Политика конфиденциальности

1. Общие положения

1.1. Настоящая политика обработки персональных данных (далее — Политика) разработана ООО «Генезис» (далее — Оператор, Общество, Организация) в целях исполнения требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее по тексту ФЗ №152, Закон «О персональных данных»), а также иными подзаконными нормативно-правовыми актами в сфере персональных данных.

1.2. Политика определяет общий порядок, принципы и условия обработки персональных данных Оператором и обеспечивает защиту прав физических и юридических лиц при обработке персональных данных.

Политикой определяются принципы, порядок и условия обработки персональных данных пациентов, работников, соискателей, контрагентов, пользователей официального сайта сети «Интернет» и мобильных приложений Оператора, а также иных субъектов персональных данных, чьи персональные данные обрабатываются Оператором. При этом Оператор гарантирует обеспечение защиты прав и свобод человека при обработке его персональных данных, включая, но не ограничиваясь, права на неприкосновенность частной жизни, личную и семейную тайну, иные охраняемые законом тайны.

1.3. Настоящая Политика предоставлена для всеобщего доступа в соответствии с требованиями ч. 2 ст. 18.1 ФЗ №152, а потому не содержит информации о реализованных мерах по защите персональных данных Оператором, а также иную информацию, которая, будучи использованной неограниченным кругом лиц, может создать риски причинения ущерба, в том числе деловой репутации Оператора, или субъектам персональных данных.

1.4. Политика утверждается руководителем Оператора.

1.5. Политика действует бессрочно после утверждения и до ее замены новой версией.

1.6. Внесение изменений (дополнений) в Политику, включая приложения к ней, производится Оператором в одностороннем порядке, на основании решения руководителя Оператора.

1.7. Все изменения (дополнения), вносимые Оператором в Политику, вступают в силу и становятся обязательными с даты утверждения руководителем Оператора и последующего размещения актуальной версии на веб-сайте Оператора и на информационных стендах в течение 1 рабочего дня.

1.8. Политика распространяется на все действия Оператора, в рамках которых осуществляется обработка персональных данных, как с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, так и без использования таких средств.

Настоящая политика применяется также для сайта и/или приложений, действует в отношении всей информации, размещенной на сайте в сети «Интернет» по адресу: https://генезис-клиника.рф/, (далее — Сайт), которую Пользователи могут получить, предоставить во время использования Сайта, его сервисов, программ и продуктов.

1.9. Положения Политики распространяются на всех сотрудников Оператора (включая работников по трудовым договорам и сотрудников, работающих по договорам гражданско-правового характера) и все подразделения Оператора. Требования Политики также учитываются и предъявляются в отношении иных лиц при необходимости их участия в процессе обработки персональных данных Оператором, а также в случаях передачи им в установленном порядке персональных данных на основании соглашений, договоров, поручений на обработку.

1.10. Основные понятия, используемые в Политике:

  • оператор персональных данных (оператор) — ООО «Генезис», самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
  • персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
  • персональные данные, разрешенные субъектом персональных данных для распространения — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном федеральным законом;
  • оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
  • обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
  • автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
  • распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
  • предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
  • блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
  • уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
  • обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
  • информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
  • трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
  • конфиденциальность персональных данных — обязательное для оператора и иных лиц, получивших доступ к персональным данным, требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
  • смешанная обработка персональных данных — обработка персональных данных, осуществляющаяся с использованием средств автоматизации и без использования таких средств;
  • электронная подпись — информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию;
  • электронный документ — документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах.

2. Принципы обеспечения безопасности персональных данных

2.1. Основной задачей обеспечения безопасности персональных данных при их обработке Оператором является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения персональных данных, разрушения (уничтожения) или искажения их в процессе обработки.

2.2. Для обеспечения безопасности персональных данных Оператор руководствуется следующими принципами:

  • законность;
  • системность;
  • комплексность;
  • непрерывность;
  • своевременность;
  • преемственность и непрерывность совершенствования;
  • минимизация прав доступа;
  • гибкость;
  • специализация и профессионализм;
  • наблюдаемость и прозрачность;
  • непрерывность контроля и оценки.

