Положение о защите персональных данных
ЧМУП «Медицинский центр Сонодин»
|
УТВЕРЖДАЮ ПОЛОЖЕНИЕ Приказ № 43 30.12.2021 г. |
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Положение о защите персональных данных (далее - Положение) разработано частным унитарным медицинским предприятием «Медицинский центр Сонодин» (далее – Предприятие) в соответствии с требованиями и во исполнение Закона Республики Беларусь от 07.05.2021 г. № 99-З «О защите персональных данных» (далее - Закон о защите персональных данных), Закона Республики Беларусь от 10.11.2008 г. № 455-З «Об информации, информатизации и защите информации» и иных актов законодательства Республики Беларусь в целях обеспечения защиты прав и свобод человека и гражданина при обработке Обществом его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайны.
1.2. Термины, используемые в настоящем Положении:
Клиент - любое физическое лицо, обратившееся на Предприятие с целью получения услуг, в том числе медицинских, оказываемых Предприятием, в соответствии с действующим прейскурантом цен и перечнем оказываемых услуг, в том числе на безвозмездной основе, для участия в семинарах, учебных курсах и т.д., в том числе онлайн с использованием глобальной сети Интернет, через сайт https://sonodin.by/ (далее – Сайт) и (или) с использованием мобильного приложения МИС MEDODS (далее – Приложение MEDODS) и в связи с этим предоставляющее Предприятию свои персональные данные в письменном, устном или электронном виде.
Клиника - место оказания Предприятием и (или) ее партнерами медицинских услуг, указанных в специальном разрешении (лицензии) на право осуществления медицинской деятельности.
Обработка персональных данных - любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
Персональные данные - любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.
Пользователь – лицо, имеющее доступ к Сайту и(или) Приложению, посредством сети Интернет и использующее Сайт и(или) Приложение, в отношении которого осуществляется обработка персональных данных.
Приложение MEDODS – мобильное приложение, размещённое в сети Интернет по адресу: widget-sonodin.medods.ru. Сайт - расположенная в глобальной сети Интернет страница под доменным именем https://sonodin.by
Субъект персональных данных - физическое лицо, в отношении которого осуществляется обработка персональных данных.
Cookies – небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере Пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта.
IP-адрес – уникальный сетевой адрес, идентифицирующий устройство в интернете или локальной сети.
1.3. Положение является локальным правовым актом Предприятия, регламентирующим отношения Предприятия и субъектов персональных данных в области защиты персональных данных при их обработке, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных, в том числе переданных клиентом Обществу в письменном, устном или электронном виде, а также определяет порядок организации работы по созданию в Обществе системы защиты персональных данных.
Во исполнение требований п. 4 ст. 17 Закона «О защите персональных данных» Положение публикуется в свободном доступе в глобальной компьютерной сети Интернет на Сайте.
1.4. Обработка персональных данных производится Предприятием на основании действующего законодательства и локальных документов в соответствии с принципами законности, прозрачности, баланса интересов всех заинтересованных субъектов, добросовестности, достоверности данных, соответствия содержания и объёма обрабатываемых данных и целей их обработки, ограниченности времени хранения персональных данных, конфиденциальности и надежности.
1.5. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Общество осуществляет обработку персональных данных, в том числе:
- Конституция Республики Беларусь;
- Гражданский кодекс Республики Беларусь;
- Трудовой кодекс Республики Беларусь;
- Налоговый кодекс Республики Беларусь;
- Закон Республики Беларусь «О защите персональных данных»;
- Закон Республики Беларусь «О здравоохранении»;
- иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Общества.
1.6. Локальным правовым основанием обработки персональных данных являются:
- устав Предприятия со всеми изменения и дополнениями;
- договоры, заключаемые между Обществом, клиентами и иными субъектами персональных данных;
- согласие клиентов и иных субъектов на обработку их персональных данных.
ГЛАВА 2
ПЕРСОНАЛЬНЫЕ И ИНЫЕ ДАННЫЕ.
ПОЛУЧЕНИЕ ДАННЫХ
2.1. Предприятие собирает, обрабатывает, хранит и передает различные данные, которые можно разделить на следующие группы:
Личные данные, которые может потребоваться указать в соответствии с требованиями законодательства при заключении договора на оказании услуг, регистрации или входе на Сайт или в Приложение (создании учетной записи и идентификации), оформлении на работу и (или) участии в обсуждении вакансии Предприятия, в том числе:
— имя, фамилия и отчество (если применимо),
— дата рождения,
— гражданство,
— пол,
— данные паспорта или иного документа, удостоверяющего личность,
— адрес проживания,
— копия фото.
