1. НАЗНАЧЕНИЕ ПОЛИТИКИ
Настоящая Политика предназначена для определения концептуальных основ деятельности ООО «ЭС ЭЙ Ричи» по обеспечению защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

2. ОБЛАСТЬ ПРИМЕНЕНИЯ
Настоящая Политика в соответствии с требованиями п. 2 ст. 18.1 Федерального закона «О персональных данных» подлежит опубликованию на официальном сайте https://kmk.clinic. Действующая редакция Политики на бумажном носителе хранится по адресу: 107078, город Москва, ул.Каланчевская д.17 стр.1

3. СРОК ДЕЙСТВИЯ
3.1. Настоящая  Политика  вводится  в  действие сроком на 5 год.
3.2. Настоящая Политика может пересматриваться и заново утверждаться по мере внесения изменений:

  • в нормативные правовые акты в сфере персональных данных;
  • в локальные акты ООО «ЭС ЭЙ Ричи», регламентирующие организацию обработки и обеспечение безопасности персональных данных.

4. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, представление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
Представление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных, и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных — совокупность содержащихся в  базах  данных   персональных данных и  обеспечивающих их обработку информационных технологий и технических средств.
Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

5. НОРМАТИВНЫЕ ССЫЛКИ
1. Настоящая Политика разработана в соответствии с положениями следующих нормативных правовых актов:

  • Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 № 195-ФЗ;
  • Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Федеральный закон от 27.07.2006№ 152-ФЗ «О персональных данных»;
  • Федеральный закон от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно­ телекоммуникационных сетях»;
  • Федеральный закон от 03.04.1995 № 40-ФЗ «О Федеральной службе безопасности»;
  • Федеральный закон от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельнос ти»;
  • Вопросы Федеральной службы по техническому и экспортному контролю (утв. Указом Президента Российской Федерации от 16.08.2004 № 1085);
  • Положение о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (утв. Постановлением Правительства Российской Федерации от 16.03.2009 № 228);
  • Требования к защите персональных данных при их обработке в информационных системах персональных данных (утв. Постановлением Правительства Российской Федерации от 01.11.2012 № 1119);
  • Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. Постановлением Правительства Российской Федерации от 15.09.2008 № 687);
  • Административный регламент Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по исполнению государственной функции «Ведение реестра операторов, осуществляющих обработку персональных данных» (утв. приказом Министерства связи и массовых коммуникаций Российской Федерации от 21.12.2011 № 346);
  • Административный надзору в сфере регламент исполнения Федеральной службой по связи, информационных технологий и массовых коммуникаций, государственного;
  • государственной функции по осуществлению контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (утв. приказом Министерства связи и массовых коммуникаций Российской Федерации от 14.11.2011 № 312);
  • Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утв. приказом Федеральной службы по техническому и экспортному контролю Российской Федерации от 18.02.2013 № 21);
  • Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах 1:ерсональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности (утв. приказом Федеральной службы безопасности Российской Федерации от 10.07.2014 № 378).

2. Во исполнение настоящей Политики в ООО «ЭС ЭЙ Ричи» утверждены Положение о порядке организации и проведения работ по защите персональных данных, Положение о защите персональных данных работника ООО «ЭС ЭЙ Ричи», Положение о защите персональных данных соискателей, пациентов и иных субъектов персональных данных и иные локальные акты в сфере обработки и защиты персональных данных.

6. ОПИСАНИЕ ПОЛИТИКИ

6.1. Принципы, цели, содержание и способы обработки персональных данных
1. ООО «ЭС ЭЙ Ричи» в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
2. Обработка персональных данных в ООО «ЭС ЭЙ Ричи» включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. В ООО «ЭС ЭЙ Ричи» осуществляется обработка персональных данных с использованием средств автоматизации и без использования средств автоматизации.
3. ООО «ЭС ЭЙ Ричи» осуществляет сбор и дальнейшую обработку персональных данных следующих категорий субъектов персональных данных:

  • действительные пациенты ООО «ЭС ЭЙ Ричи»;
  • потенциальные пациенты ООО «ЭС ЭЙ Ричи»;
  • члены   семей   и иные  родственники действительных и потенциальных пациентов ООО «ЭС ЭЙ Ричи»;
  • представители (в   силу  закона  и по  доверенности) действительных и потенциальных пациентов ООО «ЭС ЭЙ Ричи»;
  • сотрудник и представители сторонних медицинских организаций;
  • сотрудники и представители действующих контрагентов ООО «ЭС ЭЙ Ричи» (юридических лиц), включая страховые компании;
  • действующие и потенциальные контрагенты ООО «ЭС ЭЙ Ричи» (физические лица);
  • сотрудники и представители действующих и потенциальных контрагентов ООО «ЭС ЭЙ Ричи» (юридических лиц);
  • посетители частных и публичных мероприятий, организованных ООО «ЭС ЭЙ Ричи»;
  • сотрудники (представители, контактные лица) ООО «ЭС ЭЙ Ричи»;
  • сотрудники ООО «ЭС ЭЙ Ричи», являющиеся гражданами иностранных государств;
  • члены семей сотрудников ООО «ЭС ЭЙ Ричи»;
  • сотрудники юридических лиц и физические лица, представляющие интересы ООО «ЭС ЭЙ Ричи»;
  • лица, участвующие в гражданском, арбитражном, уголовном, административном процессах и исполнительном производстве (участником которых является ООО «ЭС ЭЙ Ричи»);
  • посетители помещений, зданий и территории ООО «ЭС ЭЙ Ричи».

