СОГЛАСИЕ
на обработку персональных данных.
Настоящим, подтверждаю свое согласие Частному лечебно-профилактическому учреждению «Санаторий «Хилово», находящемуся по адресу: 182651, Псковская область, Порховский район, деревня Хилово, улица Центральная, дом 1, на обработку персональных данных (сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных, а также иных действий, необходимых для обработки персональных данных, то есть на совершение действий, предусмотренных п.3 ст.3. Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", с целью заключения в будущем юридического соглашения (договора) о купле-продаже санаторно-курортных услуг и его дальнейшего исполнения, в том числе в автоматизированном режиме.
Настоящим также подтверждаю, что сведения, указанные мной в форме запроса, относящиеся к моей личности, достоверны.
Настоящее согласие действует с момента отправки заполненной формы запроса на сайте https://hilovo.org, до дня его отзыва мной в письменной форме, направленного в адрес учреждения.
ПОЛОЖЕНИЕ № 01/2021.
«О защите персональных данных клиентов и контрагентов
ЛПУ «Санаторий «Хилово».
2021 год.
I. ОБЩИЕ ПОЛОЖЕНИЯ.
1.1. Положение «О защите персональных данных Клиентов и Контрагентов ЛПУ «Санаторий «Хилово» (далее - Положение) определяет порядок обработки и защиты персональных данных клиентов и контрагентов ЛПУ «Санаторий «Хилово».
1.2. Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом «О персональных данных» и иными нормативными актами, действующими на территории Российской Федерации.
1.3. В настоящем Положении используются следующие термины и определения:
Оператор - ЛПУ «Санаторий «Хилово», вступившее в договорные отношения с Клиентом или Контрагентом или оказывающее услуги юридическому лицу и индивидуальному предпринимателю.
Клиент - физическое лицо, официальный представитель - физическое лицо юридического лица и индивидуального предпринимателя, вступившее в договорные отношения по оказанию услуг с ЛПУ «Санаторий «Хилово».
Контрагент - физическое лицо, представитель - физическое лицо юридического лица и индивидуального предпринимателя, вступившие с ЛПУ «Санаторий «Хилово» в договорные отношения.
Персональные данные Клиента - информация, необходимая Оператору в связи с договорными отношениями и касающаяся конкретного Клиента, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение, образование, профессия.
Обработка персональных данных - получение, хранение, комбинирование, передача или любое другое использование персональных данных Клиента и Контрагента.
Защита персональных данных Клиента или Контрагента - деятельность учреждения по обеспечению с помощью локального регулирования порядка обработки персональных данных и организационно-технических мер конфиденциальности информации.
Конфиденциальность персональных данных - обязательное для соблюдения лицом, получившим доступ к персональным данным, требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
1.4. Действия настоящего Положения распространяется на всех Клиентов и Контрагентов ЛПУ «Санаторий «Хилово».
II. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Персональные данные Клиента и Контрагента относятся к категории конфиденциальной информации.
2.2. В целях обеспечения прав и свобод человека и гражданина Оператор и его представители при обработке персональных данных Клиента и Контрагента обязаны соблюдать следующие общие требования:
2.2.1. Обработка персональных данных осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия выполнения договорных обязательств в соответствии с законодательством РФ.
2.2.2. При определении объема и содержания обрабатываемых персональных данных Оператор должен руководствоваться законодательством РФ.
2.2.3. Согласие на обработку персональных данных, разрешенных субъектом персональных данных (Клиентом или Контрагентом) для распространения. оформляется согласно Требованиям, утвержденным приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24.02.2021 г. № 18.
2.2.4 Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
2.2.5. Все персональные данные Клиента и Контрагента следует получать у него самого, за исключением случаев, если их получение возможно только у третьей стороны.
2.2.6. Получение персональных данных у третьих лиц, возможно только при уведомлении Клиента и Контрагента об этом заранее и с его письменного согласия. В письменном уведомлении Оператор должен поставить Клиента и Контрагента в известность о целях получения персональных данных, предполагаемых источниках и способах пользования персональных данных.
2.2.7. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда Клиенту и Контрагенту, затруднения реализации его прав и свобод.
2.2.8. При принятии решений, затрагивающих интересы Клиента и Контрагента, Оператор не имеет права основываться на персональных данных Клиента или Контрагента, полученных исключительно в результате их автоматизированной обработки без его письменного согласия на такие действия.
2.3. При идентификации Клиента и Контрагента Оператор может затребовать предъявления документов, удостоверяющих личность и подтверждающих полномочия представителя.
III. ОРГАНИЗАЦИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Все работники Оператора, имеющие доступ к персональным данным Клиентов, Контрагентов обязаны подписать соглашение о неразглашении персональных данных.
3.2. Защита персональных данных Клиентов и Контрагентов от неправомерного их использования или утраты обеспечивается Оператором в порядке, установленном законодательством РФ.
3.3. Клиенты и Контрагенты, до предоставления своих персональных данных, должны быть ознакомлены с настоящими Положением.
3.4. Защите подлежит:
• информация о персональных данных субъекта;
• документы, содержащие персональные данные субъекта;
• персональные данные, содержащиеся на электронных носителях.
3.6. Ответственные лица структурных подразделений, обрабатывающие персональные данные в информационных системах персональных данных и машинных носителях информации, обеспечивают защиту в соответствии с Постановлением Правительства РФ №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», Постановлением Правительства РФ №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» и другими нормативными, нормативно-методическими, методическими документами.
IV.ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Сведения о Клиентах и Контрагентах хранятся на бумажных носителях в помещении ЛПУ «Санаторий «Хилово». Для хранения носителей используются специально оборудованные шкафы и сейфы, которые запираются и опечатываются и сдаются под охрану.
4.2. Конкретные обязанности по хранению документов, где содержаться персональные данные Клиентов и Контрагентов, возлагаются на конкретного работника Оператора и закрепляются в его должностной инструкции.
4.3. Ключи от шкафов и сейфов, в которых хранятся носители, находится у ответственных работников ЛПУ «Санаторий «Хилово», которому они передаются по Акту.
4.4. Персональные данные Клиентов и Контрагентов могут так же храниться в электронном виде, доступ к которым ограничен и регламентируется Оператором.
4.5. Доступ к персональным данным Клиентов и Контрагентов без специального разрешения имеют работники, занимающие в ЛПУ «Санаторий «Хилово» следующие должности:
• директор;
• главный врач;
• главный бухгалтер;
• начальник отдела реализации;
• начальник отдела маркетинга;
• заведующий 1 медицинским отделением;
• заведующий 2 медицинским отделением;
• заведующий отделом по лечебному питанию;
• специалист по договорной работе.
4.6. Внутренний доступ (доступ внутри организации) к персональным данным Клиентов и Контрагентов имеют работники, внесенные в список лиц, допущенных к обработке персональных данных.
4.7. Хранение персональных данных Клиента или Контрагента должно осуществляться в форме, позволяющей определить Клиента или Контрагента, не дольше, чем этого требуют цели их обработки. Персональные данные Клиента или Контрагента подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
Сроки хранения документов, содержащих персональные данные Клиента или Контрагента, определяются в соответствие со сроком действия договора с Клиентом или Контрагентом, сроком исковой давности, а также иными требованиями законодательства РФ и нормативными документами Оператора.
V. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ И КОНТРАГЕНТОВ
5.1. При передаче персональных данных Клиента или Контрагента Оператор соблюдает следующие требования:
5.2.1. Не сообщает персональные данные Клиента или Контрагента третьей стороне без письменного согласия субъекта или его законного представителя, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, при поступлении официальных запросов в соответствии с положениями Федерального закона «Об оперативно-розыскных мероприятиях», при поступлении официальных запросов из налоговых органов, органов Пенсионного Фонда России, органов Федерального социального страхования, судебных органов, а также в случаях, предусмотренных иными федеральными законами.
Оператор в каждом конкретном случае делает самостоятельную оценку серьезности, неминуемости, степени такой угрозы. Если же лицо, обратившееся с запросом, не уполномочено на получение персональных данных Клиента или Контрагента, либо отсутствует письменное согласие Клиента или Контрагента на предоставление его персональных сведений, либо, по мнению Оператора, присутствует угроза жизни или здоровью Клиента или Контрагента, Оператор обязан отказать в предоставлении персональных данных лицу.
Лицу, обратившемуся с запросом, выдается письменное уведомление об отказе в предоставлении персональных данных.
5.2.2. Не сообщает персональные данные Клиента или Контрагента в коммерческих целях без его письменного согласия.
5.2.3. Оператор предупреждает лиц, получающих персональные данные Клиента или Контрагента, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные Клиента или Контрагента, обязаны соблюдать требования конфиденциальности.
5.2.4. Осуществляет передачу персональных данных Клиента или Контрагента в пределах своей организации в соответствии с настоящим Положением.
