ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Общие положения
1.1. Настоящая Политика определяет порядок обработки и защиты персональных данных индивидуальным предпринимателем Борозенец Юлией Андреевной (ОГРНИП 325774600789994, ИНН 463313371142), адрес регистрации: 105122, г. Москва, ул. Амурская, д. 2А, к. 1, кв. 109, место осуществления медицинской деятельности: 109028, г. Москва, Певческий переулок, д. 4, стр. 1, помещение 1/3 (далее — Оператор), в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в его исполнение нормативными актами.
1.2. Политика распространяется на все персональные данные, которые Оператор может получить от физических лиц (далее — субъекты), включая пациентов, обратившихся за оказанием платных медицинских услуг, а также посетителей сайта https://smysl.help.
1.3. Целью Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе права на неприкосновенность частной жизни, личную и врачебную тайну.

2. Основные понятия, используемые в Политике
2.1. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2.2. Оператор – индивидуальный предприниматель Борозенец Юлия Андреевна, самостоятельно или совместно с другими лицами организующий обработку персональных данных, а также определяющий цели обработки, состав персональных данных, подлежащих обработке, и действия (операции), совершаемые с персональными данными.
2.3. Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых как с использованием средств автоматизации, так и без них. Включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение.
2.4. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
2.5. Обезличивание персональных данных – действия, в результате которых невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.
2.6. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

3. Принципы обработки персональных данных
3.1. Обработка персональных данных осуществляется на законной и справедливой основе.
3.2. Обработка ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора.
3.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
3.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
3.5. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям. Не допускается избыточность обрабатываемых данных по отношению к заявленным целям их обработки.
3.6. При обработке персональных данных обеспечивается точность, достаточность и актуальность данных по отношению к целям обработки. Оператор принимает необходимые меры по удалению или уточнению неполных или неточных данных.
3.7. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели обработки, если срок хранения не установлен федеральным законом (в частности, сроки хранения медицинской документации).

4. Цели обработки персональных данных
Оператор обрабатывает персональные данные в следующих целях:
  • заключение и исполнение Договора оказания платных медицинских услуг, включая идентификацию пациента, ведение медицинской документации (медицинской карты), учёт оказанных услуг;
  • установление медицинского диагноза, определение тактики лечения, обеспечение надлежащего качества и безопасности медицинской помощи;
  • проведение взаиморасчётов, выставление счетов, контроль оплаты услуг;
  • соблюдение требований законодательства (налогового, бухгалтерского, отраслевого), включая передачу сведений в уполномоченные государственные органы в установленных законом случаях;
  • передача сведений в Единую государственную информационную систему в сфере здравоохранения (ЕГИСЗ) в порядке, предусмотренном ст. 91.1 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
  • предоставление ответов на запросы и обращения субъектов.

5. Правовые основания обработки
Обработка персональных данных осуществляется на основании:
  • Конституции Российской Федерации (ст. 23, 24);
  • Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ;
  • Федерального закона «Об основах охраны здоровья граждан в Российской Федерации» от 21.11.2011 № 323-ФЗ;
  • Правил предоставления медицинскими организациями платных медицинских услуг, утв. Постановлением Правительства РФ от 11.05.2023 № 736;
  • Договора оказания платных медицинских услуг, заключаемого с пациентом;
  • информированного добровольного согласия на медицинское вмешательство и согласия на обработку персональных данных, предоставляемых пациентом;
  • иных нормативных правовых актов Российской Федерации.

6. Категории обрабатываемых персональных данных
6.1. Оператор обрабатывает следующие категории данных:
  • общие персональные данные: фамилия, имя, отчество; дата рождения; пол; паспортные данные (серия, номер, кем и когда выдан, код подразделения); адрес регистрации и фактического проживания; номер телефона; адрес электронной почты; СНИЛС;
  • данные полиса ОМС (при наличии);
  • специальные категории персональных данных: сведения о состоянии здоровья, включая диагнозы, анамнез, результаты медицинских обследований, сведения о назначенном и проведённом лечении, иная медицинская информация, полученная в процессе оказания платных медицинских услуг.
6.2. Обработка специальных категорий производится исключительно при наличии письменного согласия субъекта в соответствии с ч. 4 ст. 9 и п. 4 ч. 2 ст. 10 Федерального закона № 152-ФЗ.
6.3. Оператор не осуществляет обработку биометрических персональных данных, трансграничную передачу данных, а также не принимает решений, порождающих юридические последствия на основании исключительно автоматизированной обработки.
 
7. Права и обязанности Оператора
7.1. Оператор имеет право:
  • получать от субъекта достоверные информацию и документы, содержащие персональные данные;
  • в случае отзыва субъектом согласия на обработку продолжить обработку без согласия при наличии оснований, предусмотренных законом (в частности, для хранения медицинской документации);
  • самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения безопасности данных.
7.2. Оператор обязан:
  • разъяснять субъекту его права, порядок обработки и правовые последствия отказа предоставить данные;
  • предоставлять субъекту по его запросу информацию, касающуюся обработки его персональных данных;
  • организовывать обработку персональных данных в соответствии с законодательством РФ;
  • принимать правовые, организационные и технические меры для защиты данных от неправомерного доступа, уничтожения, изменения, блокирования и иных неправомерных действий;
  • прекратить обработку и уничтожить персональные данные в случаях, предусмотренных законом, если дальнейшая обработка не требуется для хранения медицинской документации;
  • опубликовать настоящую Политику и обеспечить к ней неограниченный доступ;
  • исполнять иные обязанности, предусмотренные Федеральным законом № 152-ФЗ.
 
