Политика в отношении обработки персональных данных

1. Общие положения

1.1. Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в «Ассоциации специалистов по 3Д печати в медицине» (далее по тексту – «Ассоциация») с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Политика служит основой для разработки локальных нормативных актов, регламентирующих в «Ассоциации» вопросы обработки персональных данных работников, пациентов, обучающихся и других субъектов персональных данных.
1.3. В Политике используются следующие основные понятия:

  • персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
  • оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; в настоящей Политике – это «Ассоциация травматологии и ортопедии в Нижнем Новгороде».
  • субъект персональных данных – работники «Ассоциации», бывшие работники «Ассоциации», пациенты, лица, участвующее в клинических исследованиях, проводимых «Ассоциации», лица (граждане РФ и иностранные граждане), осваивающие образовательные программы (обучающиеся: студенты, ординаторы, интерны, аспиранты, слушатели), поступающие, контрагенты (представители контрагентов) по гражданско-правовым договорам с «Ассоциацией», пользователь (посетитель) веб-сайта as3dm.ru ;
  • обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
  • автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
  • веб-сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу https://as3dm.ru;
  • информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств;
  • распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
  • предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
  • блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
  • уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
  • обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
  • информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
  • трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
  • конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания


1.4. Права и обязанности субъекта персональных данных.
Субъект персональных данных вправе:

  • на безвозмездное ознакомление со своими персональными данными, за исключением случаев, предусмотренных Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных";
  • на получение информации, касающейся обработки своих персональных данных, в том числе содержащей: подтверждение факта обработки персональных данных «Ассоциации»; правовые основания и цели обработки персональных данных; цели и применяемые «Ассоциацией» способы обработки персональных данных; наименование и место нахождения «Ассоциации», обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; сроки обработки персональных данных, в том числе сроки их хранения; порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом "О персональных данных"; информацию об отсутствии трансграничной передачи данных; наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению «Ассоциации», если обработка поручена или будет поручена такому лицу; иные сведения, предусмотренные законодательством Российской Федерации;
  • требовать от «Ассоциации» уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
  • обжаловать действия или бездействие «Ассоциации» в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;
  • на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
  • отказаться от получения информационных сообщений, направив оператору письмо на адрес электронной почты as3dmed@yandex.ru с пометкой «Отказ от уведомлений о новых продуктах и услугах и специальных предложениях».


Субъект персональных данных обязан:

  • - сообщать достоверную информацию о себе и предоставлять документы, содержащие персональные данные, состав которых установлен законодательством Российской Федерации и локальными нормативными документами «Ассоциации» в объеме, необходимом для цели обработки;
  • - сообщать в «Ассоциации» об уточнении (обновлении, изменении) своих персональных данных.


1.5. Права и обязанности оператора персональных данных
Работники «Ассоциации», осуществляющие обработку персональных данных, вправе:
 

  • - получать документы, содержащие персональные данные;
  • - требовать от субъекта персональных данных своевременного уточнения предоставленных персональных данных.
  • - направлять Пользователю сайта https://as3dm.ru уведомления о новых продуктах и услугах, специальных предложениях и различных событиях.
  • - информировать Пользователя посредством отправки электронных писем.


Работники «Ассоциации», осуществляющие обработку персональных данных, обязаны:

  • - обрабатывать персональные данные, полученные в установленном действующим законодательством порядке;
  • - рассматривать обращения субъекта персональных данных (законного представителя субъекта персональных данных, уполномоченного органа по защите прав субъектов персональных данных) по вопросу обработки его персональных данных и давать мотивированные ответы в срок, не превышающий 7 (семи) рабочих дней с даты поступления обращения (запроса);
  • - предоставлять субъекту персональных данных (законному представителю субъекта персональных данных) возможность безвозмездного доступа к своим персональным данным, обрабатываемым в «Ассоциации»;
  • - принимать меры по уточнению персональных данных субъекта персональных данных в связи с его (законного представителя) обращением с законными и обоснованными требованиями;
  • - принимать меры по уничтожению персональных данных субъекта персональных данных;
  • - организовывать оперативное и архивное хранение документов «Ассоциации», содержащих персональные данные субъектов персональных данных, в соответствии с требованиями законодательства Российской Федерации.