5.2.5. Разрешает доступ к персональным данным Клиентов или Контрагентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные Клиента или Контрагента, которые необходимы для выполнения конкретных функций. Лица, получающие персональные данные Клиента или Контрагента, обязаны соблюдать требования конфиденциальности.
5.2.6. Передает персональные данные Клиента или Контрагента его представителям в порядке, установленном законодательством РФ, и ограничивает эту информацию только теми персональными данными Клиента или Контрагента, которые необходимы для выполнения указанными представителями их функций.
5.2. В случае если Оператору оказываются услуги юридическими, или физическими лицами на основании заключенных договоров (либо иных оснований) и в силу данных договоров они должны иметь доступ к персональным данным Клиентов или Контрагентов, то соответствующие данные предоставляются Оператором только после подписания с ними соглашения о конфиденциальности (неразглашении конфиденциальной информации).
5.3. Все сведения о передаче персональных данных Клиентов или Контрагентов регистрируются в Журнале учета передачи персональных данных в целях контроля правомерности использования данной информации лицами, ее получившими. В журнале фиксируются сведения о лице, направившем запрос, дата передачи персональных; данных или дата уведомления об отказе в их предоставлении, а также отмечается, какая именно информация была передана.
VI. ОБЯЗАННОСТИ КЛИЕНТА, КОНТРАГЕНТА И ОПЕРАТОРА
В целях обеспечения достоверности персональных данных:
6.1. Клиент или Контрагент обязан:
6.1.1. При заключении договора предоставить Оператору полные и достоверные данные о себе;
6.1.2. В случае изменения сведений, составляющих персональные данные Клиента или Контрагента, незамедлительно, но не позднее пяти рабочих дней, предоставить данную информацию Оператору.
6.2. Оператор обязан:
6.2.2. Ознакомить Клиента, Контрагента или их законных представителей с настоящим положением и его правами в области защиты персональных данных под подпись;
6.2.3. Обеспечить хранение первичной учетной документации. При этом персональные данные не должны храниться дольше, чем это оправдано выполнением задач, для которых они собирались, или дольше, чем это требуется в интересах лиц, о которых собраны данные.
6.2.4. Вести учет передачи персональных данных Клиента или Контрагента третьим лицам путем ведения соответствующего журнала, отражающего сведения о поступившем запросе (кто является отправителем запроса, дата его поступления Оператору, дату ответа на запрос, какая именно информация была передана либо отметка об отказе в ее предоставлении).
6.2.6. Вести журнал обращений субъектов персональных данных в части Федерального Закона №152-ФЗ.
6.2.7. Осуществлять передачу персональных данных субъекта только в соответствии с настоящим Положением и законодательством Российской Федерации.
6.2.8. По требованию субъекта или его законного представителя предоставить ему полную информацию о его персональных данных и обработке этих данных
VII. ПРАВА КЛИЕНТОВ ИЛИ КОНТРАГЕНТОВ В ЦЕЛЯХ ЗАЩИТЫ
ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. В целях обеспечения защиты персональных данных, хранящихся у Оператора, Клиенты или Контрагенты имеют право на:
7.1.1. Полную информацию о составе персональных данных и их обработке, в частности Клиент или Контрагент имеет право знать, кто и в каких целях использует или использовал информацию о его персональных данных.
7.1.2. Свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные Клиента или Контрагента, за исключением случаев, предусмотренных законодательством РФ.
7.1.3. Определение своих представителей для защиты своих персональных данных.
7.1.4. Требование об исключении или исправлении неверных или неполных устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для Оператора персональных данных. При отказе Оператора исключить или исправить персональные данные Клиента или Контрагента он имеет право заявить в письменной форме Оператору о своем несогласии с соответствующим обоснованием такого несогласия.
7.1.5. Требование об извещении Оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные Клиента или Контрагента, обо всех произведенных в них исключениях, исправлениях или дополнениях.
7.1.6. Обжалование в суд любых неправомерных действий или бездействия Оператора при обработке и защите его персональных данных.
VIII. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ПОЛУЧЕНИЕ, ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном законодательством РФ.
IX. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ.
9.1. Настоящее Положение вступает в силу с момента его утверждения директором ЛПУ «Санаторий «Хилово».
9.2. Настоящее Положение доводится до сведения всех Клиентов и Контрагентов ЛПУ «Санаторий «Хилово».
9.3. Настоящее Положение отменяет действие Положения № 01/2016 «О защите персональных данных клиентов, контрагентов и работников ЛПУ «Санаторий «Хилово» от 11.03.2016 года и действует вместо него, с даты утверждения нового положения.
