1. Общие положения

Настоящая Политика в отношении обработки персональных данных (далее — Политика) разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и направлена на защиту прав и свобод человека при обработке его персональных данных, в том числе на защиту права на неприкосновенность частной жизни, личную и семейную тайну.

Настоящая Политика распространяется на все персональные данные, обрабатываемые Оператором, в том числе персональные данные пациентов, работников, контрагентов, представителей контрагентов, посетителей сайта и иных лиц, взаимодействующих с Оператором.

Настоящая Политика также применяется к обработке персональных данных посетителей сайта Оператора, размещённого в сети Интернет по адресу: https://ultrasound-med.ru, в том числе при использовании форм записи на приём, форм обратной связи, сервисов онлайн-записи, виджетов обратного звонка, кнопок связи, файлов cookie, сервисов веб-аналитики и иных технических средств, размещённых на сайте.

Актуальная редакция настоящей Политики размещается на сайте https://ultrasound-med.ru и доступна неограниченному кругу лиц. Ссылка на Политику размещается в нижней части страниц сайта, а также может размещаться рядом с формами сбора персональных данных и в уведомлении об использовании файлов cookie.

Настоящая Политика подлежит размещению на официальном сайте Оператора и в доступном для пациентов месте в помещении медицинской организации.

Особенности обработки данных посетителей сайта с использованием файлов cookie и сервиса «Яндекс.Метрика» определяются Приложением № 1 к настоящей Политике.

1. Цели обработки персональных данных

Персональные данные обрабатываются Оператором в следующих целях:

– оказание медицинских услуг пациентам;

– запись пациентов на приём;

– ведение медицинской документации;

– заключение и исполнение договоров с пациентами, контрагентами и иными лицами;

– ведение бухгалтерского и налогового учёта;

– кадровый учёт работников;

– выполнение требований законодательства Российской Федерации;

– информирование пациентов об услугах Оператора исключительно при наличии соответствующего согласия;

– обеспечение работы сайта https://ultrasound-med.ru;

– обработка заявок, обращений и запросов, направленных через сайт;

– запись пациентов на приём через сайт, сторонние сервисы и виджеты онлайн-записи;

– осуществление обратного звонка и связи с посетителем сайта;

– подтверждение, перенос или отмена записи на приём;

– обработка обращений, поступивших через формы сайта, виджеты, сервисы онлайн-записи, сервисы обратного звонка и иные подключённые сервисы;

– анализ работы сайта, повышение удобства его использования, выявление технических ошибок;

– обеспечение безопасности и стабильности работы сайта;

– обработка данных, полученных через подключённые к сайту сервисы и виджеты, в целях связи с пациентом, записи на приём и оказания медицинских услуг.

1. Правовые основания обработки персональных данных

Правовыми основаниями обработки персональных данных являются:

– Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;

– Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;

– Трудовой кодекс Российской Федерации;

– Налоговый кодекс Российской Федерации;

– Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учёте»;

– договоры, заключённые с пациентами, работниками, контрагентами и иными лицами;

– необходимость заключения и исполнения договора на оказание медицинских услуг по инициативе пациента;

– согласие субъектов персональных данных на обработку персональных данных;

– согласие посетителей сайта на обработку персональных данных при использовании сайта, форм записи, виджетов, файлов cookie и сервисов веб-аналитики;

– необходимость исполнения обязанностей, возложенных на Оператора законодательством Российской Федерации.

1. Категории обрабатываемых персональных данных

4.1. Пациенты

В отношении пациентов Оператор может обрабатывать следующие персональные данные:

– фамилия, имя, отчество;

– дата рождения;

– контактные данные: номер телефона, адрес электронной почты;

– адрес проживания;

– паспортные данные;

– сведения о состоянии здоровья, являющиеся специальной категорией персональных данных;

– медицинская история, анамнез, сведения о жалобах, диагнозах, результатах обследований, оказанных медицинских услугах и иные сведения, необходимые для оказания медицинской помощи и ведения медицинской документации.

4.2. Работники

В отношении работников Оператор может обрабатывать следующие персональные данные:

– фамилия, имя, отчество;

– паспортные данные;

– ИНН, СНИЛС;

– сведения об образовании и квалификации;

– трудовая информация;

– данные о заработной плате;

– сведения, необходимые для ведения кадрового, бухгалтерского и налогового учёта.

4.3. Контрагенты и представители контрагентов

В отношении контрагентов и представителей контрагентов Оператор может обрабатывать следующие персональные данные:

– фамилия, имя, отчество;

– контактные данные;

– должность и место работы представителя контрагента;

– банковские реквизиты;

– данные договоров и документов, связанных с заключением и исполнением договоров.