2. Цели сбора персональных данных
Обработка «Ассоциацией» персональных данных осуществляется в следующих целях:
 

  • - обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;
  • - осуществления и выполнения возложенных законодательством Российской Федерации на «Ассоциацию» функций, полномочий и обязанностей, в частности:
  • выполнение требований законодательства в сфере труда и налогообложения; ведения кадрового делопроизводства и личных дел работников;
  • ведения текущего бухгалтерского и налогового учёта, формирование, изготовление и своевременная подача бухгалтерской, налоговой и статистической отчётности; организации постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования;
  • - исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
  • - регулирования трудовых отношений с работниками «Ассоциации»: трудоустройство, контроль качества выполняемой работы, обеспечение сохранности имущества, предоставления работникам отпусков и направления их в командировки, организации и оформления награждений и поощрений работников;
  • - обеспечения соблюдения законодательства в сфере защиты прав и интересов пациентов, обратившихся в «Ассоциации» за предоставлением медицинской помощи, а также лиц, участвующих в клинических исследованиях, проводимых «Ассоциацией»;
  • - обеспечения соблюдения законодательства в сфере защиты прав и интересов лиц, осваивающих образовательные программы в «Ассоциации» (обучающиеся: студенты, ординаторы, интерны, аспиранты, слушатели), поступающих, в частности: корректного документального оформления правоотношений, корректного выполнения всех технологических процессов работы с материальными и электронными носителями информации, контроля качества обучения, содействия в предоставлении трудоустройства и обучения, своевременной и надлежащей выплаты стипендии, именных и конкурсных стипендий, обеспечения предоставления социальных гарантий;
  • - подготовки, заключения, исполнения и прекращения гражданско-правовых договоров;
  • - обеспечения пропускного режима в зданиях «Ассоциации»;
  • - реализации прав и законных интересов «Ассоциации» в рамках осуществления деятельности, предусмотренной Уставом.


3. Правовые основания обработки персональных данных
Правовые основания обработки персональных данных Правовыми основаниями обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми «Ассоциация» осуществляет обработку персональных данных, в том числе:

  • - Конституция Российской Федерации;
  • - Гражданский кодекс Российской Федерации;
  • - Трудовой кодекс Российской Федерации;
  • - Налоговый кодекс Российской Федерации;
  • - Федеральный закон от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации";
  • - Указ Президента РФ от 06.03.1997 N 188 "Об утверждении Перечня сведений конфиденциального характера"
  • - Федеральный закон от 29.12.2012 N 273-ФЗ "Об образовании в Российской Федерации";
  • - Федеральный закон от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации";
  • - Устав «Ассоциации специалистов по 3Д-печати в медицине»;
  • - иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти;
  • - согласие субъектов на обработку их персональных данных.



4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

В зависимости от целей, предусмотренных Политикой, в «Ассоциации» обрабатываются персональные данные следующих категорий субъектов:

4.1. Работники «Ассоциации»:

  • - фамилия, имя, отчество;
  • - пол;
  • - дата и место рождения;
  • - биометрические персональные данные (в том числе фотография);
  • - паспортные данные;
  • - адрес регистрации и фактического проживания;
  • - контактные данные (адрес электронной почты, номер телефона);
  • - индивидуальный номер налогоплательщика;
  • - страховой номер индивидуального лицевого счета (СНИЛС);
  • - образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
  • - семейное положение, наличие детей, родственные связи;
  • - сведения о трудовой деятельности, в том числе наличие поощрений, награждений и/или дисциплинарных взысканий;
  •  
  • - данные о регистрации брака;
  • - сведения о воинском учете;
  • - сведения об инвалидности;
  • - сведения об удержании алиментов;
  • - иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.


4.2. Кандидаты на замещение вакантных должностей «Ассоциации»:

  • - фамилия, имя, отчество;
  • - пол;
  • - дата и место рождения;
  • - адрес регистрации и фактического проживания;
  • - контактные данные (адрес электронной почты, номер телефона);
  • - сведения о профессии и иные персональные данные, сообщаемые кандидатом в резюме и сопроводительных письмах.


