1. Введение
1.1. Положение по обработке персональных данных (далее – Положение) в ООО «Томстом» разработано в соответствии с Конституцией, Трудовым кодексом, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 30.12.2020 № 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Приказом от 28 октября 2022 г. № 179 «Об утверждении требований к подтверждению уничтожения персональных данных», Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее - Роскомнадзор) государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных и иными нормативно-правовыми актами, действующими на территории России.
1.2. Настоящее Положение разработано с целью определения порядка обработки, а так же определяет порядок сбора, учета, накопления, использования, распространения и хранения персональных данных физических лиц, передавших свои персональные данные для обработки Оператору с использованием средств автоматизации, без использования средств автоматизации, а так же устанавливает процедуры, направленные на предотвращение нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой персональных данных.
1.3. Администратор по защите информации и по работе с персональными данными (далее администратор ИБ), ответственный за обработку персональных данных, назначается приказом по ООО «Томстом» и несет ответственность за организацию работ по выполнению требований настоящего Положения.
1.4. Настоящее Положение и изменения к нему утверждаются директором ООО «Томстом».
2. Основные понятия и термины
Оператор – ООО «Томстом» организующий и осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; Субъект персональных данных (далее Субъект) – физическое лицо (пациент) ООО «Томстом», либо его законный представитель, пользователь Сайта ООО «Томстом»; Персональные данные (далее – ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники; Неавтоматизированная обработка персональных данных – обработка персональных данных на материальных носителях информации без использования средств вычислительной техники; Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц; Пользователь персональных данных – лицо, участвующее в обработке персональных данных, содержащихся в ИСПДн и/или на материальных носителях; Безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке; Cайт в сети "Интернет" - совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет") по доменным именам и (или) по сетевым адресам, позволяющим идентифицировать сайты в сети "Интернет"; Доменное имя - обозначение символами, предназначенное для адресации сайтов в сети "Интернет" в целях обеспечения доступа к информации, размещенной в сети "Интернет"; Сайт ООО «Томстом» (далее - Сайт) – Сайт размещенный в сети «Интернет» и имеющий доменное имя https://tom-stom.ru Пользователь Сайта (далее - Пользователь) – любое физическое лицо, посещающее (посетившее) Сайт ООО «Томстом» в сети Интернет. IP-адрес - уникальный адрес, который идентифицирует устройство в Интернете.
3. Цели обработки персональных данных
3.1. Оператор собирает и хранит только ту персональную информацию, которая необходима для предоставления сервисов, услуг или исполнения соглашений и договоров с Субъектом, за исключением случаев, когда законодательством предусмотрено обязательное хранение персональной информации в течение определенного законом срока. 3.2. Персональные данные Субъекта Оператор обрабатывает в следующих целях: a) Оказание медицинских услуг; б) Установление с Субъектом обратной связи, для оказания информационно-консультационных услуг; в) Подтверждение достоверности и полноты персональных данных, предоставленных Субъектом; г) Направление уведомлений, запросов, касающихся использования Сайта, обработку запросов и заявок от Субъекта; д) Уведомление Субъекта о новых продуктах, представленных на Сайте; е) Предоставление Субъекту эффективной клиентской и технической поддержки при возникновении проблем, связанных с использованием Сайта; ж) Осуществление рекламной деятельности Оператора с согласия Субъекта.
4. Состав персональных данных
4.1. Оператор осуществляет обработку следующих персональных данных Субъекта: а) Имя, отчество, фамилия; б) Паспортные данные; в) номер контактного телефона; г) IP-адрес; д) Пользовательские данные для интернет-сервиса Яндекс.Метрика; е) адрес электронной почты. После оформления Субъекта в регистратуре ООО «Томстом» к документам, содержащим персональные данные Субъекта, также будет относиться: • Медицинская карта пациента. 4.2. При получении персональных данных, не указанных в пункте 4.1., подлежат немедленному уничтожению лицом, непреднамеренно получившим их.
