17.01.2022

Политика в отношении персональных данных

Политика в отношении персональных данных
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ

1. Настоящая Политика обработки персональных данных в обществе с ограниченной ответственностью «Детский доктор» (ООО «Детский доктор») (далее Политика) разработана в соответствии с требованиями нормативных правовых актов Республики Беларусь, регулирующих процессы обработки персональных данных (далее ПДн).
Политика определяет принципы обработки (сбора, систематизации, хранения, изменения, использования, обезличивания, блокирования, распространения, предоставления, удаления) и защиты ПДн пациентов ООО «Детский доктор» (далее субъекты ПДн) реализуемые в ООО «Детский доктор» (далее Общество).
Настоящая Политика разработана в соответствии с Законом Республики Беларусь от 07.05.2021 N 99-З «О защите персональных данных» (далее – Закон) и другими нормативными правовыми актами, регламентирующим процессы обработки персональных данных.
2. Действие настоящей Политики распространяется на все процессы по сбору, систематизации, хранению, изменению, использованию, обезличиванию, блокированию, распространению, предоставлению, удалению, уничтожению ПДн, осуществляемые как с использованием средств автоматизации, так и без использования таких средств.
Положения настоящей Политики являются основой для организации работы по обработке персональных данных в Обществе, в том числе, для разработки локальных нормативных правовых актов (порядков, регламентов, методик и пр.), регламентирующих процесс обработки персональных данных в Обществе.
3. Положения настоящей Политики действуют бессрочно, до их замены.
4. Политика подлежит изменению, дополнению в случае появления новых и изменения существующих законодательных актов и специальных нормативных документов об обработке и защите персональных данных. Новая редакция Политики вступает в силу с момента ее опубликования или обеспечения неограниченного доступа к ней иным образом, если иное не предусмотрено новой редакцией Политики.
5. Применяемые в настоящей Политике термины используются в следующих значениях:
блокирование персональных данных — прекращение доступа к персональным данным без их удаления;
обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
обработка персональных данных — любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;
общедоступные персональные данные — персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов;
ООО «Детский доктор» — оператор персональных данных самостоятельно организующее и (или) осуществляющее обработку персональных данных;
персональные данные — любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
предоставление персональных данных — действия, направленные на ознакомление с персональными данными определенных лица или круга лиц;
распространение персональных данных — действия, направленные на ознакомление с персональными данными неопределенного круга лиц;
субъект персональных данных — физическое лицо, в отношении которого осуществляется обработка персональных данных;
трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства;
удаление персональных данных — действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных.
ГЛАВА 2
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