4. ООО «ЭС ЭЙ Ричи» осуществляет сбор и дальнейшую обработку персональных данных в следующих целях:

  • организация и осуществление комплекса мероприятий, направленных на поддержание и (или) восстановление здоровья и включающих в себя предоставление медицинских услуг, в том числе профилактику, диагностику и лечение заболеваний, медицинскую реабилитацию;
  • осуществление дистанционного взаимодействия ООО «ЭС ЭЙ Ричи» с пациентами и иными заинтересованными лицами в рамках сервисно­-информационного обслуживания путем использования телефонной связи, служб мгновенных сообщений, IР-телефонии, электронной почты;
  • осуществление дистанционного взаимодействия ООО «ЭС ЭЙ Ричи» с пациентами и иными заинтересованными лицами посредством сайта ООО «ЭС ЭЙ Ричи» в сети «Интернет»;
  • организация и проведение мероприятий, направленных на повышение узнаваемости и лояльности в отношении ООО «ЭС ЭЙ Ричи», а также продвижение услуг ООО «ЭС ЭЙ Ричи»;
  • проведение тендеров, ведение договорной работы, не связанной с основной деятельностью ОАО «Медицина», в рамках возникновения, изменения и прекращения правоотношений между ООО «ЭС ЭЙ Ричи» и третьими лицами, а также оформление доверенностей на представление интересов ООО «ЭС ЭЙ Ричи»;
  • участие ООО «ЭС ЭЙ Ричи» в гражданском, арбитражном, уголовном, административном процессах и исполнение судебных актов;
  • замещение вакантных должностей в ООО «ЭС ЭЙ Ричи» соискателями, наиболее полно соответствующими требованиям ООО «ЭС ЭЙ Ричи»;
  • выполнение ООО «ЭС ЭЙ Ричи» требований трудового законодательства, законодательства по учету труда и его оплаты;
  • сохранение жизни и здоровья сотрудников ООО «ЭС ЭЙ Ричи» в процессе трудовой деятельности и выявление нарушений состояния здоровья и медицинских противопоказаний к работе у сотрудников ООО «ЭС ЭЙ Ричи»;
  • обеспечение личной безопасности сотрудников ООО «ЭС ЭЙ Ричи», иных лиц, посещающих объекты недвижимости (помещения, здания, территорию) ООО «ЭС ЭЙ Ричи», а также обеспечение сохранности материальных и иных ценностей, находящихся в ведении ООО «ЭС ЭЙ Ричи».

5. В ООО «ЭС ЭЙ Ричи» установлены следующие условия прекращения обработки персональных данных:

  • достижение целей обработки персональных данных и максимальных сроков хранения;
  • утрата необходимости в достижении целей обработки персональных данных;
  • представление субъектом персональных данных или его законным представителем документально подтвержденных сведений о том, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • невозможность обеспечения правомерности обработки персональных данных;
  • отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных;
  • истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных.

6. В ООО «ЭС ЭЙ Ричи» осуществляется обработка биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, установить его личность) с письменного данных (сотрудников и пациентов).
7. В ООО «ЭС ЭЙ Ричи» осуществляется обработка специальных категорий персональных данных о состоянии здоровья в соответствии с требованиями законодательства, а также с письменного согласия субъектов персональных данных (сотрудников и пациентов).
8. ООО «ЭС ЭЙ Ричи» не принимаются решения, порождающие юридические последствия в отношении субъектов персональных данных или иным образом затрагивающие их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.
9. ООО «ЭС ЭЙ Ричи» осуществило уведомление уполномоченного органа по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.

6.2 Меры по надлежащей организации обработки и обеспечению безопасности персональных данных
1. Обеспечение безопасности персональных данных в ООО «ЭС ЭЙ Ричи» достигается, в частности, следующими способами:

  • ознакомлением сотрудников ООО «ЭС ЭЙ Ричи», непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных и/или обучением указанных сотрудников;
  • определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  • применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
  • оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  • учетом машинных (материальных) носителей персональных данных;
  • выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер;
  • восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
  • контролем над соблюдением требований в сфере обеспечения безопасности персональных данных и к уровням защищенности информационных систем персональных данных.

2. Обязанности сотрудников ООО «ЭС ЭЙ Ричи», непосредственно осуществляющих обработку персональных данных, а также их ответственность определяются в локальных актах ООО «ЭС ЭЙ Ричи».

6.3. Права субъектов персональных данных
1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных в ООО «ЭС ЭЙ Ричи».
2. Субъект персональных данных вправе требовать уточнения этих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
4. Субъект персональных данных вправе обжаловать действия или бездействие ООО «ЭС ЭЙ Ричи» путем обращения в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

7. ОТВЕТСТВЕННОСТЬ
7.1. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут дисциплинарную, материальную, гражданско­ правовую, административную и уголовную ответственность в порядке, установленном федеральными законами, локальными актами ООО «ЭС ЭЙ Ричи» и договорами, регламентирующими правоотношения с третьими лицами.