Политика обработки персональных данных

 

 Утверждена Приказом № 5 от 03.03.2025

Директора ООО «Центр лечения суставов и позвоночника»

 

1. Основные положения

1.1. Настоящей Политикой определяется порядок обращения Общества с ограниченной ответственностью «ООО Центр лечения суставов и позвоночника» (далее Общество) с персональными данными (далее – ПД) работников Общества и его клиентов (лиц, пользующихся услугами Общества). Клиентами считаются как лица, заключившие с Обществом договор медицинского обслуживания, так и лица, проявившие интерес к услугам Общества в форме письменного, телефонного или электронного запроса, либо посещения сайта Общества systav.ru.

1.2. Упорядочение обращения с ПД имеет целью соблюдение законодательства РФ, выполнение Обществом его уставных задач,  обеспечение законных прав и интересов Общества, а также его работников и Клиентов (далее совместно – Пользователи).

1.3. Правовым основанием обработки персональных данных  являются:

  • законодательство РФ, в т.ч. Федеральный закон от 21.11.2011 № 323-ФЗ,  Федеральный закон от 27.07.2006 № 152-ФЗ, Федеральный закон от 25.07.2011 N 261-ФЗ;
  • уставные и лицензионные документы Общества;
  • договоры между Обществом и его Клиентами и работниками;
  • договоры между Обществом и третьими лицами в части обработки ими ПД;
  • согласие Пользователей на обработку их персональных данных.

1.4. Персональные данные работника, Клиента – это любая информация, относящаяся к конкретному работнику, Клиенту (субъекту ПД) и необходимая Обществу в связи с трудовыми и гражданско-правовыми отношениями.

Сведения о ПД работников, Клиентов относятся к числу конфиденциальных данных (составляющих охраняемую законом тайну Общества).

1.5. Обработка ПД включает сбор персональных данных, запись их на бумажные и электронные носители информации, систематизацию, хранение, корректировку, извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование (временное прекращение обработки), удаление, уничтожение персональных данных.

1.6. Обработка ПД осуществляется Обществом на основе следующих принципов:

  • соответствия правовым основаниям, изложенным в п.1.3.;
  • соответствия способов обработки персональных данных, их состава и объема целям, указанным в п.2 настоящей Политики ;
  • достоверности и достаточности ПД для целей обработки, недопустимости обработки избыточных ПД;
  • недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместных между собой;
  • уничтожения или обезличивания персональных данных по достижении целей обработки, если иное не предусмотрено законодательством РФ, договором с Клиентом;
  • обеспечения конфиденциальности и безопасности обрабатываемых персональных данных.

1.7. Настоящая редакция Политики начинает действовать с момента её утверждения, действует бессрочно и подлежит корректировке при изменении законодательства и нормативно-правовых актов, по рекомендациям надзорных органов, а также накопленной Обществом практики операций с ПД.

Все предыдущие редакции Политики считаются утратившими силу.

1.8. Настоящая Политика соответствует требованиями Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ и опубликована на официальном сайте Общества  https://systav.ru.

 

2. Цель обработки персональных данных

2.1. Обеспечение соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации.

2.2. Реализация государственной политики в сфере охраны здоровья граждан.

2.3. Оказание Обществом лицензированных медицинских услуг, исполнение обязательств Общества перед Клиентами по договорам с ними, информирование Клиентов в случае необходимости, а также выполнение условий трудового договора с работниками Общества в соответствии с законодательством.

2.4. Ведение Обществом кадровой, финансовой, хозяйственной деятельности в соответствии с законодательством РФ и учредительными документами Общества.

2.5. Проведение рекламных кампаний и других маркетинговых мероприятий, ведение сайта Общества systav.ru.

2.6. Обезличенные данные Пользователей, собираемые с помощью сервисов интернет-статистики, служат для сбора информации о действиях Пользователей на сайте в целях улучшения качества сайта и обеспечения взаимодействия с Пользователями.

2.7.Не допускается обработка персональных данных, несовместимая с указанными целями сбора ПД.

 

3. Состав обрабатываемых персональных данных.

3.1. Содержание и объем обрабатываемых ПД должны соответствовать заявленным целям обработки и не должны быть избыточными по отношению к заявленным целям.

