ПОЛОЖЕНИЕ об обработке персональных данных в ООО «ПОЧИН ДЕНТ»
1. ОБЩИЕ ПОЛОЖЕНИЯ1.1. Настоящее Положение об обработке персональных данных (далее — Положение) разработано в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — ФЗ-152), Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» (далее — ФЗ-323), Постановлением Правительства РФ от 11.05.2023 № 736 «Об утверждении Правил предоставления медицинскими организациями платных медицинских услуг» и иными нормативными правовыми актами Российской Федерации.
1.2. Положение определяет политику Общества с ограниченной ответственностью «ПОЧИН ДЕНТ» (далее — Оператор, Организация) в отношении обработки персональных данных, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
1.3. Настоящее Положение распространяется на обработку персональных данных пациентов, работников Организации, соискателей на вакантные должности, а также иных физических лиц, персональные данные которых обрабатываются Оператором.
1.4. Действие настоящего Положения распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящего Положения.
2. ОСНОВНЫЕ ПОНЯТИЯ
2.1. В настоящем Положении используются следующие основные понятия:
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор персональных данных (Оператор) — Общество с ограниченной ответственностью «ПОЧИН ДЕНТ» (ИНН 3025033571, ОГРН 1203000026831), расположенное по адресу: 414057, Астраханская область, г. Астрахань, проезд Воробьева, дом 3, квартира 43, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Субъект персональных данных — физическое лицо, персональные данные которого обрабатываются Оператором.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Медицинская тайна — сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении в соответствии со статьей 13 ФЗ-323.
3. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Оператор осуществляет обработку персональных данных на основе следующих принципов:
а) обработка персональных данных осуществляется на законной и справедливой основе;
б) обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
в) не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
г) обработке подлежат только персональные данные, которые отвечают целям их обработки;
д) содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки;
е) при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
ж) хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных;
з) обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей.
3.2. Условия обработки персональных данных Оператором:
а) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных (за исключением случаев, предусмотренных законодательством);
б) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
в) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
г) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
д) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
е) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 ФЗ-152, при условии обязательного обезличивания персональных данных.
4. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Оператор осуществляет обработку персональных данных в следующих целях:
а) оказание медицинской помощи (медицинских услуг) пациентам в соответствии с лицензией на осуществление медицинской деятельности, включая:
— ведение медицинской документации;
— обеспечение преемственности медицинской помощи;
— организацию оказания медицинской помощи;
— проведение медицинских экспертиз, медицинских осмотров и медицинских освидетельствований;
б) заключение и исполнение договоров на оказание платных медицинских услуг;
в) запись пациентов на прием к врачу, в том числе через официальный сайт Организации http://почин-дент.рф и по телефону +7 917 173-13-33;
г) уведомление пациентов о записи на прием, изменениях в расписании врачей, получение обратной связи о качестве оказанных услуг;
д) информирование пациентов об акциях, специальных предложениях, новых услугах Организации (при наличии согласия субъекта персональных данных на получение рекламно-информационных материалов);
е) осуществление трудовых отношений с работниками Организации, включая оформление приема на работу, перевода, увольнения, оплаты труда, предоставления гарантий и компенсаций;
ж) исполнение обязанностей, предусмотренных законодательством Российской Федерации в области налогообложения, бухгалтерского учета, обязательного страхования;
з) обеспечение собственной безопасности и безопасности граждан, обеспечение сохранности имущества (видеонаблюдение в помещениях Организации);
и) размещение информации о деятельности Организации на официальном сайте в соответствии с требованиями Приказа Минздрава России от 13.03.2025 № 118н;
к) рассмотрение обращений граждан, реагирование на жалобы и предложения.
5. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ И СОСТАВ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Оператор обрабатывает персональные данные следующих категорий субъектов:
а) пациенты — лица, обратившиеся за получением медицинских услуг;
б) работники — лица, состоящие в трудовых отношениях с Организацией;
в) соискатели — лица, претендующие на вакантные должности в Организации;
г) представители пациентов — законные представители несовершеннолетних пациентов или недееспособных граждан.
5.2. В отношении пациентов Оператор обрабатывает следующие категории персональных данных:
а) общие персональные данные:
— фамилия, имя, отчество (при наличии);
— дата и место рождения;
— пол;
— адрес регистрации по месту жительства и адрес фактического проживания;
— контактные телефоны;
— адрес электронной почты;
— серия и номер паспорта гражданина Российской Федерации (иного документа, удостоверяющего личность), когда и кем выдан;
— СНИЛС;
— номер полиса обязательного медицинского страхования (при наличии);
— фотографическое изображение (при наличии согласия);
б) специальные категории персональных данных — сведения, составляющие медицинскую тайну:
— сведения о факте обращения за медицинской помощью;
— сведения о состоянии здоровья, диагнозе;
— сведения, полученные при медицинском обследовании и лечении;
— результаты лабораторных, инструментальных и иных методов обследования;
— информация о проведенном лечении;
— информация о наличии или отсутствии заболеваний, в том числе заразных;
— иные сведения, полученные при оказании медицинской помощи.