4.4. Посетители сайта

В отношении посетителей сайта https://ultrasound-med.ru Оператор может обрабатывать следующие персональные данные и технические сведения:

– фамилия, имя, отчество — если посетитель сайта самостоятельно указывает их в форме записи, форме обратной связи, сервисе онлайн-записи или ином поле сайта;

– номер телефона;

– адрес электронной почты;

– выбранная услуга, врач, клиника, дата и время приёма;

– содержание обращения, заявки, комментария или сообщения;

– сведения о факте записи, звонка, обращения или заказа обратного звонка;

– IP-адрес;

– сведения о браузере, операционной системе, типе устройства, разрешении экрана, языке браузера;

– дата и время посещения сайта;

– источник перехода на сайт;

– сведения о действиях посетителя на сайте;

– данные, содержащиеся в файлах cookie и аналогичных технологиях.

Оператор не просит посетителей сайта указывать сведения о состоянии здоровья, диагнозах, результатах обследований и иные специальные категории персональных данных в открытых формах сайта, если это прямо не требуется для записи на медицинскую услугу или обработки обращения.

Если посетитель сайта самостоятельно указывает такие сведения в заявке, обращении, комментарии, форме записи или при использовании стороннего сервиса, такие данные обрабатываются Оператором исключительно в целях обработки обращения, записи на приём, оказания медицинских услуг, исполнения договора и выполнения требований законодательства Российской Федерации.

1. Порядок обработки персональных данных

Обработка персональных данных осуществляется следующими способами:

– с использованием средств автоматизации, в том числе с использованием информационных систем;

– без использования средств автоматизации, в том числе на бумажных носителях;

– смешанным способом.

Оператор осуществляет следующие действия с персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение, обновление, изменение, извлечение, использование, передачу, предоставление, доступ, обезличивание, блокирование, удаление и уничтожение.

Персональные данные могут передаваться третьим лицам только в случаях, предусмотренных законодательством Российской Федерации, либо с согласия субъекта персональных данных, либо при наличии иного законного основания для такой передачи.

Оператор вправе поручать обработку персональных данных третьим лицам при условии соблюдения такими лицами требований законодательства Российской Федерации о персональных данных, конфиденциальности и безопасности персональных данных.

5.1. Обработка персональных данных на сайте, в формах и виджетах

На сайте https://ultrasound-med.ru могут использоваться формы записи на приём, формы обратной связи, кнопки связи, виджеты онлайн-записи, виджеты обратного звонка, сервисы телефонии, сервисы веб-аналитики и иные технические средства, предназначенные для обеспечения работы сайта, связи с посетителями сайта, записи пациентов на приём и повышения удобства использования сайта.

На сайте могут использоваться, в том числе:

– сервис веб-аналитики «Яндекс.Метрика»;

– виджеты онлайн-записи на приём через портал «ПроДокторов»;

– виджеты обратного звонка, телефонии, call tracking и иные сервисы связи, в том числе NVbox;

– иные сервисы, подключённые к сайту для обеспечения записи, связи с пациентом, обработки обращений и анализа работы сайта.

При использовании указанных сервисов и виджетов могут обрабатываться персональные данные, которые посетитель сайта самостоятельно указывает при записи, обращении, заказе обратного звонка или использовании соответствующего сервиса, а также технические данные, необходимые для работы сайта и подключённых сервисов.

Обработка таких данных осуществляется в следующих целях:

– запись пациента на приём;

– обработка заявки или обращения посетителя сайта;

– осуществление обратного звонка;

– связь с пациентом по вопросам записи, режима работы, услуг, специалистов и порядка оказания медицинских услуг;

– подтверждение, перенос или отмена записи;

– обработка обращений, поступивших через сайт или сторонние сервисы;

– улучшение работы сайта и удобства его использования;

– анализ эффективности работы сайта и подключённых сервисов;

– выполнение требований законодательства Российской Федерации.

В случае если посетитель сайта переходит на сайт или в интерфейс стороннего сервиса, в том числе портала «ПроДокторов», обработка персональных данных может также осуществляться владельцем соответствующего сервиса на условиях его пользовательских документов и политики обработки персональных данных.

Если заявка, обращение, сведения о записи или звонке передаются Оператору через сторонний сервис или виджет, Оператор обрабатывает такие данные в целях записи на приём, связи с пациентом, оказания медицинских услуг, исполнения договора и выполнения требований законодательства Российской Федерации.