4.3. Пациенты, обратившиеся за медицинской помощью в «Ассоциации», а также лица, участвующие в клинических исследованиях, проводимых «Ассоциацией»:

  • - фамилия, имя, отчество;
  • -паспортные данные;
  • - данные о законных представителях, в случаях предусмотренных законом.
  • - пол;
  • - дата и место рождения;
  • - адрес регистрации и фактического проживания;
  • - контактные данные (адрес электронной почты, номер телефона);
  • - реквизиты полиса ОМС;
  • - реквизиты полиса ДМС
  • - страховой номер индивидуального счета в Пенсионном фонде России (СНИЛС),


4.4. Лица (граждане РФ и иностранные граждане), осваивающие образовательные программы (обучающиеся: студенты, ординаторы, интерны, аспиранты, слушатели), поступающие:

  • - фамилия, имя, отчество;
  • - пол;
  • - дата и место рождения;
  • -фотография;
  • - контактные данные (адрес электронной почты, номер телефона);
  • - сведения о воинском учете;
  • - сведения об инвалидности;
  • - образование, результаты ЕГЭ и вступительных испытаний, сведения о наличии индивидуальных достижений, квалификация, профессиональная подготовка и сведения о повышении квалификации;
  • - сведения о гражданстве;
  • - паспортные данные;
  • - номер и срок действия визы в РФ;
  • - адрес в стране постоянного проживания;
  • - фактический адрес проживания в РФ;
  • - сведения о семейном положении.


4.5. Контрагенты (представители контрагентов) по гражданско-правовым договорам с «Ассоциацией»

  • - фамилия, имя, отчество;
  • - дата и место рождения;
  • - паспортные данные;
  • - адрес регистрации и фактического проживания;
  • - контактные данные (адрес электронной почты, номер телефона);
  • - индивидуальный номер налогоплательщика;
  • - номер расчетного счета банковской карты;



4.6. Пользователь (любой посетитель веб-сайта https://as3dm.ru);

  • - Фамилия, имя, отчество;
  • - Электронный адрес;
  • - Фотографии;
  • - Обезличенные данные (в т.ч. файлы «cookie») с помощью сервисов интернет-статистики (Яндекс Метрика и Гугл Аналитика и других).


4.7. Обработка в «Ассоциации» биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) осуществляется в соответствии с законодательством Российской Федерации.

5. Порядок и условия обработки персональных данных

5.1. Обработка персональных данных осуществляется с согласия субъектов персональных данных, если иное не предусмотрено законодательством Российской Федерации.

5.2. Обработка персональных данных может осуществляться с помощью средств вычислительной техники (автоматизированная обработка) либо при непосредственном участии человека без использования средств вычислительной техники (неавтоматизированная обработка).

5.3. К обработке персональных данных допускаются только те работники «Ассоциации», в должностные обязанности которых входит обработка персональных данных, либо назначенные приказом.

5.4. Указанные работники имеют право получать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей.

5.5. Обработка персональных данных осуществляется путем:

  • - получения информации, содержащей персональные данные, в устной и письменной форме непосредственно от субъектов персональных данных;
  • - предоставления субъектами персональных данных оригиналов необходимых документов;
  • - получения заверенных в установленном порядке копий документов, содержащих персональные данные или копирования оригиналов документов;
  • - получения персональных данных при направлении запросов в органы государственной власти, органы местного самоуправления, коммерческие и некоммерческие организации, физическим лицам в случаях и порядке, предусмотренных законодательством Российской Федерации;
  • - получения персональных данных из общедоступных источников;
  • - фиксации (регистрации) персональных данных в журналах, книгах, реестрах и других учетных формах;
  • - внесения персональных данных в информационные системы «Ассоциации»;
  • - внесение персональных данных в информационные системы ФИС ГИА и приема, Федеральный реестр документов об образовании (ФРДО), Федеральный регистр медицинских работников (ФРМР);
  • - использования иных средств и способов фиксации персональных данных, получаемых в рамках осуществляемой «Ассоциацией» деятельности.


5.6. Передача персональных данных третьим лицам (в том числе трансграничная передача) допускается с письменного согласия субъектов персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъектов персональных данных, а также в иных случаях, установленных законодательством Российской Федерации.

