Положение о защите персональных данных
ООО «Ради будущего» ПОЛОЖЕНИЕ 10.11.2021 г. г.Минск О защите персональных данных |
УТВЕРЖДЕНО |
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
1.1.
Положение о защите персональных данных (далее - Положение) разработано обществом ограниченной ответственностью «Ради будущего» (далее – Общество) в соответствии с требованиями и во исполнение Закона Республики Беларусь от 07.05.2021 г. №99-З «О защите персональных данных» (далее - Закон о защите персональных данных), Закона Республики Беларусь от 10.11.2008 г. № 455-З «Об информации, информатизации и защите информации» и иных актов законодательства Республики Беларусь в целях обеспечения защиты прав и свобод человека и гражданина при обработке Обществом его персональных данных, в том числе защиты прав на
неприкосновенность частной жизни, личной и семейной тайны.
1.2.
Термины, используемые в настоящем Положении:
Клиент - любое физическое лицо, обратившееся в Общество с целью получения услуг, в том числе медицинских, оказываемых Обществом, в соответствии с действующим прейскурантом цен и перечнем оказываемых услуг, в том числе на безвозмездной основе, для участия в семинарах, учебных курсах и т.д., в том числе онлайн с использованием глобальной сети Интернет, через сайт https://evaclinicivf.by/ (далее – Сайт) и (или) с использованием мобильного приложения EVACLINIC (далее – Приложение EVACLINIC), а также физические лица, обратившиеся в Общество для участия в донорской программе в качестве донора (донорство половых
клеток) и (или) в программах, связанных с использованием такого вида
вспомогательных репродуктивных технологий как суррогатное материнство (далее – программа суррогатного материнства), а также их супруги, если применимо, участники реалити-проекта «Эко в подарок» или сходных проектов Общества, и в связи с этим предоставляющее Обществу свои персональные данные в письменном, устном или электронном виде.
Клиника - место оказания Обществом и (или) ее партнерами медицинских услуг, указанных в специальном разрешении (лицензии) на право осуществления медицинской деятельности.
Обработка персональных данных - любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
Персональные данные - любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.
Пользователь – лицо, имеющее доступ к Сайту и(или) Приложению, посредством сети Интернет и использующее Сайт и(или) Приложение, в отношении которого осуществляется обработка персональных данных.
Приложение EVACLINIC – мобильное приложение, размещённое в сети
Интернет по адресам: https://play.google.com/store/apps/details?id=com.eleks.eva , https://apps.apple.com/by/app/eva-clinic/id1454232748
Сайт - расположенная в глобальной сети Интернет страница под доменным именем https://evaclinicivf.by/.
Субъект персональных данных - физическое лицо, в отношении которого осуществляется обработка персональных данных.
Cookies – небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере Пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта.
IP-адрес – уникальный сетевой адрес, идентифицирующий устройство в интернете или локальной сети.
1.3. Положение является локальным правовым актом Общества, регламентирующим отношения Общества и субъектов персональных данных в области защиты персональных данных при их обработке, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных, в том числе переданных клиентом Обществу в письменном, устном или электронном виде, а также определяет порядок организации работы по
созданию в Обществе системы защиты персональных данных.
Во исполнение требований п. 4 ст. 17 Закона «О защите персональных данных» Положение публикуется в свободном доступе в глобальной компьютерной сети Интернет на Сайте.
1.4.Обработка персональных данных производится Обществом на основании действующего законодательства и локальных документов в соответствии с принципами законности, прозрачности, баланса интересов всех заинтересованных субъектов, добросовестности, достоверности данных, соответствия содержания и объёма обрабатываемых данных и целей их обработки, ограниченности времени хранения персональных данных,
конфиденциальности и надежности.
1.5. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Общество осуществляет обработку персональных данных, в том числе:
— Конституция Республики Беларусь;
— Гражданский кодекс Республики Беларусь;
— Трудовой кодекс Республики Беларусь;
— Налоговый кодекс Республики Беларусь;
— Закон о защите персональных данных;
— Закон Республики Беларусь «О здравоохранении»;
— иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Общества.