3.2.Общество обрабатывает ПД следующих основных категорий субъектов персональных данных:

3.2.1.Работники Общества:

  • паспортные данные, адрес фактического проживания;
  • изображение (фотография);                                                                                          
  • контактные данные–телефон, адрес электронной почты;                                   
  • индивидуальный номер налогоплательщика (ИНН) и страховой номер индивидуального лицевого счета (СНИЛС);
  • сведения об образовании, квалификации, профессиональной подготовке и трудовой деятельности;
  • семейное положение, сведения о несовершеннолетних детях;
  • сведения о воинском учете;
  • иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.

3.2.2.Клиенты Общества (пациенты, заключившие договор с Обществом):

  • паспортные данные;
  • контактные данные - телефон, адрес электронной почты;
  • специальные категории персональных данных - данные о состоянии здоровья;
  • иные персональные данные, предоставляемые клиентами, необходимые для заключения и исполнения договоров.

3.2.3. Лица, обратившиеся с запросами, сообщениями, заявлениями, жалобами, предложениями:

  • фамилия, имя, отчество;
  • контактные данные;
  • иные персональные данные, сообщаемые указанными лицами

3.3. В целях оказания медицинских услуг Общество осуществляет обработку специальных категорий персональных данных Клиентов  о состоянии здоровья в соответствии с требованиями законодательства Российской Федерации.

 

4. Обработка ПД

4.1. Обработка ПД работника Общества:

4.1.1. Источником информации обо всех ПД работника является непосредственно работник. Работник Общества представляет в ООО «Центр лечения суставов и позвоночника»» достоверные сведения о себе.

Защита ПД работника от неправомерного их использования, утраты обеспечивается Обществом за счет собственных средств, в порядке, установленном законодательством РФ.

Общество не имеет права получать и обрабатывать ПД работника о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, семейной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ Общество вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

4.1.2. Общество вправе обрабатывать ПД работников только с их письменного согласия.

Письменное согласие работника на обработку своих ПД должно включать в себя:

  • фамилию, имя, отчество, адрес субъекта ПД, номер основного документа, удостоверяющего его личност, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование, адрес, ИНН оператора, получающего согласие субъекта ПД;
  • цель обработки ПД;
  • перечень ПД, на обработку которых дается согласие субъекта ПД;
  • перечень действий с ПД, на совершение которых дается согласие, общее описание используемых Обществом способов обработки ПД;
  • срок, в течение которого действует согласие, а также порядок его отзыва.

4.1.3. Согласие работника не требуется в следующих случаях:

  • ПД являются общедоступными
  • обработка ПД осуществляется на основании Трудового кодекса РФ или иного федерального закона, устанавливающего ее цель, условия получения ПД и круг субъектов, ПД данные которых подлежат обработке без их согласия;
  • обработка ПД осуществляется для статистических или иных научных целей при условии обязательного обезличивания ПД;
  • обработка ПД необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение его согласия невозможно.

4.2. Обработка ПД Клиента Общества:

4.2.1. Общество осуществляет обработку ПД Клиентов в целях достижения уставных целей деятельности Общества и выполнения договорных обязательств перед Клиентами с учётом соблюдения законодательства РФ.

Обработку ПД Клиентов осуществляют сотрудники Общества, уполномоченные на то должностными инструкциями, иными внутренними документами Общества.

Сотрудники Общества, осуществляющие обработку ПД Клиентов, должны быть проинформированы о правилах такой обработки в соответствии с настоящей Политикой.Обработка ПД Клиентов Общества осуществляется с их согласия на обработку их ПД, а также в иных случаях, предусмотренных Федеральным законом от 27.07.2006г. № 152-ФЗ «О персональных данных».

4.2.2. Согласие на обработку ПД может быть дано в письменной, конклюдентной или иной форме, предусмотренной действующим законодательством РФ. В соответствии со статьей 158 Гражданского кодекса РФ конклюдентное или подразумеваемое согласие - это действие лица, выражающие его волю установить правоотношения (например, заключить договор), но не в форме устного или письменного волеизъявления, а поведением, по которому можно сделать заключение о таком намерении, такие как:

  • заполнение анкет, изучение возможности получения медицинской услуги;
  • запрос и получение информации, которая является предметом деятельности Общества.

4.2.3. При недееспособности Клиента письменное согласие на обработку его данных дает его законный представитель.

Клиент Общества может в любой момент отозвать свое согласие на обработку ПД при условии, что подобная процедура не нарушает требований законодательства РФ и допускается условиями договора.

