1. Общие положения

1.1. Настоящая Политика разработана в соответствии с положениями Конституции РФ от 12.12.1993г (ст.ст. 2, 17-24, 41), Трудового кодекса РФ, Федерального закона от 27.07. 2006 № 152-ФЗ "О персональных данных", Федерального закона от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и защите информации», Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Федерального закона Российской Федерации от 21.11.2011 № 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации", Федерального закона Российской Федерации от 29.11.2010 №326ФЗ «Об обязательном медицинском страховании в Российской Федерации» и иных нормативно-правовых актов, регулирующих вопросы защиты персональных данных. 

1.2. Настоящая Политика определяет основные вопросы, связанные с обработкой персональных данных в ООО "АГАТ" (далее - Оператор) с использованием средств автоматизации, в том числе в информационнотелекоммуникационных сетях, или без использования таких средств.

1.3. Персональные данные являются конфиденциальной, охраняемой информацией и на них распространяются все требования, установленные внутренними документами Оператора к защите конфиденциальной информации.

2. Термины и состав персональных данных

2.1. Оператор – юридическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

2.2. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

2.3. Субъект персональных данных – заказчики услуг Оператора и пациенты Оператора – физические лица, в том числе потенциальные заказчики и пациенты, представители заказчиков и пациентов, пользователи Корпоративного сайта Оператора.

2.4. Врачебная тайна – сведения о факте обращения пациента за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении.

2.5. Персональные данные (ПД) – любая информация, в том числе, если применимо, составляющая врачебную тайну, относящаяся к прямо или косвенно определенному или определяемому субъекту персональных данных.

2.6. Оператор обрабатывает персональные данные следующих категорий субъектов персональных данных:

• персональные данные работников Оператора - информация, необходимая Оператору в связи с трудовыми отношениями;
• персональные данные пациента, заказчика, клиента (потенциального клиента), партнера, контрагента (потенциального контрагента), а также персональные данные руководителя, участника (акционера) или сотрудника юридического лица, являющегося клиентом или контрагентом (потенциальным клиентом, партнером, контрагентом) Оператора - информация, необходимая Оператору для выполнения своих обязательств в рамках договорных отношений с пациентом, клиентом (контрагентом);

3. Цели и случаи обработки персональных данных

3.1. Целями обработки персональных данных являются:

• Организация кадрового учета, ведение кадрового делопроизводства, содействие работникам в трудоустройстве, обучении и продвижении по службе, исполнение налогового законодательства РФ в связи с исчислением и уплатой НДФЛ, а также пенсионного законодательства РФ при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнение первичной статистической документации;
• Заключение, исполнение и прекращение гражданско-правовых договоров;
• Закрепление принципов защиты персональных данных субъектов персональных данных Оператора, обеспечение их прав и свобод, установление правил обработки персональных данных и их защиты.

3.2. Обработка персональных данных Оператором допускается в случаях:

• если обработка персональных данных осуществляется с согласия субъекта персональных данных;
• если обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
• если обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
• если обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
• если обработка персональных данных необходима для осуществления научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
• если обработка персональных данных осуществляется в исследовательских, статистических или иных целях при условии обязательного обезличивания персональных данных;
• если осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
• если осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законом;

3.3. Обработка персональных данных в ООО ""АГАТ"" осуществляется в следующих целях:

• для целей заключения и исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, обработка персональных данных осуществляется на основании Федерального закона от 27.07. 2006 № 152-ФЗ "О персональных данных".
• в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну, обработка персональных данных осуществляется на основании Федерального закона от 27.07. 2006 № 152-ФЗ "О персональных данных".
• для целей предоставления Оператором дополнительных сервисов субъектам персональных данных, упрощения порядка взаимодействия между Оператором и субъектами персональных данных, для исполнения требований правил оказания платных медицинских услуг и проверки качества оказания услуг заказчиком, обработка персональных данных осуществляется на основании письменного согласия субъекта персональных данных.
• для иных целей обработка персональных данных осуществляется на основании согласия субъекта персональных данных при условии получения согласия на конкретные цели обработки персональных данных.

3.4. В отдельных случаях, Оператор вправе осуществлять обработку персональных данных субъекта персональных данных без получения его согласия, если такие действия необходимы для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных.

3.5. Персональные данные специальной категории обрабатываются Оператором только при наличии согласия субъекта в письменной форме.

3.6. Оператор не осуществляет обработку иных персональных данных, которые не отвечают целям такой обработки, а также законным правам и интересам субъекта персональных данных.

3.7. Оператор самостоятельно и за свой счет обеспечивает организационно-технические мероприятия, а также принимает меры по обеспечению защиты персональных данных субъектов персональных данных.

4. Основные принципы обработки персональных данных

4.1. Обработка персональных данных возможна только в соответствии с целями, определившими их получение.

4.2. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

4.3. Право доступа для обработки персональных данных имеют сотрудники Оператора в соответствии с возложенными на них функциональными обязанностями.

4.4. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки.

4.5. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

4.6. Обрабатываемые персональные данные уничтожаются или обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4.7. Сроки хранения персональных данных определяются в соответствии со сроком действия гражданско-правовых отношений между субъектом персональных данных и Оператором, сроком исковой давности, сроками хранения документов на бумажных носителях и документов в электронных базах данных, иными требованиями законодательства РФ, а также сроком действия согласия субъекта на обработку его персональных данных.

4.8. Оператор осуществляет обработку персональных данных субъектов персональных данных на основе следующих принципов:

• законности целей и способов обработки персональных данных и добросовестности;
• соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Оператора;
• соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
• достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

5. Порядок получения персональных данных субъекта персональных данных

5.1. Субъект персональных данных предоставляет персональные данные, а Оператор осуществляет их дальнейшую обработку на основании письменного согласия за исключением случаев предусмотренных законодательством.

5.2. Оператор гарантирует, что субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, по своей волей и в своем интересе. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в Федеральном законе от 27.07.2006 № 152ФЗ «О персональных данных», возлагается на Оператора.

5.3. Письменное согласие:

5.3.1. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.

5.3.2. Форма письменного согласия на обработку персональных данных определяется Оператором, и утверждается руководителем Оператора.

5.3.3. Форма письменного согласия в обязательном порядке включает в себя следующее:

• - фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• - фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
• - наименование, реквизиты и адрес Оператора, получающего согласие субъекта персональных данных;
• - цель обработки персональных данных;
• - перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
• - перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
• - срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
• - подпись субъекта персональных данных.