Оператор может поручать обработку персональных данных третьим лицам, обеспечивающим работу сайта, сервисов онлайн-записи, обратного звонка, телефонии, технической поддержки, хостинга, веб-аналитики и иных подключённых сервисов, при условии соблюдения такими лицами конфиденциальности и требований законодательства Российской Федерации о персональных данных.

Особенности обработки данных посетителей сайта с использованием файлов cookie и сервиса «Яндекс.Метрика» указаны в Приложении № 1 к настоящей Политике.

1. Обработка специальных категорий персональных данных

Настоящий раздел применяется в части обработки данных о состоянии здоровья пациентов как специальной категории персональных данных по смыслу статьи 10 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Оператор обрабатывает специальные категории персональных данных, касающиеся состояния здоровья, исключительно:

– при наличии письменного согласия пациента, оформленного в установленном порядке;

– в рамках оказания медицинских услуг и исполнения договора на оказание медицинских услуг;

– в целях установления медицинского диагноза, оказания медицинских и медико-профилактических услуг при условии, что обработка осуществляется лицами, профессионально занимающимися медицинской деятельностью и обязанными сохранять врачебную тайну;

– с соблюдением требований врачебной тайны в соответствии со статьёй 13 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;

– в иных случаях, предусмотренных законодательством Российской Федерации.

Доступ к специальным категориям персональных данных предоставляется исключительно работникам и иным уполномоченным лицам, непосредственно участвующим в оказании медицинской помощи, ведении медицинской документации, организации оказания медицинских услуг либо выполнении обязанностей, предусмотренных законодательством Российской Федерации.

Оператор не размещает на сайте формы, специально предназначенные для открытого сбора сведений о состоянии здоровья, диагнозах, результатах обследований и иных специальных категорий персональных данных, за исключением случаев, когда такие сведения необходимы для записи на медицинскую услугу или обработки обращения посетителя сайта.

Если посетитель сайта самостоятельно указывает сведения о состоянии здоровья в форме записи, обращении, комментарии или при использовании стороннего сервиса, такие данные обрабатываются Оператором с соблюдением требований законодательства Российской Федерации о персональных данных, законодательства об охране здоровья граждан и врачебной тайны.

1. Защита персональных данных

В целях обеспечения защиты персональных данных Оператор принимает необходимые правовые, организационные и технические меры, включая:

– назначение лица, ответственного за организацию обработки персональных данных;

– ограничение доступа работников к персональным данным в соответствии с их должностными обязанностями;

– хранение бумажных носителей с персональными данными в защищённых, в том числе запираемых, помещениях;

– применение организационных и технических мер по защите информационных систем;

– применение паролей, разграничение прав доступа и иных мер защиты информационных систем;

– ознакомление работников, имеющих доступ к персональным данным, с требованиями законодательства Российской Федерации о персональных данных и внутренними документами Оператора;

– проведение инструктажей работников по вопросам обработки и защиты персональных данных;

– контроль за соблюдением порядка обработки персональных данных;

– принятие мер по предотвращению неправомерного или случайного доступа к персональным данным, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий;

– принятие мер реагирования при выявлении инцидентов, связанных с нарушением безопасности персональных данных.

Ответственным за организацию обработки персональных данных назначена Лабыгина К.И.

В отношении персональных данных, получаемых через сайт, формы записи, виджеты онлайн-записи, сервисы обратного звонка и иные подключённые технические средства, Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.

Оператор принимает разумные и достаточные меры для обеспечения конфиденциальности персональных данных, обрабатываемых на сайте, в формах записи, сервисах обратной связи, виджетах онлайн-записи, сервисах обратного звонка, файлах cookie и сервисах веб-аналитики.

1. Сроки хранения персональных данных

Персональные данные хранятся не дольше, чем этого требуют цели их обработки, а также в сроки, установленные законодательством Российской Федерации.

Сроки хранения отдельных категорий документов составляют:

– медицинская документация, в том числе медицинские карты и иные документы, связанные с оказанием медицинской помощи, — в сроки, установленные законодательством Российской Федерации и нормативными правовыми актами в сфере здравоохранения;

– бухгалтерские документы — в сроки, установленные Федеральным законом от 06.12.2011 № 402-ФЗ «О бухгалтерском учёте» и иными нормативными правовыми актами;

– кадровые документы — в соответствии с требованиями трудового и архивного законодательства Российской Федерации;

– данные, полученные через сайт, формы записи, виджеты и сервисы обратной связи, — до достижения целей обработки либо до отзыва согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, договором или внутренними регламентами Оператора;

– иные данные — до достижения целей обработки либо до отзыва согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.