2.3. Оператором не производится обработка персональных данных, несовместимая с целями их сбора. Если иное не предусмотрено федеральным законом, по окончании обработки персональных данных Оператором, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, обрабатывавшиеся Оператором персональные данные уничтожаются или обезличиваются.

2.4. При обработке персональных данных обеспечиваются их точность, достаточность, а при необходимости и актуальность по отношению к целям обработки. Организация принимает необходимые меры по удалению или уточнению неполных или неточных персональных данных.

3. Основные права и обязанности Оператора персональных данных

3.1. При обращении субъекта персональных данных или его представителя Оператор обязан предоставить информацию, касающуюся обработки его персональных данных, в порядке и на условиях, указанных в статье 11 настоящей Политики.

3.2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

3.3. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Федеральном законе «О персональных данных».

3.4. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.

3.5. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к настоящей Политике, к сведениям о реализуемых требованиях к защите персональных данных.

3.6. Оператор обязан в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных.

3.7. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных.

3.8. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

4. Основные права и обязанности субъекта персональных данных

4.1. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

4.2. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных.

4.3. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

4.4. Субъект персональных данных имеет право на защиту своих прав и законных интересов.

5. Согласие субъекта персональных данных на обработку его персональных данных

5.1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.

5.1.1. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:

  • фамилию, имя, отчество, адрес субъекта персональных данных;
  • номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • данные представителя субъекта персональных данных при необходимости;
  • наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
  • перечень действий с персональными данными, на совершение которых дается согласие;
  • срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва;
  • подпись субъекта персональных данных.

5.2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

5.3. В случаях, предусмотренных федеральным законом «О персональных данных», обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.

5.4. Допускается обработка персональных данных без согласия Субъекта в соответствии со статьей 6 Федерального закона «О персональных данных».

Также допускается обработка персональных данных Субъекта, в случае отзыва согласия на обработку персональных данных, для исполнения требований законодательства РФ в области архивного хранения документов, в области хранения документов медицинского характера (медицинская документация). В данном случае срок хранения составляет:

  • 75 (семьдесят пять) лет в отношении работников;
  • 25 (двадцать пять) лет в отношении пациентов (клиентов, потребителей).

6. Цели сбора персональных данных

6.1. Оператор осуществляет обработку персональных данных для достижения конкретных, заранее определенных и законных целей.

6.2. Оператор обрабатывает персональные данные для осуществления своей деятельности в соответствии с Уставом, в том числе, но не ограничиваясь, для достижения следующих целей:

  • оформление трудовых отношений, кадровое делопроизводство, обеспечение социальных гарантий;
  • заключение, исполнение и прекращение договоров оказания медицинских услуг;
  • заключение, исполнение и прекращение гражданско-правовых договоров;
  • противодействие коррупции в Обществе;
  • оказание информационных, справочных и консультационных услуг в рамках телефонного обслуживания;
  • рассмотрение обращений граждан;
  • выполнение требований действующего законодательства;
  • направление рекламной и/или информационной рассылки пациентам Общества при наличии согласия;
  • предоставление доступа пациентам в личный кабинет на сайте и/или мобильном приложении;
  • предоставление Пользователю Сайта доступа к персонализированным ресурсам Сайта;
  • установление обратной связи с Пользователем Сайта;
  • создание учетной записи при наличии согласия;
  • предоставление технической и клиентской поддержки;
  • обеспечение работоспособности и безопасности Сайта;
  • иные случаи, установленные действующим законодательством РФ и/или локальными нормативными актами Оператора.

6.3. Обработка персональных данных должна осуществляться на законной и справедливой основе.

6.4. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

6.5. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

6.6. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

7. Правовые основания обработки персональных данных

7.1. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных.

7.2. Правовые основания обработки персональных данных, в зависимости от целей обработки, являются в том числе, но не ограничиваясь:

  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»;
  • Трудовой кодекс Российской Федерации;
  • Гражданский кодекс Российской Федерации;
  • Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
  • иные федеральные законы и нормативно-правовые акты, локальные и правовые акты.

8. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

8.1. Категории субъектов персональных данных, чьи данные обрабатываются:

  • 8.1.1. Работники Оператора, бывшие работники, кандидаты на замещение вакантных должностей Оператора (соискатели), а также члены семьи.
  • 8.1.2. Пациенты (заказчики, потребители), законные представители пациентов (заказчиков, потребителей).
  • 8.1.3. Прочие контрагенты Оператора (физические лица).
  • 8.1.4. Представители/работники клиентов и/или контрагентов Оператора.
  • 8.1.5. Пользователи сайта.

8.2. В отношении работников Оператора обрабатываются:

  • фамилия, имя, отчество;
  • дата, год и место рождения;
  • адреса места проживания и регистрации;
  • контактный телефон;
  • контактный адрес электронной почты;
  • гражданство;
  • сведения об образовании;
  • профессия, должность;
  • стаж работы;
  • семейное положение, наличие детей;
  • паспортные данные;
  • данные страхового свидетельства государственного пенсионного страхования;
  • ИНН;
  • сведения о доходах;
  • сведения о воинском учете;
  • номер счета банковской карты;
  • сведения о судимостях — в случаях, предусмотренных законом;
  • сведения о повышении квалификации и переподготовке;
  • сведения о наградах, почетных званиях, социальных гарантиях;
  • сведения о состоянии здоровья, влияющие на выполнение трудовой функции;
  • данные водительского удостоверения — при необходимости;
  • фотография.

8.3. В отношении кандидатов на замещение вакантных должностей Оператора (соискатели) обрабатываются:

  • фамилия, имя, отчество;
  • гражданство;
  • адрес места проживания;
  • дата и год рождения;
  • контактный телефон;
  • контактный адрес электронной почты;
  • сведения об образовании;
  • профессия, должность;
  • стаж работы;
  • паспортные данные;
  • сведения о судимостях — при необходимости;
  • сведения о повышении квалификации, профессиональной переподготовке;
  • сведения о состоянии здоровья — при необходимости;
  • данные водительского удостоверения — при необходимости;
  • иные сведения, предоставленные соискателем в резюме или сопроводительном письме.

8.4. В отношении бывших работников в случаях, предусмотренных законодательством РФ, могут обрабатываться:

  • фамилия, имя, отчество;
  • дата, год рождения;
  • паспортные данные;
  • адреса места жительства и регистрации;
  • данные страхового свидетельства государственного пенсионного страхования;
  • ИНН;
  • сведения о доходах;
  • сведения о воинском учете.

8.5. Персональные данные родственников работников обрабатываются в объеме, необходимом для предоставления гарантий и компенсаций:

  • документы, подтверждающие степень родства;
  • фамилия, имя, отчество;
  • дата, год рождения;
  • данные документов, удостоверяющих личность;
  • данные свидетельства о рождении ребенка;
  • данные свидетельства о заключении брака.

8.6. В отношении пациентов (заказчиков, потребителей) обрабатываются:

  • фамилия, имя, отчество;
  • пол;
  • возраст;
  • дата рождения;
  • адреса места жительства и регистрации;
  • паспортные данные;
  • данные страхового свидетельства государственного пенсионного страхования;
  • гражданство;
  • данные о состоянии здоровья;
  • контактный телефон;
  • адрес электронной почты;
  • реквизиты полиса ОМС и/или ДМС;
  • тип занятости, место работы, должность — в случаях, предусмотренных законодательством РФ.

8.7. В отношении контрагентов и представителей клиентов/контрагентов обрабатываются:

  • фамилия, имя, отчество;
  • дата, год и место рождения;
  • адреса места жительства и регистрации;
  • контактный телефон;
  • адрес электронной почты;
  • паспортные данные;
  • сведения о документе, подтверждающем полномочия.