1.6. Локальным правовым основанием обработки персональных данных являются:
— устав Общества со всеми изменения и дополнениями;
— договоры, заключаемые между Обществом, клиентами и иными субъектами персональных данных;
— согласие клиентов и иных субъектов персональных данных на обработку их персональных данных.
ГЛАВА 2
ПЕРСОНАЛЬНЫЕ И ИНЫЕ ДАННЫЕ.
ПОЛУЧЕНИЕ ДАННЫХ
2.1. Общество собирает, обрабатывает, хранит и передает различные данные, которые можно разделить на следующие группы:
Личные данные, которые может потребоваться указать в соответствии с требованиями законодательства при заключении договора на оказании услуг, регистрации или входе на Сайт или в Приложение (создании учетной записи и идентификации), оформлении на работу и (или) участии в обсуждении вакансии Общества, участия в донорской программе и (или) программе суррогатного материнства, в том числе:
— имя, фамилия и отчество (если применимо),
— дата рождения,
— гражданство,
— пол,
— данные паспорта или иного документа, удостоверяющего личность,
— адрес проживания,
— копия фото.
В отношении сотрудников Общества дополнительно могут предоставляться следующие личные данные:
— сведения о семейном положении и составе семьи с указанием фамилий, имен и отчеств членов семьи, даты рождения, места работы и/или учебы;
— сведения о регистрации по месту жительства (включая адрес, дату регистрации);
— сведения о месте фактического проживания;
— номер и серия страхового свидетельства государственного социального страхования;
— сведения медицинского характера (в случаях, предусмотренных законодательством);
— биометрические персональные данные (включая фотографии, изображения с камер видеонаблюдения, записи голоса);
— сведения о социальных льготах и выплатах;
— сведения о наличии исполнительных производств в органах принудительного исполнения;
Кандидаты на вакантные места в Обществе могут предоставлять:
— данные об образовании, повышении квалификации и профессиональной переподготовке, ученой степени, ученом звании;
— сведения о трудовой деятельности (включая стаж и опыт работы, данные о занятости с указанием должности, подразделения, сведений о работодателе и др.);
— специальность, профессию, квалификацию;
— сведения о воинском учете;
— сведения медицинского характера (в случаях, предусмотренных законодательством);
— биометрические персональные данные (включая фотографии, изображения с камер видеонаблюдения, записи голоса);
— сведения о награждениях и поощрениях;
— сведения, предоставленные дополнительно самим кандидатом в ходе заполнения личностных опросников и прохождения мероприятий по психометрическому тестированию, а также результаты такого тестирования (психометрический профиль, способности и характеристики);
— иные данные, которые могут быть указаны в резюме или анкете кандидата.
Кандидаты на участие в донорской программе и (или) программе суррогатного материнства дополнительно предоставляют:
— сведения о семейном положении и составе семьи с указанием фамилий, имен и отчеств членов семьи, даты рождения;
— сведения о регистрации по месту жительства (включая адрес, дату регистрации);
— сведения о месте фактического проживания;
— сведения медицинского характера;
— биометрические персональные данные (включая фотографии, записи голоса);
— данные об образовании, ученой степени, ученом звании;
— сведения о профессии, специальности и трудовой деятельности;
— сведения о судимостях, в том числе снятых и погашенных, данных о привлечении к административной ответственности и т.д.;
— сведения, предоставленные дополнительно самим кандидатом в ходе заполнения анкет и опросников и прохождения мероприятий для участия в программах донорства или суррогатного материнства, в том числе специального медицинского обследования, результаты такого обследования;
— иные данные, которые могут быть указаны в анкете и (или) иных документах кандидата.
Кандидаты на участие и участники реалити-проекта «Эко в подарок» и (или) других проектов, организованных Обществом, дополнительно предоставляют:
— сведения о своих аккаунтах и страницах в социальных сетях;
— сведения о жизненных обстоятельствах и любых медицинских данных. Которые они готовы предоставит неограниченному кругу лиц, публично, в виде текстовой информации, видео и аудио интервью и т.д.;
— иные данные, которые могут быть указаны в анкетах и (или) иных документах, в том числе публикациях в сети Интернет;
— сведения, предоставленные дополнительно самими кандидатами или участниками проектов в ходе заполнения анкет и опросников и прохождения мероприятий самой программы.