В отношении сотрудников Предприятия дополнительно могут предоставляться следующие личные данные:
— сведения о семейном положении и составе семьи с указанием фамилий, имен и отчеств членов семьи, даты рождения, места работы и/или учебы;
— сведения о регистрации по месту жительства (включая адрес, дату регистрации);
— сведения о месте фактического проживания;
— номер и серия страхового свидетельства государственного социального страхования;
— сведения медицинского характера (в случаях, предусмотренных законодательством);
— биометрические персональные данные (включая фотографии, изображения с камер видеонаблюдения, записи голоса);
— сведения о социальных льготах и выплатах;
— сведения о наличии исполнительных производств в органах принудительного исполнения.
Кандидаты на вакантные места в Предприятие могут предоставлять:
— данные об образовании, повышении квалификации и профессиональной переподготовке, ученой степени, ученом звании;
— сведения о трудовой деятельности (включая стаж и опыт работы, данные о занятости с указанием должности, подразделения, сведений о работодателе и др.);
— специальность, профессию, квалификацию;
— сведения о воинском учете;
— сведения медицинского характера (в случаях, предусмотренных законодательством);
— биометрические персональные данные (включая фотографии, изображения с камер видеонаблюдения, записи голоса);
— сведения о награждениях и поощрениях;
— сведения, предоставленные дополнительно самим кандидатом в ходе заполнения личностных опросников и прохождения мероприятий по психометрическому тестированию, а также результаты такого тестирования (психометрический профиль, способности и характеристики);
— иные данные, которые могут быть указаны в резюме или анкете кандидата.
Контактные данные включают адрес для направления сообщений и документов, в том числе почтовый адрес, адрес электронной почты, и номера телефонов, в том числе используемые для общения Предприятия и субъекта персональных данных в мессенджерах, иные идентификаторы мессенджеров.
Страховые данные, в том числе данные о факте заключенного договора со страховой организацией, номер, серия и иные реквизиты страхового свидетельства или застрахованного лица, другие, связанные с этим данные.
Транзакционные данные включают информацию о совершенных субъектом действиях, в том числе на Сайте или в Приложении.
Технические данные включают IP-адрес, логин, тип и версию браузера, временной пояс и местоположение, тип и версию плагинов браузера, операционной системы и платформы, а также данные о других технологиях, применяемых на устройствах, с которых вы осуществляете доступ на Сайт и в Приложение, а также об использовании Cookie, хранящихся на устройствах.
Данные особой категории/Специальные персональные данные, в том числе чувствительные данные включают информацию об особенностях личной и семейной жизни, данные о результатах медицинских обследований и анализов клиента, заключения врачей по результатам приема и (или) консультации, иная информация, которая касается состояния здоровья клиента и т.д., данные о привлечении субъекта персональных данных к административной или уголовной ответственности, а также биометрические и генетические персональные данные;
Данные электронной медицинской карты включают информацию из личной медицинской карты клиента, которую Общество ведет и хранит в электронном виде, содержащей личные и контактные данные, кодовое слово, данные об оказанных и (или) планируемых к оказанию услугах, визитах, информацию, полученную в процессе оказания медицинских и сопутствующих услуг. В электронной медицинской карте хранятся специальные персональные, страховые данные клиента, связанные с оказанием субъекту персональных данных медицинских и (или) сопутствующих услуг.
Данные о местоположении включают информацию о фактическом местоположении субъекта персональных данных при взаимодействии с Сайтом (например, группа параметров, определяющих региональную настройку интерфейса, в частности страну проживания, часовой пояс и язык интерфейса) и данные о фактическом месте жительства.
Аудиоданные включают все записи входящих и исходящих звонков на рабочие телефоны, в том числе рабочие телефоны сотрудников Предприятия, в полном объеме.
