровья; сведения о социальных льготах; сведения о наградах (поощрениях), почётных званиях; сведения о знании иностранных языков; сведения о членстве в общественных организациях, выборных органах; сведения об отпусках; сведения об отсутствии судимости; данные заключения о предварительном медицинском осмотре – лиц поступающих на работу.
- способы обработки персональных данных: с использованием средств автоматизации и без использования средств автоматизации;
- срок обработки (исключая хранение): в течение срока трудовых отношений;
- срок обработки (хранения): 50 лет.
3.9.рассмотрения обращений (жалоб, претензий, заявлений), их рассмотрения, направления ответа на них:
- категории субъектов, персональные данные которых обрабатываются: лица, направившие обращение (жалобу, претензию, заявление);
- категории обрабатываемых персональных данных: иные категории персональных данных;
- перечень обрабатываемых персональных данных: фамилия, имя, отчество; номер телефона; дата посещения организации;
- способы обработки персональных данных: с использованием средств автоматизации;
- срок обработки (исключая хранение): до достижения цели обработки персональных данных;
- срок обработки (хранения): 5 лет.
3.10.выполнения требований законодательства, возложенных на Медицинский центр как юридическое лицо:
- категории субъектов, персональные данные которых обрабатываются: конечные бенефициары (учредители);
- категории обрабатываемых персональных данных: иные категории персональных данных;
- перечень обрабатываемых персональных данных: фамилия, имя, отчество; гражданство; дата рождения; реквизиты документа, удостоверяющего личность; ИНН; адрес места жительства (регистрации) или места пребывания, номер телефона, адрес электронной почты;
- способы обработки персональных данных: с использованием средств автоматизации и без использования средств автоматизации;
- срок обработки, включая хранение персональных данных конечных бенефициаров: 5 лет с даты получения информации о конечных бенефициарах.
- срок обработки персональных данных учредителей (участников): на срок участия в организации;
- срок хранения персональных данных учредителей (участников): постоянно.
3.11.рассмотрения кандидатуры соискателя на замещение вакантной должности:
- категории субъектов, персональные данные которых обрабатываются: соискатели;
- категории обрабатываемых персональных данных: иные категории персональных данных;
- перечень обрабатываемых персональных данных: фамилия, имя, отчество; контактный номер телефона; адрес электронной почты; дата рождения; сведения об образовании, стаже работы, достижениях в профессии; сведения, сообщаемые о себе соискателем; сведения о ученом звании, степени, почетном звании, о наградах;
- способы обработки персональных данных: с использованием и без использования средств автоматизации;
- срок обработки (включая хранение): до принятия решения о заключении трудового договора или отказе.
3.12.регистрации и создания личного кабинета на сайте Медицинского центра https://avenudent.ru, пользования им:
- категории субъектов, персональные данные которых обрабатываются: пользователи сайта;
- категории обрабатываемых персональных данных: иные категории персональных данных;
- перечень обрабатываемых персональных данных: номер телефона;
- способы обработки персональных данных: с использованием средств автоматизации;
- срок обработки (включая хранение): на срок пользования личным кабинетом.
3.13.предоставления возможности задать вопрос врачу, направления ответа на него:
- категории субъектов, персональные данные которых обрабатываются: пользователи личного кабинета на сайте https://avenudent.ru;
- категории обрабатываемых персональных данных: иные и специальные категории персональных данных;
- перечень обрабатываемых персональных данных: сведения о состоянии здоровья, фамилия, имя, отчество; пол; возраст; адрес электронной почты;
- способы обработки персональных данных: с использованием средств автоматизации;
- срок обработки (включая хранение): на срок пользования личным кабинетом.
4.Порядок уничтожения персональных данных.
Уничтожение персональных данных субъектов осуществляется комиссией либо уполномоченным работником согласно приказу Медицинского центра в соответствии с «Инструкцией по уничтожению персональных данных в ООО «Северная звезда». Бумажные носители персональных данных уничтожаются Медицинским центром самостоятельно путем шредирования и (или) сжигания. Уничтожение персональных данных на электронных носителях производится путем механического нарушения их целостности, не позволяющим произвести считывание и восстановление персональных данных, или удаления с электронных носителей методами и средствами гарантированного удаления остаточной информации. В информационной системе персональных данных данные удаляются встроенными средствами информационной системы.
Уничтожение персональных данных, находящихся на архивном хранении производится в соответствии с архивным законодательством.
5.Медицинским центром в своей деятельности используются некоторые программы и сервисы.
В целях получения, размещения отзывов Медицинский центр использует программу «1С-Bitrix» (ООО «1С-Битрикс», ИНН 7717586110, адрес: 109544, г. Москва, б-р Энтузиастов, д. 2). В целях осуществления технической поддержки сайта в силу заключенного договора ООО «Вебпрактик» (ИНН_6163109767, адрес: 344022, Ростовская область, г. Ростов-На-Дону, ул. Седова, дом 16, квартира 19) может иметь доступ с использованием средств автоматизации к данным, содержащимся в программе.