Контактные данные включают адрес для направления сообщений и документов, в том числе почтовый адрес, адрес электронной почты, и номера телефонов, в том числе используемые для общения Общества и субъекта персональных данных в мессенджерах, иные идентификаторы мессенджеров.
Страховые данные, в том числе данные о факте заключенного договора со страховой организацией, номер, серия и иные реквизиты страхового свидетельства или застрахованного лица, другие, связанные с этим данные.
Транзакционные данные включают информацию о совершенных субъектом действиях, в том числе на Сайте или в Приложении.
Технические данные включают IP-адрес, логин, тип и версию браузера, временной пояс и местоположение, тип и версию плагинов браузера, операционной системы и платформы, а также данные о других технологиях, применяемых на устройствах, с которых вы осуществляете
доступ на Сайт и в Приложение, а также об использовании Cookie, хранящихся на устройствах.
Данные особой категории/Специальные персональные данные, в том числе чувствительные данные включают информацию об особенностях личной и
семейной жизни, данные о результатах медицинских обследований и анализов
клиента, заключения врачей по результатам приема и (или) консультации, иная информация, которая касается состояния здоровья клиента и т.д., данные о привлечении субъекта персональных данных к административной или уголовной ответственности, а также биометрические и генетические персональные данные;
Данные электронной медицинской карты включают информацию из личной медицинской карты клиента, которую Общество ведет и хранит в электронном виде, содержащей личные и контактные данные, кодовое слово, данные об оказанных и (или) планируемых к оказанию услугах, визитах, информацию,
полученную в процессе оказания медицинских и сопутствующих услуг. В электронной медицинской карте хранятся специальные персональные, страховые данные клиента, связанные с оказанием субъекту персональных данных медицинских и (или) сопутствующих услуг.
Данные о местоположении включают информацию о фактическом местоположении субъекта персональных данных при взаимодействии с Сайтом (например, группа параметров, определяющих региональную настройку интерфейса, в частности страну проживания, часовой пояс и язык интерфейса) и данные о фактическом месте жительства.
Аудиоданные включают все записи входящих и исходящих звонков на рабочие телефоны, в том числе рабочие телефоны сотрудников Общества, в полном объеме.
Текстовые данные и резервные копии файлов включают все данные переписки как в бумажном , так и в электронном виде в открытых линиях по официальным каналам связи Общества, в том числе по электронной почте, в мессенджерах и специальных программах, в том числе в чатах и личных сообщениях с использованием рабочих телефонов и учетных записей в специальных программах сотрудников Общества, исполняющих свои должностные обязанности, переписка и общение по любым каналам связи со службой контроля качества, заметки, записки и любая другая текстовая информация, относящаяся к какой-либо электронной медицинской карте клиента, а также резервные копии файлов, содержащих любую информацию, в том числе документы, пересылаемые в связи с оказанием Обществом медицинских и сопутствующих услуг.
Все вышеперечисленное относится к персональным данным.
Агрегированные данные включают статистические данные для любых целей, используемые Обществом. Эту информацию можно получить из данных клиентов и (или) иных субъектов персональных данных, однако она не будет считаться персональными данными, поскольку она не позволяет прямо или косвенно установить личность, которая была связана с их получением. Например, Общество может агрегировать данные о частоте использования той или иной медицинской услуги в клинике, данные для определения процента пользователей, которые пользуются той или иной функцией Приложения, и
(или) предпочитают того или иного врача, агрегировать и (или) обрабатывать
данные о результатах оказанных медицинских услуг в научных целях. Невзирая на вышесказанное, если Общество использует агрегированные данные вместе с иными данными, что влечет вероятность идентификации субъекта данных, Общество будет считать такую совокупность данных конфиденциальными в соответствии с
положениями настоящего документа, относящимися к обработке персональных данных.