Текстовые данные и резервные копии файлов включают все данные переписки как в бумажном , так и в электронном виде в открытых линиях по официальным каналам связи Общества, в том числе по электронной почте, в мессенджерах и специальных программах, в том числе в чатах и личных сообщениях с использованием рабочих телефонов и учетных записей в специальных программах сотрудников Общества, исполняющих свои должностные обязанности, переписка и общение по любым каналам связи со службой контроля качества, заметки, записки и любая другая текстовая информация, относящаяся к какой-либо электронной медицинской карте клиента, а также резервные копии файлов, содержащих любую информацию, в том числе документы, пересылаемые в связи с оказанием Обществом медицинских и сопутствующих услуг.
Все вышеперечисленное относится к персональным данным.
Агрегированные данные включают статистические данные для любых целей, используемые Предприятием. Эту информацию можно получить из данных клиентов и (или) иных субъектов персональных данных, однако она не будет считаться персональными данными, поскольку она не позволяет прямо или косвенно установить личность, которая была связана с их получением. Например, Предприятие может агрегировать данные о частоте использования той или иной медицинской услуги в клинике, данные для определения процента пользователей, которые пользуются той или иной функцией Приложения, и (или) предпочитают того или иного врача, агрегировать и (или) обрабатывать данные о результатах оказанных медицинских услуг в научных целях. Невзирая на вышесказанное, если Предприятие использует агрегированные данные вместе с иными данными, что влечет вероятность идентификации субъекта данных, Предприятие будет считать такую совокупность данных конфиденциальными в соответствии с положениями настоящего документа, относящимися к обработке персональных данных.
2.2. Предприятие может получать персональные данные:
— от клиентов лично при первичном обращении в клинику и формировании личной электронной медицинской карты клиента;
— от клиентов лично в последующем при дополнении, исправлении существующей личной электронной медицинской карты;
— от иных субъектов персональных данных лично или путем пересылки персональных данных и (или) документов, содержащих такие данные, посредством электронных средств связи;
— от третьих лиц, передающих данные субъекта Обществу на законных основаниях для осуществления страховой, банковской, медицинской и иных видов деятельности;
— c использованием технических средств Сайта и Приложения при использовании их субъектом персональных данных;
— из публичных источников.
2.3. Клиенты и иные субъекты персональных данных признают, что информация, содержащаяся в их электронной медицинской карте, а также данные Приложения и Сайта, связанные с оказанными Предприятием медицинскими и иными услугами, частично или полностью будут храниться Предприятием и могут полностью или частично использоваться в случае спорных ситуаций.
2.4. Клиенты и иные субъекты персональных данных отвечают за обновление (внесение изменений, актуализацию) любых данных, предоставленных Предприятию. Предприятие не обязано прикладывать усилия для актуализации и проверки данных, предоставленных ей субъектом персональных данных. Субъекты персональных данных признают, что у Предприятия нет перед ними обязательств по проверке таких данных.
ГЛАВА 3
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ.
ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
3.1. Обработка персональных данных осуществляется Предприятием исключительно после ознакомления субъекта персональных данных с текстом настоящего Положения и утвержденной Предприятием Политикой конфиденциальности, предоставленных для изучения в письменном либо электронном виде, а также получения Предприятием свободного, однозначного, информированного согласия на обработку персональных данных, если получение такого согласия требуется в соответствии с действующим законодательством.
Размещение Предприятием полного текста Положения и Политики конфиденциальности в электронном виде в свободном доступе на Сайте в глобальной сети Интернет является достаточным для обеспечения возможности ознакомления с текстом Положения для любого субъекта персональных данных.
В Политике конфиденциальности Предприятия содержатся следующие сведения:
— наименование Предприятия место нахождения клиник Предприятия;
— цели обработки персональных данных;
— срок, на который даётся согласие на обработку персональных данных;
— данные о партнерах Предприятия, сторонних организациях, имеющих доступ к персональным данным, обрабатываемым Предприятием в процессе своей деятельности, цели, для достижения которых указанные сторонние организации получают доступ к обрабатываемым персональным данным;
— права субъекта персональных данных, связанные с обработкой таких данных;
— механизм реализации прав субъекта персональных данных в отношении обработки таких данных;
— последствия согласия или отказа в даче согласия на обработку персональных данных.
3.2. Согласие субъекта персональных данных на обработку его персональных данных может быть получено любым допустимым законодательством Республики Беларусь способом, в том числе путём проставления в электронном виде подписи и(или) отметки в соответствующем бланке, предложенном клиенту в электронном виде на цифровом носителе информации.