В случае отзыва Клиентом Общества согласия на обработку ПД, Общество вправе продолжить обработку ПД без согласия Клиента при наличии оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 ФЗ от 27.07.2006г. № 152-ФЗ «О персональных данных».

4.2.4. Обработка ПД может осуществляться без согласия Клиента в соответствии с пунктами 2-11 части 1 статьи 6, а также пунктом 4 статьи 6 ФЗ от 27.07.2006г. № 152-ФЗ «О персональных данных».

4.3. Общество вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. При этом Общество в договоре обязывает лицо, осуществляющее обработку персональных данных по поручению Общества, соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных и настоящей Политикой. При этом Общество несёт ответственность за действия контрагента по договору.

4.4. Согласие на обработку персональных данных, разрешённых субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

 

5. Порядок обработки ПД

Обработка ПД в Обществе осуществляется без использования средств автоматизации в виде документов на бумажных носителях и в электронном виде (файлы, базы данных) на электронных носителя информации.

С целью уменьшения объема ПД, подлежащих защите может быть произведено обезличивание ПД Клиента Общества.

Обезличенные ПД должны представлять собой информацию на бумажном или магнитном носителе, принадлежность которой к конкретному физическому лицу невозможно определить без использования дополнительной информации в силу произведенных при обработке ПД действий.

В зависимости от передаваемой информации, обезличивание ПД может производиться следующими образом:

  • скрытие ПД (удаление всей или части записи ПД);
  • замена ПД (переставление полей одной записи ПД с теми же самыми полями другой аналогичной записи);
  • использование специальных алгоритмов (маскирование ПД или подмена определенных символов другими).

Лицо, ответственное за обработку ПД обладает правом самостоятельного выбора механизма обезличивания ПД.

 

6. Передача ПД

6.1.При передаче ПД Общество должно соблюдать следующие требования:

  • не сообщать ПД третьей стороне без письменного согласия работника, Клиента Общества, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, Клиенту Общества, а также в случаях, установленных законодательством РФ;
  • не сообщать ПД в коммерческих целях без письменного согласия работника, Клиента Общества;
  • предупредить лиц, получивших ПД, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие ПД, обязаны соблюдать режим секретности (конфиденциальности);
  • осуществлять передачу ПД в соответствии с настоящей Политикой;
  • разрешать доступ к ПД только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те ПД, которые необходимы для выполнения конкретной функции;
  • не запрашивать информацию о состоянии здоровья работника Общества, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
  • передавать ПД работника, Клиента Общества его законным полномочным представителям в порядке, установленном законодательством РФ и ограничивать эту информацию только теми ПД, которые необходимы для выполнения указанными представителями их функций.

6.2. Общество не осуществляет трансграничную передачу данных.

 

7. Хранение ПД

7.1. Общество обеспечивает хранение ПД в надлежаще защищённых помещениях, организует необходимую и достаточную защиту технических средств обработки и хранения информации.

7.2. Общество осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки ПД. При этом общие сроки хранения ПД  соответствуют Приказу Министерства здравоохранения РФ от 3.08.2023 г. № 408 «Об утверждении перечня документов, образующихся в деятельности Министерства здравоохранения Российской Федерации и подведомственных ему организаций, с указанием сроков хранения» и Приказа Росархива от 20.12.2019 N 236.

Обрабатываемые ПД подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ.

 

8. Доступ к ПД

Право доступа к ПД имеют:

  • директор Общества;
  • главный врач Общества;
  • работники бухгалтерии (кроме врачебной информации);
  • администратор;
  • врачи (по своему виду деятельности).

Субъект ПД имеет право:

  • получать доступ к своим ПД и ознакомление с ними, включая право на безвозмездное получение копии любой записи, содержащей его ПД;
  • требовать уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для Общества ПД;
  • работник Общества вправе получать от Общества сведения о лицах, которые имеют доступ к его ПД или которым может быть предоставлен такой доступ; перечень обрабатываемых ПД и источник их получения; сроки обработки ПД, в том числе сроки их хранения; сведения о том, какие юридические последствия для него может повлечь за собой обработка его ПД;
  • обжаловать в уполномоченный орган по защите прав субъектов ПД или в судебном порядке неправомерные действия или бездействия Общества при обработке и защите его ПД.