5. Принципы и цели обработки ПДн:
Обработка ПДн осуществляется на основе следующих принципов:
обработка на законной и справедливой основе;
соблюдение законов и иных нормативных правовых актов, регламентирующих процессы обработки ПДн;
ограничение обработки ПДн достижением конкретных, заранее определенных и законных целей;
недопущение обработки ПДн, несовместимой с целями сбора ПДн;
недопущение объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
обработка только тех Пдн, которые отвечают целям их обработки;
ограничение содержания и объема, обрабатываемых ПДн соответствием заявленным целям их обработки;
ограничение избыточности обрабатываемых ПДн заявленным целям обработки;
обеспечение точности и достаточности, а в необходимых случаях и актуальности ПДн по отношению к заявленным целям их обработки.
Обработка ПДн в Обществе осуществляется исключительно в следующих целях:
предоставление медицинских услуг Субъектам персональных данных;
обеспечение личной безопасности работников;
поддержания/повышения качества, удобства и/или доступности медицинских услуг, в том числе организации электронного документооборота;
обеспечение сохранности имущества Общества;
исполнение Обществом обязательств по договору, стороной по которому является Субъект персональных данных;
информирования (распространения информации) о медицинских услугах, которые могут быть оказаны Обществом, рекламы медицинских услуг;
организации и проведения Обществом программ лояльности, маркетинговых и/или рекламных акций, исследований, опросов;
продвижения услуг и/или товаров Общества и/или партнеров Общества путем осуществления прямых контактов с пациентами Общества с помощью различных средств связи, включая, но не ограничиваясь: по телефону с использованием специальных программ обмена сообщений, смс – рассылка сообщений, по электронной почте, почтовой рассылке и иными не запрещенными способами;
предоставления Субъекту персональных данных информации об оказываемых Обществом услугах;
ведения кадровой работы и организации учета работников Общества;
привлечения и отбора Кандидатов на работу в Обществе;
регулирования трудовых и иных, непосредственно связанных с ними отношений;
иных целях, не противоречащих законодательству Республики Беларусь.
6. Сбор, накопление, хранение, изменение, использование и передача ПДн осуществляется при условии наличия согласия Субъекта ПДн, за исключением случаев, когда в соответствии с действующим законодательством допускается обработка ПДн без получения согласия субъекта ПДн, а именно:
если специальные персональные данные сделаны общедоступными персональными данными самим субъектом персональных данных;
при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством;
при обработке общественными объединениями, политическими партиями, профессиональными союзами, религиозными организациями персональных данных их учредителей (членов) для достижения уставных целей при условии, что эти данные не подлежат распространению без согласия субъекта персональных данных;
в целях организации оказания медицинской помощи при условии, что такие персональные данные обрабатываются медицинским, фармацевтическим или иным работником здравоохранения, на которого возложены обязанности по обеспечению защиты персональных данных и в соответствии с законодательством распространяется обязанность сохранять врачебную тайну;
для осуществления правосудия, исполнения судебных постановлений и иных исполнительных документов, совершения исполнительной надписи, оформления наследственных прав;
для целей ведения административного и (или) уголовного процесса, осуществления оперативно-розыскной деятельности;
в случаях, предусмотренных уголовно-исполнительным законодательством, законодательством в области национальной безопасности, об обороне, о борьбе с коррупцией, о борьбе с терроризмом и противодействии экстремизму, о предотвращении легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения, о Государственной границе Республики Беларусь, о гражданстве, о порядке выезда из Республики Беларусь и въезда в Республику Беларусь, о статусе беженца, дополнительной защите, убежище и временной защите в Республике Беларусь;
в целях обеспечения функционирования единой государственной системы регистрации и учета правонарушений;
в целях ведения криминалистических учетов;
для организации и проведения государственных статистических наблюдений, формирования официальной статистической информации;
для осуществления административных процедур;
в связи с реализацией международных договоров Республики Беларусь о реадмиссии;
при документировании населения;
для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
в случаях, когда обработка специальных персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами;
в случаях, когда Законом и иными законодательными актами прямо предусматривается обработка специальных персональных данных без согласия субъекта персональных данных.
7. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют соответствующие цели обработки ПДн, если срок хранения ПДн не установлен Законом, договором, стороной которого является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки, или в случае утраты необходимости в достижении этих целей.
ПДн субъектов могут обрабатываться как на бумажных носителях, так и в электронном виде.
ПДн на бумажных носителях хранятся в запираемых шкафах.
ПДн субъектов в электронном виде обрабатываются в компьютерных сетях Общества.
8. Общество вправе поручить обработку ПДн третьему лицу с согласия субъекта ПДн, если иное не предусмотрено Законом, на основании заключаемого с этим лицом договора. При этом Общество в договоре обязует третье лицо, осуществляющее обработку ПДн по поручению Общества, соблюдать принципы и правила обработки ПДн, предусмотренные Законом и другими нормативными правовыми актами, регламентирующим процессы обработки ПДн.
В случае если Общество поручает обработку ПДн третьему лицу, ответственность перед субъектом ПДн за действия указанного лица несет Общество. Лицо, осуществляющее обработку ПДн по поручению Общества, несет ответственность перед Обществом.
Общество обязуется и обязует третьих лиц, получивших доступ к ПДн, не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено законом.
9. Трансграничная передача ПДн Обществом не осуществляется.
10. В случае достижения целей обработки ПДн – Общество прекращает обработку ПДн, если иное не предусмотрено соглашением между Обществом и Субъектом персональных данных.
11. В случае отзыва субъектом ПДн согласия на обработку своих ПДн Общество прекращает их обработку, осуществляет их удаление и уведомляет об этом Субъекта персональных данных, если отсутствуют иные основания для таких действий с персональными данными, предусмотренные настоящим Законом и иными законодательными актами.
При отсутствии технической возможности удаления персональных данных Общество обязано принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомить об этом субъекта персональных данных в тот же срок.
12. В случае выявления неправомерной обработки ПДн – Общество предпринимает меры по уничтожению этих ПДн в срок, не превышающий трех рабочих дней со дня выявления неправомерной обработки ПДн. В случае, если обеспечить правомерность обработки персональных данных невозможно, Общество в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки персональных данных, обязано уничтожить такие персональные данные или обеспечить их уничтожение.
В случае отсутствия возможности уничтожения ПДн в течение указанного срока, Общество осуществляет блокирование таких ПДн и обеспечивает уничтожение ПДн в срок, не превышающий 6 месяцев со дня выявления неправомерной обработки ПДн, если иной срок не установлен действующим законодательством или иными нормативными правовыми актами, регулирующими процессы обработки ПДн.
13. В случае обращения субъекта ПДн с заявлением об уничтожении его персональных данных, Общество обязано в срок, не превышающий пятнадцати дней с момента подачи субъектом ПДн заявления, прекратить обработку персональных данных данного субъекта, указанного в заявлении, а также осуществить их удаление (обеспечить прекращение обработки персональных данных, а также их удаление уполномоченным лицом) и уведомить об этом Субъекта персональных данных.
При отсутствии технической возможности удаления персональных данных оператор обязан принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомить об этом субъекта персональных данных в тот же срок.
ПДн на бумажных носителях уничтожаются с помощью средств, гарантирующих невозможность восстановления носителя.
Уничтожение информации с машиночитаемых носителей ПДн, производится способом, исключающим возможность использования и восстановления информации.
Уничтожение ПДн производится в соответствии с актуальными внутренними процессами Общества.
14. При обработке ПДн Общество принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
Обеспечение безопасности ПДн достигается, в частности:
определением угроз безопасности ПДн при их обработке в информационных системах персональных данных (далее ИСПДн);
применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные уровни защищенности ПДн;
оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
обнаружением фактов несанкционированного доступа к ПДн и принятием необходимых мер;
восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
установлением правил доступа к ПДн, обрабатываемых в ИСПДн, а также обеспечением регистрации доступа к ПДн в ИСПДн;
контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.
ГЛАВА 3
ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