3.3. При обращении в Предприятие клиента, признанного недееспособным или ограниченно дееспособным, либо пациента, не достигшего шестнадцатилетнего возраста, за исключением вступления в брак до достижения возраста шестнадцати лет, согласие на обработку персональных данных дает один из его законных представителей.
3.4. Сведения о необходимости предварительного ознакомления с Положением и Политикой конфиденциальности, а также предоставление бланка согласия на обработку персональных данных в письменном или электронном виде, контроль наличия отметки о согласии субъекта на обработку персональных данных в соответствующем письменном или электронном бланке до начала сбора, хранения, использования и т.д. персональных данных, организация учёта лиц в качестве субъектов персональных данных, выразивших согласие на обработку своих персональных данных, осуществляют сотрудники Предприятия, исполняющие соответствующие обязанности клинике Организации в момент обращения клиента за оказанием медицинских и (или) сопутствующих услуг, оформления сотрудника на работу, рассмотрения кандидатур на вакантные должности на Предприятии и т.д. (сотрудники кол-центра, рецепции, административные сотрудники в соответствии со своими должностными обязанностями).
3.5. Срок, на который даётся согласие клиента на обработку его персональных данных, ограничивается сроком действия договоров на оказание медицинских услуг, заключённых между Предприятием и клиентом, трудовых договоров с сотрудниками Предприятия и (или) периода наличия вакансии, и может быть продлён на срок, предусмотренный законодательством Республики Беларусь в отношении обязательного периода хранения медицинской и иной документации, содержащей персональные данные, а также на иной срок, предусмотренный законодательством Республики Беларусь для обязательного хранения персональных данных.
3.6. Доступ к персональным данным предоставляется только тем сотрудникам Общества, служебные обязанности которых предполагают работу с персональными данными, и только на период, необходимый для работы с соответствующими данными.
Работникам Организации, не ознакомленным должным образом с особенностями и правилами осуществления обработки персональных данных, установленных законодательством и настоящим Положением, доступ к персональным данным запрещается.
3.7. Работники, осуществляющие обработку персональных данных без использования средств автоматизации, информируются (в том числе путем ознакомления с Положением) о факте обработки персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных законодательством и настоящим Положением.
Работники, осуществляющие обработку персональных данных с использованием средств автоматизации и специального программного обеспечения, кроме информирования и обучения, в том числе по вопросам обработки персональных данных, допускаются к работе в программах через личный идентифицирующий пароль и логин, что позволяет разграничить доступ к персональным данным и фиксировать все действия с персональными данными, осуществляемые определенным лицом. Передача своего пароля и логина другому лицу, использование чужого логина и пароля для доступа к персональным данным запрещены.
3.8. При необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных.
ГЛАВА 4
ЦЕЛИ, СПОСОБЫ И ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. В большинстве случаев Предприятие собирает и обрабатывает персональные данные для целей, указанных в п.п. 4.3. Положения и по любой из перечисленных причин (основания обработки):
— для выполнения своих договорных обязательств;
— для оценки и повышения качества оказываемых Предприятием услуг;
— для рассмотрения обстоятельств по поступившим в Предприятие жалобам, претензиям и (или) обращениям клиентов и иных субъектов персональных данных и защиты своих законных интересов;
— с целью соответствия деятельности Предприятия требованиям, предусмотренным трудовым, налоговым и иными видами законодательства, в том числе регулирующего деятельность медицинских организаций.
4.2. Персональные данные необходимы и помогают:
— подтвердить личность клиента-физического лица;
— идентифицировать партнера-юридическое лицо;
— оперативно обрабатывать заявки на оказание медицинских и сопутствующих услуг;
— своевременно информировать о расширении сервисов Предприятия и об изменениях и данных, которые, по мнению Предприятия, могут заинтересовать конкретного субъекта;
— предоставлять услуги, связанные с договорами, заключенными Предприятием;
— вести корректную регистрационную базу данных и электронных медицинских карт клиентов;
— анализировать статистические данные, чтобы предложить услуги более высокого качества, анализировать уровень и качество оказываемых услуг и эффективность оказанной медицинской помощи.
4.3. Предприятие осуществляет работу с персональными данными в следующих целях и указанными способами:
4.3.1. Сбор, систематизация, использование, обработка и хранение биометрических, генетических и иных персональных данных клиента в электронной медицинской системе Предприятия, используемой для учёта электронных медицинских карт, результатов медицинских анализов и обследований, медицинских заключений специалистов в отношении клиентов и т.д.; сбор, систематизация и хранение медицинской документации в соответствии с действующим законодательством и локальными нормативными актами.