8.8. В отношении пользователей сайта обрабатываются:

  • контактный телефон;
  • фамилия, имя, отчество;
  • пол;
  • дата и год рождения;
  • адрес электронной почты;
  • паспортные данные, место рождения, адреса места жительства и регистрации — при использовании определенных возможностей сайта;
  • запросы посетителя сайта;
  • системная информация, данные из браузера;
  • файлы cookie;
  • IP-адрес;
  • операционные системы, типы браузеров, расширения и настройки цвета экрана;
  • языки устройства;
  • версии Flash и поддержка JavaScript;
  • типы мобильных устройств;
  • географическое положение;
  • количество посещений сайта и просмотров страниц;
  • длительность пребывания на сайте;
  • запросы, использованные пользователем при переходе на сайт;
  • страницы, с которых были совершены переходы.

8.9. В отношении законных представителей или представителей по доверенности указанных лиц обрабатываются:

  • фамилия, имя, отчество;
  • пол;
  • возраст;
  • дата и место рождения;
  • адреса места жительства и регистрации;
  • контактный телефон;
  • адрес электронной почты;
  • паспортные данные;
  • сведения о документе, подтверждающем полномочия представителя.

8.10. Цели обработки персональных данных, их категории и перечень, категории субъектов, способы, сроки обработки и хранения, порядок уничтожения

1. Оказание медицинских услуг и исполнение договоров с пациентами

Категории данных: персональные данные, специальные данные, биометрические персональные данные.

Категории субъектов: пациенты (заказчики, потребители), законные представители пациентов.

Способы обработки: неавтоматизированная, автоматизированная, смешанная обработка.

Сроки обработки: до достижения целей обработки, если иной срок не предусмотрен договором или законодательством РФ.

Сроки хранения: срок хранения первичных медицинских документов (медицинской карты) составляет 25 лет, для детей — 10 лет, если иное не установлено законодательством РФ.

Порядок уничтожения: уничтожение осуществляется в установленные законодательством сроки по истечении периода хранения либо при наступлении иных законных оснований.

2. Исполнение трудового законодательства

Категории субъектов: работники, бывшие работники, кандидаты на работу (соискатели).

Способы обработки: неавтоматизированная, автоматизированная, смешанная обработка.

Сроки обработки: в течение срока действия трудового договора, для кандидатов — в течение срока, необходимого для рассмотрения кандидатуры и заключения трудового договора.

Сроки хранения: в течение срока, установленного номенклатурой дел, в том числе в составе личных дел — 50 лет, если иное не установлено законодательством РФ.

Порядок уничтожения: в установленные законодательством сроки по истечении периода хранения либо при наступлении иных законных оснований.

3. Реализация гражданско-правовых договоров

Категории субъектов: контрагенты, партнеры, стороны договора.

Способы обработки: неавтоматизированная, автоматизированная, смешанная обработка.

Сроки обработки: в течение срока, необходимого для исполнения заключенного договора.

Сроки хранения: в течение срока, установленного номенклатурой дел в зависимости от типа документа.

Порядок уничтожения: в установленные законодательством сроки.

4. Взаимодействие с пользователями сайта и мобильного приложения

Категории субъектов: пользователи сайта.

Способы обработки: неавтоматизированная, автоматизированная, смешанная обработка.

Сроки обработки: до достижения целей обработки, если иной срок не предусмотрен договором или законодательством РФ.

Сроки хранения: в течение срока, установленного номенклатурой дел.

Порядок уничтожения: в установленные законодательством сроки.

9. Порядок и условия обработки персональных данных

9.1. Обработка персональных данных осуществляется после принятия требуемых мер по защите персональных данных.

9.2. Обработка персональных данных осуществляется Оператором следующими способами:

  • неавтоматизированная обработка персональных данных;
  • автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
  • смешанная обработка персональных данных.

9.3. Оператор организует обработку персональных данных в следующем порядке:

  • назначает ответственного за организацию обработки персональных данных;
  • определяет перечень лиц, имеющих доступ к персональным данным;
  • издает настоящую Политику и локальные акты по вопросам обработки персональных данных;
  • применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных;
  • осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данных требованиям законодательства;
  • осуществляет оценку вреда, который может быть причинен субъектам персональных данных;
  • знакомит работников с положениями законодательства Российской Федерации о персональных данных и при необходимости обучает их.