Сведения, указанные выше, предоставляются субъекту ПД при обращении либо при получении запроса субъекта ПД (уполномоченного представителя Клиента Общества). Запрос должен содержать номер и серию основного документы, удостоверяющего личность субъекта ПД (уполномоченного представителя Клиента Общества), сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие Клиента Общества в отношениях с Обществом (номер договора, дата заключения договора и иные сведения), либо сведения иным образом, подтверждающие факт обработки ПД субъекта, подпись субъекта ПД (уполномоченного представителя Клиента Общества).

Общество не вправе заставлять Клиентов к предоставлению их ПД, однако вправе требовать этого, если подобные обязательства прямо вытекают из требований законодательства РФ.

Общество обязано сообщить в уполномоченный орган по защите прав субъектов ПД по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса.

 

9. Ответственность за нарушение требований настоящей Политики.

Сотрудники Общества, виновные в нарушении порядка обращения с ПД, несут дисциплинарную, административную, гражданско-правовую, уголовную ответственность в соответствии с законодательством РФ.

За неисполнение или ненадлежащее исполнение уполномоченными сотрудниками Общества по его вине возложенных на него обязанностей по соблюдению установленного порядка работы с ПД, Общество вправе применять, предусмотренные Трудовым кодексом РФ дисциплинарные взыскания.

Сотрудники Общества, получающие доступ к обрабатываемым ПД, несут персональную ответственность за конфиденциальность полученной информации.

 

10. Сведения о реализуемых требованиях к защите персональных данных

Общество при обработке ПД принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

К таким мерам в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» относятся:

  • определение угроз безопасности персональных данных при их обработке;
  • применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в соответствии с установленными уровнями защищенности персональных данных;
  • выделение защищённого помещения для хранения персональных данных и недопущение несанкционированного доступа в него;
  • учет и контроль машинных носителей персональных данных;
  • контроль за принимаемыми мерами по обеспечению безопасности персональных данных;
  • размещение технических средств обработки персональных данных в пределах охраняемой территории;
  • поддержание технических средств охраны, сигнализации в исправном состоянии, обеспечивающем надлежащую охрану территории, на которой производится обработка персональных данных.

 

11. Согласие на обработку персональных данных с помощью сервиса «Яндекс Метрика» и технологии cookie

11.1. ООО «Центр лечения суставов и позвоночника» для сбора статистики использует подсистему «Яндекс Метрика» и другие системы web-аналитики. Эти технологии позволяют делать сайт лучше и эффективнее для пользователей. В процессе своей работы «Яндекс Метрика» на основе пользовательских данных, переданных устройством Пользователя, собирает такие сведения, как его IP-адрес, информация о браузере и операционной системе на устройстве Пользователя, количество просмотренных страниц и длительность пребывания на сайте, запросы при переходе на страницы сайта, информация об онлайн-действиях Пользователя на сайте.

При посещении сайта systav.ru. Пользователь сталкивается с применяемой Обществом обще отраслевой технологией, называемой cookie – небольшими текстовыми файлами, которые сайт сохраняет на компьютере или на мобильном устройстве Пользователя при заходе на сайт. Сookie широко используются как для оптимизации работы сайта, так и для предоставления нужной информации его владельцам и Пользователю.
Общество использует cookie для того, чтобы узнавать Пользователя, когда он заходит на сайт. Это означает, что ему не нужно авторизовываться каждый раз при заходе на сайт, а Общество может запомнить пользовательские настройки и предпочтения.
Информация об использовании Сайта, собранная при помощи cookie и  сервисы «Яндекса», используется для оценки эффективности использования Сайта, проведения рекламной кампании Общества, составления отчетов о деятельности Сайта.

Собранная при помощи cookie  и web-аналитики информация не может идентифицировать Пользователя, при этом она направлена на улучшение работы сайта и улучшения возможностей Пользователя при работе с сайтом. Никакая конкретная информация относительно личности Пользователя не будет сохраняться или использоваться Обществом без его согласия.

11.2. Продолжая пользоваться этим сайтом, вы соглашаетесь на использование cookie и сервисов «Яндекс Метрика», а также на обработку данных в соответствии с Политикой обработки персональных данных, размещенной на Сайте systav.ru. Если вы не хотите использовать cookie, вы можете отключить их в настройках безопасности вашего браузера. Обратите внимание, что в случае, если использование cookie на нашем сайте вами отклонено или отключено, некоторые возможности и услуги сайта могут быть недоступны.

11.3. Срок обработки персональных данных посредством «Яндекс.Метрика» составляет 1 год. Персональные данные уничтожаются стиранием или перезаписью диска.