В интересах клиентов, посещающих клинику Предприятия и клиники партнера, стороны обеспечивают обмен информацией о состоянии здоровья клиентов, о наличии заболевания(ий), диагнозе(ах), оказанной медицинской помощи, иными сведениями, полученными при оказании клиентам медицинских услуг в соответствии с действующим законодательством, для обеспечения удобства оказания медицинских услуг как для клиента, так и для медицинского персонала. 4.3.2. Сбор, систематизация, использование, изменение, обработка и хранение персональных данных работников организации при оформлении трудовых отношений и в процессе осуществления ими трудовой деятельности в целях соблюдения норм законодательства о труде и организации труда в электронной и бумажной форме, в том числе с использованием специальных программ по ведению учета кадров.
4.3.3. Сбор, систематизация, использование, обработка и хранение в электронной и бумажной форме персональных данных кандидатов для приёма на работу с целью оценки целесообразности трудоустройства, получения знаний и навыков, необходимых для успешного начала трудовой деятельности по выбранному кандидатом и утверждённому Предприятием направлению, дальнейшей демонстрации приобретённых в процессе обучения навыков с целью обоюдного с Предприятием принятия решения о возможности заключения с кандидатом трудового договора.
4.3.4. Получение и предоставление по запросам страховых организаций и (или) клиентов сведений и документов, необходимых для решения вопроса о назначении страховых выплат, осуществления и подтверждения предварительной записи клиента на прием и (или) проведение анализов и исследований, получения подтверждения страховых организаций по оплате приема, в соответствии с законодательством о страховой деятельности, в том числе использование сведений о страховом полисе, предоставляемом клиентом с целью оплаты услуг Общества за счёт средств страховой организации на основании заключенных с клиентом договоров.
4.3.5. Получение и предоставление по запросам банков и (или) клиентов сведений и документов, необходимых для решения вопроса о получении банковской рассрочки и (или) целевого кредита, подтверждения оказания медицинских и сопутствующих услуг Предприятия за счет таких средств, в порядке и на условиях заключенных клиентом договоров и законодательства о банковской деятельности.
4.3.6. Использование и обработка персональных данных клиентов сотрудниками кол-центра, рецепции, персональными координаторами Предприятия в целях проведения предварительных и последующих консультаций как для потенциальных, так и для текущих клиентов, в том числе для осуществления предварительной записи на приём и (или) сдачу анализов, изменения или отмены такой записи, проведения исследований, ответа на вопросы субъекта персональных данных, связанных с оказанием Предприятием медицинских и иных сопутствующих услуг, разъяснения порядка и условий оказания Предприятием медицинских, сопутствующих и иных услуг, порядка подготовки к анализам, исследованиям и (или) медицинским манипуляциям и т.д.
4.3.7. Использование и обработка персональных данных клиентов сотрудниками отделения контроля качества, административными сотрудниками Предприятия в целях урегулирования конфликтных ситуаций, рассмотрения обращений, жалоб и (или) претензий клиентов в порядке, предусмотренном законодательством, формирования и направления ответов клиентам.
4.3.8. Использование и обработка персональных данных клиентов в целях информирования с использованием доступных каналов связи (рассылки в мессенджерах, по электронной почте, SMS-оповещение, личный звонок с использованием мобильной связи) о появлении новых и улучшении порядка предоставления действующих услуг, проводимых в клинике акциях, с целью предложения клиенту принять участие в медицинских и рекламных программах, а также чтобы напомнить о приближающейся дате визита в клиники.
4.3.9. Передача и получение персональных данных, в том числе трансграничная, организациям партнёрам, а именно медицинским организациям и исследовательским лабораториям на основании заключенного с ними договора для выполнения соответствующих лабораторных анализов и исследований, проведения консультаций по запросу клиента в рамках заключенного с клиентом договора на оказание медицинских услуг.
На момент утверждения настоящего Положения партнёрами Предприятия в части оказания медицинских услуг и лабораторных исследований являются ИООО «Инвитро», СООО «Синэво», УЗ «Могилевское областное патологоанатомическое бюро», УЗ "Бобруйский межрайонный онкологический диспансер".