15. Общество обеспечивает конфиденциальность ПДн, то есть не допускает их распространения без согласия субъекта ПДн или наличия иного законного основания. Обеспечение конфиденциальности обезличенных и общедоступных ПДн осуществляется аналогично обеспечению конфиденциальности иных данных, обрабатываемых в Обществе.
16. Общество осуществляет организацию внутреннего доступа сотрудников Общества к информации, содержащей персональные данные.
В рамках настоящей Политики под внутренним доступом понимается доступ к ПДн, предоставляемый работникам Общества.
Доступ к ПДн предоставляется только тем работникам Общества, которым он необходим для исполнения их непосредственных должностных обязанностей.
17. Допуск работников Общества к обработке ПДн осуществляется на основании утвержденного Перечня должностей работников, допущенных к обработке ПДн, обрабатываемых в Обществе. Работник Общества допускается к обработке ПДн после ознакомления его с Перечнем должностей работников, только в том случае, если занимаемая им должность указана в Перечне и только в рамках тех задач, которые он обязан осуществлять для выполнения своих служебных обязанностей.
Работник Общества допускается к обработке ПДн только после ознакомления с действующими нормативными правовыми актами, регламентирующими обработку ПДн, локальными нормативными актами Общества, регламентирующими обработку ПДн, и после подписания обязательства о неразглашении информации, содержащей ПДн.
18. Общество обеспечивает реализацию прав субъектов ПДн в порядке и на условиях, регламентированных Законом Республики Беларусь от 07.05.2021 N 99-З «О защите персональных данных», в соответствии с которым субъект ПДн имеет право:
18.1. Получить информацию, касающуюся обработки ПДн Обществом, и изменение ПДн, а именно:
наименование (фамилию, собственное имя, отчество (если таковое имеется)) и место нахождения (адрес места жительства (места пребывания)) оператора;
подтверждение факта обработки персональных данных оператором (уполномоченным лицом);
его персональные данные и источник их получения;
правовые основания и цели обработки персональных данных;
срок, на который дано его согласие;
наименование и место нахождения уполномоченного лица, которое является государственным органом, юридическим лицом Республики Беларусь, иной организацией, если обработка персональных данных поручена такому лицу;
иную информацию, предусмотренную законодательством.
Для получения вышеуказанной информации субъект персональных данных подает Обществу заявление в соответствии со статьей 14 Закона.
18.2. Потребовать от Общества внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными.
В этих целях субъект персональных данных подает Обществу заявление в порядке, установленном статьей 14 Закона, с приложением соответствующих документов и (или) их заверенных в установленном порядке копий, подтверждающих необходимость внесения изменений в персональные данные.
18.3. Отозвать свое согласие на обработку ПДн в любое время без объяснения причин посредством подачи Обществу заявления в порядке, установленном статьей 14 Закона, либо в форме, посредством которой получено его согласие.
18.4. Получать от Общества информацию о предоставлении своих ПДн третьим лицам один раз в календарный год бесплатно, если иное не предусмотрено настоящим Законом и иными законодательными актами.
Для получения вышеуказанной информации Субъект персональных данных подает заявление оператору в порядке, установленном статьей 14 Закона.
18.5. Требовать от Общества бесплатного прекращения обработки своих ПДн, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных настоящим Законом и иными законодательными актами.
Для реализации указанного права Субъект персональных данных подает Обществу заявление в порядке, установленном статьей 14 Закона.
18.6. Обжаловать действия (бездействие) и решения Общества, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц;
ГЛАВА 4
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

19. За нарушение требований настоящей Политики (иных локальных нормативных правовых актов Общества, принятых в развитие ее положений), в том числе касающихся несоблюдения принципов и условий обработки персональных данных физических лиц, а также за разглашение или незаконное использование персональных данных Общество и Работники несут дисциплинарную, гражданско-правовую, административную, уголовную ответственность в соответствии с законодательством Республики Беларусь.