8. Права и обязанности субъекта персональных данных
8.1. Субъект вправе:
  • получать сведения об обработке его данных, включая подтверждение факта обработки, цели, категории, перечень обрабатываемых данных, сроки обработки;
  • требовать уточнения, блокирования или уничтожения неполных, неточных или незаконно обрабатываемых данных;
  • отозвать согласие на обработку путём направления письменного заявления Оператору по адресу: 109028, г. Москва, Певческий переулок, д. 4, стр. 1, помещение 1/3 (заказным письмом с уведомлением или лично под отметку);
  • обжаловать действия или бездействие Оператора в Роскомнадзор или в судебном порядке;
  • осуществлять иные права, предусмотренные законодательством РФ.
8.2. Субъект персональных данных обязан:
  • предоставлять Оператору достоверные данные о себе;
  • своевременно сообщать Оператору об изменении (уточнении, обновлении) своих персональных данных, в том числе контактных.
8.3. Лица, передавшие Оператору недостоверные сведения о себе либо сведения о другом субъекте без его согласия, несут риск связанных с этим неблагоприятных последствий, а также ответственность в соответствии с законодательством РФ.
 
9. Действия с персональными данными и порядок обработки
9.1. Обработка включает: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение персональных данных. Обработка может осуществляться как с использованием средств автоматизации, так и без таковых.
9.2. Доступ к персональным данным имеют работники Оператора, непосредственно участвующие в оказании медицинской помощи и/или обеспечении деятельности, на которых возложена обязанность соблюдать конфиденциальность персональных данных и врачебную тайну (ст. 13 Федерального закона № 323-ФЗ).
9.3. Передача персональных данных третьим лицам допускается исключительно в следующих случаях:
  • в Социальный фонд России (СФР), Федеральную налоговую службу, Федеральную службу государственной статистики — в объёме и порядке, установленных законодательством;
  • лицу, осуществляющему обработку персональных данных по поручению Оператора (обработчику) — ООО «МедРокет» (ИНН 2311144947) — исключительно для технического сопровождения медицинской информационной системы и выгрузки сведений в ЕГИСЗ по защищённым каналам связи; передача осуществляется на основании договора поручения и включает специальные категории данных;
  • в суд, правоохранительные органы, органы прокуратуры, следственные и иные уполномоченные государственные органы — по их мотивированному запросу в установленном законом порядке;
  • организациям, обеспечивающим ведение бухгалтерского учёта, обслуживание расчётного счёта Оператора (банк), при условии соблюдения ими конфиденциальности.
9.4. Оператор не публикует и не размещает в открытом доступе персональные данные субъектов.
 
10. Сроки обработки и хранения
Персональные данные обрабатываются с момента их предоставления и в течение всего срока действия Договора оказания платных медицинских услуг, а после его окончания — в течение сроков хранения медицинской и иной документации, установленных законодательством Российской Федерации (в частности, медицинская карта пациента хранится не менее 25 лет со дня последней записи). В случае отзыва согласия обработка может быть продолжена в пределах, допускаемых законом (хранение ранее сформированной медицинской документации).
 
11. Меры защиты персональных данных, порядок хранения и уничтожения 
11.1. Оператор принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. В том числе:
  • назначение ответственного за организацию обработки персональных данных;
  • утверждение внутренних документов по вопросам обработки и защиты персональных данных;
  • использование сертифицированных средств защиты информации и защищённых каналов связи при передаче данных в ЕГИСЗ;
  • контроль за действиями работников и лиц, осуществляющих обработку по поручению.
11.2. Хранение персональных данных на бумажных носителях осуществляется в запираемых шкафах, размещённых в помещениях с ограниченным правом доступа. Уничтожение бумажных носителей производится комиссионно путём измельчения (с применением шредера) или иным способом, исключающим возможность восстановления информации, с обязательным составлением акта об уничтожении.
 
11.3. Персональные данные в электронной форме хранятся на защищённых серверах и (или) жёстких дисках с разграничением доступа. Уничтожение электронных данных осуществляется путём гарантированного стирания (форматирования) или физического разрушения носителя комиссионно, с составлением акта об уничтожении.
11.4. В случае выявления факта неправомерной передачи (утечки) персональных данных Оператор:
  • в течение 24 часов с момента обнаружения инцидента направляет уведомление в федеральный орган исполнительной власти, уполномоченный в области защиты прав субъектов персональных данных (Роскомнадзор);
  • в течение 72 часов с момента обнаружения инцидента завершает внутреннее расследование причин и направляет в Роскомнадзор результаты такого расследования с приложением необходимых документов и материалов.
 
12. Заключительные положения
Настоящая Политика размещается в свободном доступе на официальном сайте Оператора и актуализируется по мере необходимости. Действующая редакция вступает в силу с момента её опубликования на Сайте.
Субъект персональных данных может получить любые разъяснения по вопросам обработки его персональных данных, направив запрос на электронную почту Оператора info@smysl.help.