Для осуществления рекламных рассылок по электронной почте Медицинским центром используется сервис SendPulse (ООО «Компания Сендпульс», ИНН 7806543414, адрес: 192148, Город Санкт-Петербург, ул. Ольги Берггольц, дом 40, литер Ф, офис 6, 7 ), в силу чего контрагент имеет доступ с использованием средств автоматизации к ФИО и e-mail субъекта.
В целях ведения медицинской документации, записи на прием, осуществления расчетов, учета пациентов и оказанных услуг Медицинский центр использует МИС «Мои пациенты», которая расположена в облачном хранилище «Яндекс. Облако» (Условия использования: https://yandex.ru/legal/cloud_termsofuse/, Соглашение об обработке: https://yandex.ru/legal/cloud_dpa/index.html). Также ООО «Скайтекс» (ООО «Скайтекс», ИНН 6161066331, адрес: 344092, Ростовская область, г. Ростов-На-Дону, б-р Комарова, дом 28Г) может иметь доступ к данным МИС только в случае необходимости технической поддержки по договору.
Медицинский центр использует сервис «SMSC.RU» (ООО «СМС-центр, ИНН 7724805644, адрес: 123112, Город Москва, вн.тер. г. Муниципальный Округ Пресненский, наб Пресненская, дом 6 строение 2, помещение 5301 ) для направляется пациентам смс-напоминания о приеме у врача, а также направления смс для авторизации в личном кабинете на сайте https://avenudent.ru, в силу чего предоставляется доступ к № телефона.
Медицинский центр использует виртуальную (облачную) АТС ПАО «Мегафон», в силу чего записи телефонных разговоров хранятся в облачном хранилище на сервере ПАО «Мегафон» (ИНН_ 7812014560, адрес: Москва, переулок Оружейный, д. 41).
В целях ведения бухгалтерского и налогового учета Медицинский центр пользуется услугами ООО «ДонАудитФинанс» (ИНН 6141026845 ,адрес 346880, Ростовская область, г. Батайск, ул. Кирова, дом 28А), которое осуществляет бухгалтерский, кадровый и налоговой учет.
В целях функционирования различных сервисов сайта Медицинский центр использует сервис «Med.me» ООО «Джибукинг» (ИНН 7709919541, Адрес: город Москва, ул Марксистская, д. 34, корп. 10), в связи с чем контрагент может иметь доступ к персональным данным, содержащимся в сервисе.
Для проведения лабораторных исследований Медицинский центр использует услуги ООО «КДЛ ДОМОДЕДОВО-ТЕСТ» (ИНН 5009046778, адрес: область Московская, Домодедово, ш Каширское, д. 7), ООО «Медикал Геномикс» (ИНН 6952037742, адрес:_ Тверская область, Тверь, ул Желябова, д. 48, оф./кв. 04), ООО «МедБазис» (ИНН 7806469432, адрес: г. Санкт-Петербург, Санкт-петербург, Санкт-петербург, Московский, д. 22, корп. Л, оф./кв. 25-н), в связи с чем указанным организациям передаются данные пациента.
Для анализа поведенческой информации на сайте Медицинского центра https://avenudent.ru применяются сервисы Яндекс.Метрика (ООО «Яндекс», политика конфиденциальности https://yandex.ru/legal/confidential/), VK Pixel (https://ads.vk.com/insights/chto-takoe-piksel-vk-reklamy).
6.Общество осуществляет обработку персональных данных с соблюдением принципов, установленных законодательством, а именно:
- персональные данные обрабатываются на законной и справедливой основе;
- обрабатываются только те персональные данные, которые отвечают целям их обработки;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
- при обработке персональных данных обеспечивается их точность, достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки, если срок хранения персональных данных не установлен законодательством, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
Сведения о реализуемых требованиях к защите персональных данных
7.В целях выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 «О персональных данных» №152-ФЗ, Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» Медицинский центр как оператор, осуществляющий обработку персональных данных, принимает следующие меры:
- в Медицинском центре назначены ответственные: за организацию обработки персональных данных; за реализацию мер, обеспечивающих условия для сохранности персональных данных и исключение несанкционированного к ним доступа; за обеспечение безопасности персональных данных в информационной системе;
- в Медицинском центре утверждены локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
- приняты предусмотренные соответствующими нормативными правовыми актами правовые, организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Медицинского центра;
- выполняются требования, установленные постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» при обработке персональных данных, осуществляемой без использования средств автоматизации;
- осуществляется внутренний контроль (аудит) соответствия обработки персональных данных установленным требованиям в Медицинском центре путем проведения периодических проверок условий обработки персональных данных;
- организован прием и обработка обращений и запросов субъектов персональных данных или их представителей;
- осуществляется ознакомление работников Медицинского центра, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных.
8.Сведения об Обществе внесены в реестр операторов, осуществляющих обработку персональных данных (регистрационный номер 61-17-008619, дата внесения записи в реестр: 18.10.2017).