Изменения, касающиеся состава партнерских медицинских организаций и лабораторий, с которыми сотрудничает Организация, могут быть доведены до сведения клиента путем размещения данных об этом в электронном виде в глобальной сети Интернет на Сайте, что считается надлежащим уведомлением.
4.3.10. Предоставление доступа к программам, системам и базам данных, содержащим персональные данные, организациям-партнерам с целью установки и (или) технического облуживания оборудования, установки, настройки, исправления и (или) доработки программного обеспечения, используемых Предприятием.
Условия договоров, заключенных с такими организациями-партнерами, предусматривают обязательное обеспечение условий конфиденциальности, сохранение врачебной тайны и условия о возможности доступа к персональным данным только уполномоченных на работу с такими данными лиц. Сотрудники таких организаций имеют доступ к персональным данным исключительно в рамках достижения указанных договорных целей.
На дату утверждения Положения Предприятие сотрудничает с несколькими организациями, осуществляющими поддержку в области технического и программного обслуживания, в том числе ООО "Медодс" (Россия). Изменения, касающиеся состава партнерских организаций, с которыми сотрудничает Организация, могут быть доведены до сведения клиента путем размещения данных об этом в электронном виде в глобальной сети Интернет на Сайте, что считается надлежащим уведомлением.
4.3.11. Обезличивание персональных данных и дальнейшее их использование в научных и статистических исследованиях, проводимых медицинскими сотрудниками Общества, иными сотрудниками общества, в том числе в целях оценки качества и результатов работы Предприятия, в том числе в маркетинговых целях, а также с целью формирования внутренних отчётов.
4.3.12. Удаление либо блокировка в случае невозможности удаления персональных данных субъекта персональных данных в случае отзыва таким субъектом своего согласия на обработку персональных данных, направления требования прекращения обработки персональных данных.
ГЛАВА 5
ПРАВА И ОБЯЗАННОСТИ
В ОБЛАСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Предприятие имеет право с соблюдением действующего законодательства собирать, хранить и обрабатывать персональные данные для осуществления своей уставной деятельности и исполнения своих обязательств, предусмотренных действующим законодательством и заключенными договорами.
5.2. Субъект персональных данных обязан:
5.2.1. предоставлять Предприятию достоверные персональные данные;
5.2.2. своевременно сообщать Предприятию об изменениях и дополнениях своих персональных данных;
5.2.3. осуществлять свои права в соответствии с законодательством Республики Беларусь и локальными правовыми актами Предприятия в области обработки и защиты персональных данных;
5.2.4. исполнять иные обязанности, предусмотренные законодательством Республики Беларусь и локальными правовыми актами Предприятия в области обработки и защиты персональных данных.
5.3. Обработка персональных данных осуществляется с согласия субъекта персональных данных. Согласие субъекта персональных данных на обработку персональных данных не требуется в случаях, предусмотренных Законом о персональных данных, в том числе, но не ограничиваясь:
— для ведения индивидуального (персонифицированного) учета сведений о застрахованных лицах для целей государственного социального страхования, в том числе профессионального пенсионного страхования;
— при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством;
— в целях назначения и выплаты пенсий, пособий;
— для организации и проведения государственных статистических наблюдений, формирования официальной статистической информации;
— в научных или иных исследовательских целях при условии обязательного обезличивания персональных данных;
— при обработке персональных данных, когда они указаны в документе, адресованном Предприятию и подписанном субъектом персональных данных, в соответствии с содержанием такого документа;
и т.д.
Обработка специальных персональных данных без согласия субъекта персональных данных запрещается, за исключением случаев, предусмотренных Законом о персональных данных, в том числе, но не ограничиваясь:
— в целях организации оказания медицинской помощи при условии, что такие персональные данные обрабатываются на Предприятии медицинским работником, на которого возложены обязанности по обеспечению защиты персональных данных и в соответствии с законодательством распространяется обязанность сохранять врачебную тайну;
— для осуществления административных процедур;
— для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно.
5.4. Согласие субъекта персональных данных на их обработку может быть получено Предприятием в письменной форме, в виде электронного документа или в иной электронной форме, соответствующей требованиям действующего законодательства.
5.5. Субъект персональных данных вправе в любое время без объяснения причин отозвать свое согласие на обработку своих персональных данных посредством направление Предприятию соответствующего заявления.