9.4. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры, в том числе:

  • определяет угрозы безопасности персональных данных;
  • применяет организационные и технические меры по обеспечению безопасности персональных данных;
  • применяет прошедшие процедуру оценки соответствия средства защиты информации;
  • оценивает эффективность принимаемых мер до ввода в эксплуатацию информационной системы;
  • обеспечивает сохранность и учет машинных носителей персональных данных;
  • ведет работу по обнаружению фактов несанкционированного доступа к персональным данным;
  • восстанавливает персональные данные, модифицированные или уничтоженные вследствие несанкционированного доступа;
  • устанавливает правила доступа к персональным данным и обеспечивает регистрацию и учет действий с ними.

9.5. При обработке персональных данных Оператор выполняет сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление и уничтожение персональных данных.

9.6. Оператор получает персональные данные непосредственно от субъектов персональных данных или их представителей, наделенных соответствующими полномочиями.

9.7. Оператор исключает хранение материальных носителей с персональными данными на рабочих местах и (или) в открытом доступе.

9.8. В электронном виде сведения, содержащие персональные данные, хранятся в специализированных базах данных или в специально отведенных для этого директориях с ограничением и разграничением доступа.

9.9. При увольнении работника, имеющего доступ к персональным данным, документы и иные носители сдаются непосредственному руководителю.

9.10. Оператор организует и обеспечивает режим безопасности помещений, в которых размещена информационная система.

9.11. Оператор обеспечивает доступ к содержанию электронного журнала сообщений исключительно для должностных лиц, которым эти сведения необходимы для выполнения трудовых обязанностей.

10. Порядок обработки персональных данных в информационных системах

10.1. Обработка персональных данных в информационных системах осуществляется после реализации организационных и технических мер по обеспечению безопасности персональных данных.

10.2. Обеспечение безопасности при обработке персональных данных, содержащихся в информационных системах Оператора, осуществляется в соответствии с постановлением Правительства РФ от 01.11.2012 № 1119 и приказом ФСТЭК России от 18.02.2013 № 21.

10.3. Уполномоченному работнику, имеющему право осуществлять обработку персональных данных в информационных системах, предоставляются средства персональной аутентификации.

10.4. Информация может вноситься как в автоматическом режиме при получении персональных данных с официального сайта и/или приложения Оператора, так и в ручном режиме при получении информации на бумажном носителе.

10.5. Обеспечение безопасности персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным.

10.6. В случае выявления нарушений порядка обработки персональных данных незамедлительно принимаются меры по установлению причин нарушений и их устранению.

10.7. В состав мер по обеспечению безопасности персональных данных входят:

  • идентификация и аутентификация субъектов доступа и объектов доступа;
  • управление доступом субъектов доступа к объектам доступа;
  • ограничение программной среды;
  • защита машинных носителей информации;
  • регистрация событий безопасности;
  • антивирусная защита;
  • обнаружение (предотвращение) вторжений;
  • контроль защищенности персональных данных;
  • обеспечение целостности информационной системы и персональных данных;
  • обеспечение доступности персональных данных;
  • защита среды виртуализации и технических средств;
  • защита информационной системы, ее средств, систем связи и передачи данных;
  • выявление инцидентов и реагирование на них;
  • управление конфигурацией информационной системы и системы защиты персональных данных.

10.8. Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного доступа к персональным данным при их обработке в информационной системе.

11. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов

11.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, включая:

  • подтверждение факта обработки персональных данных оператором;
  • правовые основания и цели обработки;
  • цели и применяемые способы обработки;
  • наименование и место нахождения Оператора;
  • сведения о лицах, которые имеют доступ к персональным данным;
  • обрабатываемые персональные данные и источник их получения;
  • сроки обработки и хранения персональных данных;
  • порядок осуществления прав субъекта персональных данных;
  • информацию о предполагаемой или осуществленной трансграничной передаче данных;
  • сведения о лице, осуществляющем обработку персональных данных по поручению Оператора, если такая обработка поручена;
  • иные сведения, предусмотренные законодательством РФ.

11.2. Вышеуказанные сведения предоставляются в доступной форме и не должны содержать персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких данных.