5.7. При передаче персональных данных третьим лицам в соответствии с заключенными договорами «Ассоциации» обеспечивает обязательное выполнение требований законодательства Российской Федерации в области персональных данных.

5.8. Передача персональных данных в уполномоченные органы исполнительной власти и организации (Министерство здравоохранения Российской Федерации, Министерство внутренних дел Российской Федерации, Федеральную налоговую службу, Пенсионный фонд Российской Федерации, Территориальный фонд обязательного медицинского страхования Российской Федерации и другие) осуществляется в соответствии с требованиями законодательства Российской Федерации.

5.9. Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с Федеральным законом "О персональных данных" и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства. Трансграничная передача персональных данных на территорию иностранного государства, не являющегося стороной указанной Конвенции, осуществляется в соответствии с законодательными актами Российской Федерации при условии соответствия действующих в этом государстве норм права и применяемых мер безопасности персональных данных положениям Конвенции.

5.10. Хранение персональных данных в «Ассоциации» осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели их обработки. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
 

  • - иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между ПИМУ и субъектом персональных данных;
  • - ПИМУ не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или иными федеральными законами.


5.11. Сроки хранения персональных данных в «Ассоциации» определяются в соответствии с законодательством Российской Федерации:

  • - персональные данные, обрабатываемые в связи с трудовыми отношениями, - в течение действия трудового договора и 75 лет после завершения действия трудового договора;
  • - персональные данные кандидатов на вакантные должности, в том числе и тех, кто не был оформлен на работу, - 1 год с момента вынесения отрицательного решения;
  • - персональные данные, в рамках заключенных гражданско-правовых договоров, - в течение 5 лет с момента завершения обязательств по договору;
  • - персональные данные из медицинской документации – 25 лет с момента составления выписного или посмертного эпикриза;
  • - персональные данные лиц, осваивающих образовательные программы в «Ассоциации», после завершения освоения образовательной программы или в случае досрочного расторжения договора обучения - 75 лет.
  • - персональные данные пользователей (любой посетитель веб-сайта https://as3dm.ru) до достижения целей обработки персональных данных


6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

6.1. Сведения, указанные в части 7 статьи 14 Федерального закона "О персональных данных", предоставляются субъекту персональных данных или его представителю Оператором при обращении либо при получении запроса субъекта персональных данных или его представителя.

6.2. Сведения предоставляются в доступной форме, в них не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

6.3. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Федерального закона "О персональных данных" все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

6.4. Запрос должен содержать данные основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения, подтверждающие участие субъекта персональных данных в отношениях с «Ассоциацией» (номер договора, дата заключения договора, и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных «Ассоциации», подпись субъекта персональных данных или его представителя.

6.5. Сведения, указанные в части 7 статьи 14 Федерального закона "О персональных данных", предоставляются субъекту персональных данных или его представителю Оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

6.6. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с частью 8 статьи 14 Федерального закона "О персональных данных" в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

6.7. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, «Ассоциация» вносит в них необходимые изменения.

6.8. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, «Ассоциация» уничтожает такие персональные данные.

6.9. «Ассоциация» уведомляет субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

6.10. «Ассоциация» обязано сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.

6.11. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

6.12. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных «Ассоциация» прекращает их обработку или обеспечивает прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если «Ассоциация» не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом "О персональных данных" или другими федеральными законами.

6.13. Персональные данные подлежат уничтожению в следующих случаях и в указанные сроки:

1) по достижению целей обработки - в 30-дневный срок;
2) в случае утраты необходимости достижения целей обработки - в 30-дневный срок;
3) в случае отзыва субъектом персональных данных согласия на обработку персональных данных - в 30-дневный срок, если иной не предусмотрен федеральными законами, договором или соглашением между «Ассоциацией» и субъектом персональных данных;

6.14. В случае отсутствия возможности уничтожения персональных данных в течение вышеуказанного срока «Ассоциация» осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

6.15. В случае отзыва субъектом персональных данных согласия на обработку персональных данных «Ассоциация» вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в части 2 статьи 9 Федерального закона "О персональных данных".