Заявление об отзыве согласия на обработку персональных данных должно быть подано с учётом требований действующего законодательства, в том числе содержать:
— фамилию, собственное имя, отчество (если таковое имеется) субъекта, адрес его места жительства (места пребывания);
— дату рождения субъекта;
— идентификационный номер субъекта, при отсутствии такого номера - номер документа, удостоверяющего личность, в случаях, если эта информация указывалась клиентом при даче своего согласия Предприятию или обработка персональных данных осуществляется без согласия субъекта;
— указание непосредственно на отзыв согласия на обработку персональных данных;
— личную подпись либо электронную цифровую подпись субъекта персональных данных.
5.6. В случае поступления на Предприятие заявления субъекта персональных данных об отзыве согласия на обработку персональных данных, такое заявление передаётся на рассмотрение должностному лицу организации, ответственному за осуществление внутреннего контроля за обработкой персональных данных, в соответствии с приказом, издаваемым Предприятием.
Уполномоченной должностное лицо Предприятия обязано в течение пятнадцати дней рассмотреть заявление субъекта персональных данных об отзыве согласия на обработку персональных данных и в соответствии с его содержанием прекратить обработку персональных данных, осуществить их удаление и уведомить субъекта, если отсутствуют иные основания для таких действий с персональными данными, предусмотренные законодательными актами Республики Беларусь.
При отсутствии технической возможности удаления персональных данных Предприятие обязано принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомить об этом субъекта персональных данных в тот же срок.
5.7. Субъект персональных данных также вправе:
5.7.1. получить информацию, касающуюся обработки своих персональных данных, содержащую:
— наименование и место нахождения Предприятия;
— его персональные данные и источник их получения;
— правовые основания и цели обработки персональных данных;
— срок, на который дано его согласие;
— иную информацию, предусмотренную законодательством.
5.7.2. Требовать от Предприятия внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными.
В этих целях субъект персональных данных подает на Предприятие заявление в порядке, установленном действующим законодательством, с приложением соответствующих документов и (или) их заверенных в установленном порядке копий, подтверждающих необходимость внесения изменений в персональные данные.
5.7.3. Получать от Предприятия информацию о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно, если иное не предусмотрено Законом о защите персональных данных и иными законодательными актами.
Для получения указанной информации субъект персональных данных подает заявление на Предприятие. Заявление субъекта персональных данных должно содержать:
— фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
— дату рождения субъекта персональных данных;
— идентификационный номер субъекта персональных данных, при отсутствии такого номера - номер документа, удостоверяющего личность, в случаях, если эта информация указывалась при даче субъектом своего согласия Предприятию или обработка персональных данных осуществляется без согласия субъекта;
— изложение сути требований субъекта персональных данных;
— личную подпись либо электронную цифровую подпись субъекта персональных данных.
5.7.4. Требовать от Предприятия бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных Законом о защите персональных данных и иными законодательными актами. Для реализации указанного права субъект персональных данных подает на Предприятие заявление в порядке, установленном действующим законодательством.
5.7.5. Обжаловать действия (бездействие) и решения Организации, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц.
5.8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с законодательством Республики Беларусь.
5.9. Отказ от предоставления персональных данных. Учитывая характер и тип некоторых оказываемых Предприятием услуг, Предприятие может понадобиться собирать некоторые персональные данные по требованию закона или в соответствии с положениями заключенных сделок и договоров с субъектами персональных данных. Без таких данных Предприятие в некоторых случаях может не иметь возможности контактировать с субъектом персональных данных и (или) оказывать ему соответствующие услуги.
Если субъект персональных данных решит не передавать некоторые данные Предприятию и (или) отзовет свое согласие на обработку таких персональных данных, это может отсрочить или сделать невозможным выполнение некоторых обязательств и оказание услуг и (или) коммуникации.
5.10. Предприятие также обязано:
5.10.1. разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
5.10.2. получать согласие на обработку персональных данных, за исключением случаев, предусмотренных Законом о защите персональных данных и иными законодательными актами;
5.10.3. обеспечивать защиту персональных данных в процессе их обработки;
5.10.4. предоставлять клиенту информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных Законом о защите персональных данных и иными законодательными актами;
5.10.5. вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
5.10.6. прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных Законом о защите персональных данных и иными законодательными актами;
5.10.7. уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как Обществу стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;
5.10.8. осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;
5.10.9. исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных и иные обязанности, предусмотренные Законом о защите персональных данных и иными законодательными актами.