5. Получение и обработка персональных данных
5.1. Оператор до начала обработки персональных данных назначает ответственного за организацию обработки персональных данных согласно п.1.3. настоящего положения. 5.2. При осуществлении сбора персональных данных в помещениях ООО «Томстом», либо с использованием сети Интернет, Оператор до начала обработки персональных данных обязан опубликовать на Сайте настоящее Положение, определяющее политику в отношении обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к печатной форме указанного документа. 5.3. Получение и обработка персональных данных работников осуществляется согласно Положения «Об обработке персональных данных работников ООО «Томстом»». 5.4. С целью информирования граждан, в том числе с использованием Сайта в сети "Интернет", о медицинских работниках, об уровне их образования и об их квалификации, согласно п. 7 статьи 79 Федерального закона от 21.11.2011 №323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации", ООО «Томстом» может размещать, с письменного согласия работников, персональные данные работников на корпоративном сайте компании, а именно: а) ФИО; б) Должность; в) Фотография; г) Данные об образовании (квалификации); д) Трудовой стаж. 5.5. Персональные данные пациентов Оператор получает посредством заполнения договора между Субъектом (пациентом) и ООО «Томстом» в регистратуре ООО «Томстом» или иными способами, не противоречащими законодательству РФ и требованиям международного законодательства о защите персональных данных. 5.6. Персональные данные посетителей Сайта Оператор получает посредством заполнения Субъектом полей формы для подачи Заявки на Сайте или иными способами, не противоречащими законодательству РФ и требованиям международного законодательства о защите персональных данных. 5.7. Оператор получает и начинает обработку персональных данных Субъекта с момента получения его согласия. 5.8. Согласие на обработку персональных данных может быть дано Субъектом персональных данных в любой форме, позволяющей подтвердить факт получения согласия, если иное не установлено федеральным законом: в письменной, устной или иной форме, предусмотренной действующим законодательством РФ. 5.9. После активации чекбокса на Сайте ООО «Томстом» «Я даю свое согласие на обработку моих персональных данных», для оказания информационно-консультационных услуг, либо прочих услуг Оператора, Субъект дает свободно, своей волей и в своем интересе, письменное согласие Оператору на обработку предоставленных персональных данных. 5.10. Согласие на обработку персональных, данное Субъектом персональных данных, действует до достижения сроков обработки персональных данных, либо до момента отзыва согласия Субъектом персональных данных. 5.11. Обработку персональных данных Субъекта осуществляют сотрудники Оператора, уполномоченные должностными инструкциями или иными внутренними документами Оператора, согласно Приказа «Об утверждении перечня лиц, допущенных к обработке персональных данных». 5.12. Предоставление персональных данных Пользователей по запросу государственных органов или органов местного самоуправления осуществляется в порядке, предусмотренном законодательством РФ.
6. Права и обязанности сторон
6.1. Субъект персональных имеет право на получение у Оператора следующей информации, касающейся обработки его персональных данных, в том числе содержащей: а) Цели и способы обработки персональных данных субъекта; б) Правовые основания и цели обработки персональных данных субъекта; в) Сроки обработки персональных данных субъекта; г) Сроки хранения персональных данных субъекта; д) Наименование организации или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу; е) Иные сведения, предусмотренные Федеральным законом №152-ФЗ или другими федеральными законами. 6.2. Право Субъекта персональных данных на доступ к его персональным данным может быть ограничен в соответствии с федеральными законами, в том числе, если доступ нарушает права и законные интересы третьих лиц. 6.3. Субъект персональных данных или его законный представитель может требовать от Оператора уточнения, блокирования или уничтожения его персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели. 6.4. Если Субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований законодательства или нарушает его права и свободы, он вправе обжаловать действия или бездействия Оператора в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке. 6.5. Оператор обязан по просьбе Субъекта, безвозмездно предоставить доступ к его персональными данными для ознакомления. 6.6. Оператор обязан удалить персональные данные Субъекта в течение семи рабочих дней со дня предоставления Субъектом персональных данных сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели. По результатам удаления персональных данных, Оператор обязан уведомить Субъекта о факте уничтожения его персональных данных. 6.7. При запросе Субъекта информации, указанной в п. 5.1. настоящего Положения, Оператор обязан предоставить эту информацию либо мотивированный отказ в предоставлении информации.
7. Гарантии конфиденциальности персональных данных
7.1. Обработка персональных данных, должна осуществляться на законной основе и ограничиваться достижением конкретных, заранее определённых и законных целей. 7.2. Информация, относящаяся к персональным данным, является служебной тайной и охраняется законом. 7.3. Оператор обязан принимать меры, необходимые и достаточные для обеспечения конфиденциальности персональных данных, предусмотренные Федеральным Законом 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормальными правовыми актами. 7.4. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работников, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством РФ.
8. Заключительные положения
8.1. Настоящее Положение и изменения к нему утверждаются руководителем ООО «Томстом». 8.2. Пересмотр настоящего Положения может осуществляться в следующих случаях: а) Если произошли изменения требований по обработке персональных данных субъектов персональных данных в законодательстве РФ; б) Если произошли изменения в количестве и способах обработки персональных данных; в) Если обнаружены несовершенства в процедурах обработки персональных данных.