11.3. Сведения предоставляются субъекту персональных данных или его представителю в течение десяти рабочих дней с момента обращения либо получения запроса. Срок может быть продлен не более чем на пять рабочих дней при направлении мотивированного уведомления.

11.4. Повторный запрос на получение указанных сведений может быть направлен не ранее чем через 30 дней после первоначального обращения, если иной срок не установлен законом.

11.5. Повторный запрос до истечения указанного срока допускается, если сведения не были предоставлены в полном объеме.

11.6. Оператор вправе отказать в выполнении повторного запроса, не соответствующего требованиям законодательства.

11.7. Оператор обязан сообщить субъекту персональных данных информацию о наличии относящихся к нему персональных данных и предоставить возможность ознакомления с ними.

11.8. В случае отказа Оператор обязан дать письменный мотивированный ответ.

11.9. Оператор обязан предоставить безвозмездно субъекту персональных данных возможность ознакомления с его персональными данными.

11.10. В срок, не превышающий семи рабочих дней со дня предоставления подтверждающих сведений, Оператор обязан внести необходимые изменения в неполные, неточные или неактуальные персональные данные.

11.11. В срок, не превышающий семи рабочих дней со дня представления сведений, подтверждающих незаконность получения персональных данных или отсутствие необходимости в заявленной цели обработки, Оператор обязан уничтожить такие данные.

11.12. Оператор обязан уведомить субъекта персональных данных о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц.

11.13. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных необходимую информацию по запросу этого органа в течение десяти рабочих дней с даты получения запроса.

11.14. При выявлении неправомерной обработки персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых данных с момента обращения или получения запроса на период проверки.

11.15. При выявлении неточных персональных данных Оператор обязан осуществить блокирование таких данных на период проверки.

11.16. В случае подтверждения факта неточности персональных данных Оператор обязан уточнить персональные данные либо обеспечить их уточнение в течение семи рабочих дней.

11.17. В случае выявления неправомерной обработки персональных данных Оператор обязан прекратить такую обработку и при необходимости уничтожить персональные данные в установленные сроки.

11.18. В случае установления факта неправомерной или случайной передачи персональных данных Оператор обязан уведомить уполномоченный орган по защите прав субъектов персональных данных:

  • в течение 24 часов — о произошедшем инциденте, причинах, предполагаемом вреде и принятых мерах;
  • в течение 72 часов — о результатах внутреннего расследования и лицах, действия которых стали причиной инцидента.

11.19. В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку и уничтожить персональные данные в срок, не превышающий 30 дней с даты достижения цели обработки, если иное не предусмотрено законодательством РФ.

11.20. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор обязан прекратить их обработку и уничтожить такие данные в срок, не превышающий 30 дней с даты поступления отзыва, если иное не предусмотрено федеральным законом.

11.21. В случаях, указанных в пунктах 11.16 и 11.17 настоящей Политики, хранение документации осуществляется в соответствии с п. 5.4 настоящей Политики, с учетом соблюдения врачебной тайны.

11.22. В случае обращения субъекта персональных данных с требованием о прекращении обработки персональных данных Оператор обязан в срок, не превышающий десяти рабочих дней, прекратить их обработку или обеспечить прекращение такой обработки, за исключением случаев, предусмотренных п. 5.4 настоящей Политики. Указанный срок может быть продлен, но не более чем на пять рабочих дней при направлении мотивированного уведомления.

11.23. В случае отсутствия возможности уничтожения персональных данных в установленные сроки Оператор осуществляет блокирование таких персональных данных и обеспечивает их уничтожение в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

11.24. Пользователь может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление посредством электронной почты на адрес: genezis.klinika@yandex.ru с пометкой «Отзыв согласия на обработку персональных данных».

12. Заключительные положения

12.1. Политика является общедоступным документом.

12.2. Ответственность лиц, имеющих доступ к персональным данным, определяется действующим законодательством Российской Федерации и локальными нормативными актами Оператора.

12.3. С момента вступления в силу настоящей Политики иные версии Политики утрачивают силу.