5.11. В случае необходимости разъяснения субъекту персональных данных какого-либо вопроса касаемо его прав в связи с обработкой персональных данных, Предприятие обязано разъяснить соответствующие права по запросу субъекта, направленному в адрес Предприятия в письменном виде или в электронном виде на почтовый ящик Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript..
ГЛАВА 6
МЕРЫ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Под защитой персональных данных понимается ряд правовых, организационных и технических мер, направленных на:
a) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
б) соблюдение конфиденциальности информации ограниченного доступа;
в) реализацию права на доступ к информации.
6.2. Предприятие принимает правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.
6.3. Организационные меры, принимаемые Предприятием в области защиты персональных данных:
— назначение лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных, а также за техническую защиту персональных данных (приказ);
— обеспечение неограниченного доступ к документам, определяющим политику Общества в области защиты персональных данных, в том числе путём размещения таких документов в глобальной сети Интернет на Сайте;
— ознакомление сотрудников Предприятия, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Республики Беларусь и локальных правовых актов Общества в области персональных данных, в том числе с требованиями к защите персональных данных, и обучение указанных работников;
— учёт и регистрация всех обращений субъектов персональных данных по вопросам персональных данных;
— возможность ознакомления с персональными данными при обращении и (или) поступлении запросов субъектов персональных данных или их уполномоченных представителей, если иное не установлено законодательством Республики Беларусь;
— прекращение обработки и уничтожение персональных данных в случаях, предусмотренных законодательством Республики Беларусь в области персональных данных;
— обеспечение условия для хранения документов, содержащих персональные данные, в ограниченном доступе;
— контроль соблюдения требований по обеспечению безопасности персональных данных, в том числе установленных настоящим Положением (путем проведения внутренних проверок и др.).
6.4. Правовые меры, принимаемые Предприятием в области защиты персональных данных:
— утверждение Положения путём издания соответствующего приказа;
— утверждение Политики в области защиты персональных данных путём издания соответствующего приказа;
— включение в договоры с организациями –партнёрами дополнительных требований о соблюдении условий конфиденциальности и законодательства в области зашиты персональных данных;
— издание иных необходимых для обеспечения соблюдения законодательства в области защиты персональных данных документов.
6.5. Для защиты персональных данных при их обработке в информационных системах Предприятия проводит необходимые предусмотренные законом технические мероприятия, включая, но не ограничиваясь:
— предоставление каждому сотруднику Предприятия, имеющему доступ к автоматизированным системам хранения и обработки персональных данных, персонализированной учётной записи, доступ к которой обеспечен при введении индивидуальных логина и пароля, а также возможность отследить все совершаемые в автоматизированной системе действий такого сотрудника;
— определение угроз безопасности персональных данных при их обработке; применение мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
— учет машинных носителей персональных данных;
— обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
— восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
6.6. Предприятием могут приниматься иные меры, направленные на обеспечение выполнения Предприятием обязанностей в сфере персональных данных, предусмотренных действующим законодательством Республики Беларусь.
ГЛАВА 7
ОТВЕТСТВЕННОСТЬ СТОРОН
7.1. За неисполнение или ненадлежащее исполнение условий настоящего Положения Предприятие и субъект персональных данных несут ответственность, предусмотренную законодательством Республики Беларусь.
7.2. В случае утраты или разглашения персональной информации Предприятие не несёт ответственность, если данная информация:
— стала публичным достоянием до её утраты или разглашения;
— была получена от третьей стороны до момента её получения Предприятием;
— была разглашена с согласия субъекта персональных данных.
ГЛАВА 8
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
8.1. К настоящему Положению и отношениям между субъектом персональных данных и Предприятием применяется действующее законодательство Республики Беларусь.
8.2. Действующее Положение является общедоступным, вступает в силу с момента его утверждения соответствующим приказом Предприятия.
8.3. Общество оставляет за собой право по своему усмотрению в будущем добавлять, менять или удалять пункты настоящего Положения для обеспечения актуальности и полноты информации о процедурах сбора и обработки персональных данных, правах и обязанностях сторон и т.д.
Общество обязуется информировать субъектов персональных данных о любых обновлениях настоящего Положения путем публикации актуальной редакции на Сайте и (или) иным способом по своему выбору.