5.3. В отношении работников Оператор обрабатывает следующие персональные данные:
— фамилия, имя, отчество (при наличии);
— дата и место рождения;
— паспортные данные;
— СНИЛС, ИНН;
— адрес регистрации и фактического проживания;
— сведения об образовании, квалификации, профессиональных навыках;
— сведения о предыдущих местах работы;
— семейное положение, сведения о близких родственниках;
— фотография (при наличии согласия);
— реквизиты банковской карты для перечисления заработной платы.
5.4. В отношении соискателей на вакантные должности Оператор обрабатывает персональные данные, указанные в резюме и сопроводительных документах (фамилия, имя, отчество, дата рождения, контактные данные, сведения об образовании и опыте работы).
6. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Оператор осуществляет обработку персональных данных на следующих правовых основаниях:
а) Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
б) Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
в) Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ (в отношении работников);
г) Постановление Правительства РФ от 11.05.2023 № 736 «Об утверждении Правил предоставления медицинскими организациями платных медицинских услуг»;
д) Приказ Минздрава России от 13.03.2025 № 118н «Об информации, необходимой для проведения независимой оценки качества условий оказания услуг медицинскими организациями, и требованиях к содержанию и форме предоставления информации о деятельности медицинских организаций, размещаемой на официальных сайтах Министерства здравоохранения Российской Федерации, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и медицинских организаций в информационно-телекоммуникационной сети «Интернет»;
е) согласие субъекта персональных данных на обработку его персональных данных;
ж) договор на оказание платных медицинских услуг, стороной которого является субъект персональных данных;
з) трудовой договор с работником.
7. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Обработка персональных данных осуществляется Оператором с использованием средств автоматизации и без использования таких средств (неавтоматизированная обработка).
7.2. Автоматизированная обработка персональных данных осуществляется с использованием информационной системы персональных данных, включающей базы данных пациентов, работников, бухгалтерскую систему, систему управления медицинской документацией.
7.3. Неавтоматизированная обработка персональных данных осуществляется при ведении медицинской документации на бумажных носителях, оформлении кадровых документов, ведении архивов.
7.4. Получение персональных данных от субъекта персональных данных осуществляется следующими способами:
— непосредственно от субъекта персональных данных при личном обращении, путем заполнения анкет, форм, заявлений;
— посредством телефонной связи;
— посредством электронной почты;
— через форму обратной связи на официальном сайте http://почин-дент.рф.
7.5. Перед началом обработки персональных данных Оператор обязан предоставить субъекту персональных данных следующую информацию:
— наименование и адрес Оператора;
— цели обработки персональных данных;
— предполагаемые пользователи персональных данных;
— права субъекта персональных данных, предусмотренные ФЗ-152;
— правовые основания обработки персональных данных.
7.6. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если срок хранения персональных данных не установлен федеральным законом, договором.
7.7. Передача персональных данных третьим лицам осуществляется только с письменного согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации.
7.8. Оператор не осуществляет трансграничную передачу персональных данных.
8. СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Сроки обработки и хранения персональных данных определяются:
а) в отношении медицинской документации пациентов — 25 лет в соответствии с Приказом Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения»;
б) в отношении персональных данных работников — 50 лет (для документов по личному составу) в соответствии с Приказом Росархива от 20.12.2019 № 236;
в) в отношении персональных данных соискателей — в течение 3 лет с момента последнего взаимодействия при наличии согласия субъекта персональных данных, в иных случаях — немедленное уничтожение после завершения процедуры отбора кандидатов;
г) в отношении персональных данных, полученных при записи через сайт или по телефону, — в течение срока действия договора на оказание медицинских услуг и 5 лет после его прекращения (для целей претензионной работы);
д) в отношении персональных данных для целей маркетинга — до момента отзыва согласия субъектом персональных данных, но не более 3 лет с момента последнего взаимодействия.
8.2. По истечении сроков хранения персональные данные подлежат уничтожению либо обезличиванию, если иное не предусмотрено законодательством Российской Федерации.
9. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Оператор принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
9.2. К правовым мерам относятся:
— разработка локальных нормативных актов по вопросам обработки и защиты персональных данных;
— включение в трудовые договоры и договоры гражданско-правового характера условий об обязанности соблюдения конфиденциальности персональных данных;
— ознакомление работников с требованиями законодательства о персональных данных и локальными актами Оператора.
9.3. К организационным мерам относятся:
— назначение лица, ответственного за организацию обработки персональных данных;
— определение перечня лиц, допущенных к обработке персональных данных;
— организация пропускного режима в помещениях Оператора;
— организация безопасного хранения материальных носителей персональных данных;
— проведение инструктажа работников по вопросам обработки и защиты персональных данных.
9.4. К техническим мерам относятся:
— использование средств защиты информации (антивирусное программное обеспечение, межсетевые экраны);
— разграничение прав доступа пользователей к информационным ресурсам и программным средствам обработки информации;
— использование средств криптографической защиты информации при её передаче по каналам связи;
— резервное копирование персональных данных;
— регистрация и учет действий пользователей информационных систем персональных данных;
— обеспечение безопасности персональных данных при использовании информационно-телекоммуникационных сетей.
10. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. Субъект персональных данных имеет право:
а) получать информацию, касающуюся обработки его персональных данных;
б) требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
в) отозвать согласие на обработку персональных данных;
г) обжаловать действия или бездействие Оператора в Роскомнадзор или в судебном порядке;
д) на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
10.2. Для реализации своих прав субъект персональных данных может обратиться к Оператору следующими способами:
— лично по адресу: 414057, Астраханская область, г. Астрахань, проезд Воробьева, дом 3, квартира 43;
— по телефону: +7 917 173-13-33;
— по электронной почте: igor.pochinov.67@bk.ru.
10.3. Оператор обязан предоставить субъекту персональных данных информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его представителя. В случае отказа в предоставлении такой информации субъекту персональных данных должно быть дано мотивированное объяснение, содержащее ссылку на федеральный закон, являющийся основанием для такого отказа.
11. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ ЗАКОНОДАТЕЛЬСТВА О ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1. Работники Оператора, виновные в нарушении требований законодательства Российской Федерации о персональных данных, в том числе допустившие разглашение персональных данных, несут дисциплинарную, материальную, гражданско-правовую, административную и уголовную ответственность в соответствии с законодательством Российской Федерации.
11.2. Оператор несет ответственность за нарушение требований законодательства о персональных данных в соответствии со статьями 13.11, 13.14 Кодекса Российской Федерации об административных правонарушениях, а также возмещает субъекту персональных данных убытки или компенсирует моральный вред в соответствии со статьей 24 ФЗ-152.
11.3. Начиная с 12 мая 2025 года, размеры административных штрафов за нарушение законодательства о персональных данных значительно увеличены в соответствии с Федеральным законом от 19.12.2023 № 634-ФЗ. Штрафы для юридических лиц могут составлять от 30 000 до 10 000 000 рублей в зависимости от характера нарушения.
12. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
12.1. Настоящее Положение вступает в силу с момента его утверждения директором Организации и действует до замены его новым Положением.
12.2. Изменения и дополнения в настоящее Положение вносятся приказом директора Организации.
12.3. Актуальная версия настоящего Положения размещается на официальном сайте Организации в информационно-телекоммуникационной сети «Интернет» по адресу: http://почин-дент.рф.
12.4. Все вопросы, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации.
12.5. Контроль за соблюдением требований настоящего Положения осуществляется лицом, ответственным за организацию обработки персональных данных, назначенным приказом директора Организации.
12.6. В случае противоречия положений настоящего Положения требованиям законодательства Российской Федерации применяются нормы законодательства.
ПРИЛОЖЕНИЕ
Контактная информация для обращений субъектов персональных данных
Полное наименование организации: Общество с ограниченной ответственностью «ПОЧИН ДЕНТ»
Сокращенное наименование: ООО «ПОЧИН ДЕНТ»
ИНН/КПП: 3025033571 / 302501001
Юридический адрес: 414057, Астраханская область, г. Астрахань, проезд Воробьева, дом 3, квартира 43
Телефон: +7 917 173-13-33
Электронная почта: igor.pochinov.67@bk.ru
Официальный сайт: http://почин-дент.рф
Директор: Починов Игорь Федорович
Виды медицинской деятельности: стоматология (общая, терапевтическая, хирургическая, ортопедическая)
Для защиты своих прав субъект персональных данных может обратиться в Управление Роскомнадзора по Астраханской области:
Адрес: 414000, г. Астрахань, ул. Адмиралтейская, д. 14
Телефон: +7 (8512) 51-29-86
E-mail: rsoc@rkn.gov.ru