По истечении установленных сроков персональные данные подлежат уничтожению или обезличиванию в порядке, предусмотренном законодательством Российской Федерации и внутренними регламентами Оператора.

1. Действия при утечке или инциденте персональных данных

При выявлении факта неправомерной или случайной передачи персональных данных, повлёкшей нарушение прав субъектов персональных данных, Оператор принимает меры, предусмотренные законодательством Российской Федерации.

В течение 24 часов с момента выявления инцидента Оператор:

– уведомляет Роскомнадзор о факте инцидента;

– сообщает о предполагаемых причинах нарушения;

– описывает предполагаемый вред, причинённый правам субъектов персональных данных;

– указывает принятые меры по устранению последствий инцидента;

– предоставляет сведения об уполномоченном лице для взаимодействия с Роскомнадзором.

В течение 72 часов с момента выявления инцидента Оператор:

– уведомляет Роскомнадзор о результатах внутреннего расследования;

– предоставляет сведения о лицах, действия которых стали причиной инцидента, при наличии таких сведений.

Ответственный за организацию обработки персональных данных — Лабыгина К.И. — осуществляет координацию действий при инциденте и взаимодействие с Роскомнадзором.

1. Сроки и порядок уничтожения персональных данных

Оператор уничтожает персональные данные в следующие сроки:

– при достижении цели обработки или утрате необходимости в её достижении — в течение 30 дней, если иное не предусмотрено законодательством Российской Федерации;

– при истечении установленного срока хранения документов — в течение 30 дней, если иной срок не предусмотрен законодательством Российской Федерации или внутренними регламентами Оператора;

– при получении подтверждения субъектом персональных данных, что данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, — в сроки, установленные законодательством Российской Федерации;

– при отзыве субъектом персональных данных согласия на обработку — в течение 30 дней, если иное не предусмотрено договором, законодательством Российской Федерации или если Оператор вправе продолжить обработку персональных данных на ином законном основании.

Уничтожение персональных данных осуществляется комиссией, назначенной приказом руководителя Оператора, либо иным способом, предусмотренным внутренними регламентами Оператора. Факт уничтожения персональных данных фиксируется актом или иным документом, подтверждающим уничтожение.

1. Порядок ответа на запросы субъектов персональных данных

Субъект персональных данных вправе направить Оператору запрос на получение информации об обработке его персональных данных, их уточнение, блокирование или уничтожение.

Запрос субъекта персональных данных должен содержать:

– номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя;

– сведения о дате выдачи указанного документа и выдавшем его органе;

– сведения, подтверждающие отношения субъекта персональных данных с Оператором, либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;

– подпись субъекта персональных данных или его представителя, либо электронную подпись при направлении запроса в форме электронного документа.

Ответ на запрос предоставляется в сроки, установленные законодательством Российской Федерации.

При необходимости срок ответа может быть продлён в случаях и порядке, предусмотренных законодательством Российской Федерации, с направлением субъекту персональных данных мотивированного уведомления.

При выявлении неточных персональных данных Оператор принимает меры по их уточнению, блокированию или уничтожению в порядке и сроки, предусмотренные законодательством Российской Федерации.

Запросы направляются по контактным данным, указанным в разделе 1 настоящей Политики.

1. Права субъектов персональных данных

Субъект персональных данных имеет право:

– получать информацию об обработке своих персональных данных;

– требовать уточнения, исправления, блокирования или уничтожения персональных данных в случаях, предусмотренных законодательством Российской Федерации;

– отзывать ранее данное согласие на обработку персональных данных;

– требовать прекращения обработки персональных данных в случаях, предусмотренных законодательством Российской Федерации;

– получать сведения о правовых основаниях и целях обработки персональных данных;

– получать сведения о сроках обработки и хранения персональных данных;

– получать сведения о лицах, которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании закона;

– обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;

– осуществлять иные права, предусмотренные законодательством Российской Федерации.

1. Заключительные положения

Настоящая Политика вступает в силу с момента её утверждения и действует бессрочно до принятия новой редакции.

Актуальная версия Политики размещается на сайте Оператора https://ultrasound-med.ru и доступна неограниченному кругу лиц.

Политика подлежит обязательному размещению в доступном для пациентов месте в помещении медицинской организации.

Оператор вправе вносить изменения в настоящую Политику. Новая редакция Политики вступает в силу с момента её размещения на сайте Оператора, если иное не предусмотрено новой редакцией Политики.

Приложение № 1 к настоящей Политике определяет особенности обработки данных посетителей сайта с использованием файлов cookie и сервиса «Яндекс.Метрика» и является неотъемлемой частью настоящей Политики.