2.2. Общество может получать персональные данные:
— от клиентов лично при первичном обращении в клинику и формировании личной электронной медицинской карты клиента;
— от клиентов лично в последующем при дополнении, исправлении существующей личной электронной медицинской карты;
— от иных субъектов персональных данных лично или путем пересылки персональных данных и (или) документов, содержащих такие данные, посредством электронных средств связи;
— от третьих лиц, передающих данные субъекта Обществу на законных основаниях для осуществления страховой, банковской, медицинской и иных видов деятельности;
— с использованием технических средств Сайта и Приложения при использовании их субъектом персональных данных;
— из публичных источников.
2.3. Клиенты и иные субъекты персональных данных признают, что информация, содержащаяся в их электронной медицинской карте, а также данные Приложения и Сайта, связанные с оказанными Обществом медицинскими и иными услугами, частично или полностью будут храниться Обществом и могут полностью или частично использоваться в случае спорных ситуаций.
2.4. Клиенты и иные субъекты персональных данных отвечают за обновление (внесение изменений, актуализацию) любых данных, предоставленных Обществу. Общество не обязано прикладывать усилия для актуализации и проверки данных, предоставленных ей субъектом персональных данных. Субъекты персональных данных признают, что у Общества нет перед ними
обязательств по проверке таких данных.
ГЛАВА 3
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ.
ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
3.1. Обработка персональных данных осуществляется Обществом исключительно после ознакомления субъекта персональных данных с текстом настоящего Положения и утвержденной Обществом Политикой конфиденциальности, предоставленных для изучения в письменном либо электронном виде, а также получения Обществом свободного, однозначного, информированного согласия на обработку персональных данных, если получение такого согласия требуется в соответствии с действующим
законодательством.
Размещение Обществом полного текста Положения и Политики конфиденциальности в электронном виде в свободном доступе на Сайте в глобальной сети Интернет является достаточным для обеспечения возможности ознакомления с текстом Положения для любого субъекта персональных данных.
В Политике конфиденциальности Общества содержатся следующие сведения:
— наименование Общества, место нахождения клиник Общества;
— цели обработки персональных данных;
— срок, на который даётся согласие на обработку персональных данных;
— данные о партнерах Общества, сторонних организациях, имеющих доступ к персональным данным, обрабатываемым Обществом в процессе своей деятельности, цели, для достижения которых указанные сторонние организации получают доступ к обрабатываемым персональным данным;
— права субъекта персональных данных, связанные с обработкой таких данных;
— механизм реализации прав субъекта персональных данных в отношении обработки таких данных;
— последствия согласия или отказа в даче согласия на обработку персональных данных.
3.2. Согласие субъекта персональных данных на обработку его персональных данных может быть получено любым допустимым законодательством Республики Беларусь способом, в том числе путём проставления
в электронном виде подписи и(или) отметки в соответствующем бланке,
предложенном клиенту в электронном виде на цифровом носителе информации.
3.3. При обращении в Общество клиента, признанного недееспособным или ограниченно дееспособным, либо пациента, не достигшего шестнадцатилетнего возраста, за исключением вступления в брак до достижения возраста шестнадцати лет, согласие на обработку персональных данных дает один из его законных представителей.
3.4. Сведения о необходимости предварительного ознакомления с Положением и Политикой
конфиденциальности, а также предоставление бланка согласия на обработку
персональных данных в письменном или электронном виде, контроль наличия отметки
о согласии субъекта на обработку персональных данных в соответствующем письменном
или электронном бланке до начала сбора, хранения, использования и т.д.
персональных данных, организация учёта лиц в качестве субъектов персональных
данных, выразивших согласие на обработку своих персональных данных, осуществляют
сотрудники Общества, исполняющие соответствующие обязанности клинике
Организации в момент обращения клиента за оказанием медицинских и (или)
сопутствующих услуг, для участия в донорской программе и (или) программе
суррогатного материнства, оформления сотрудника на работу, рассмотрения
кандидатур на вакантные должности в Обществе и т.д. (сотрудники кол-центра,
рецепции, административные сотрудники в соответствии со своими должностными
обязанностями).
3.5. Срок, на который даётся согласие клиента на обработку его персональных данных, ограничивается сроком действия договоров на оказание медицинских услуг, заключённых между Обществом и клиентом, договоров, оформляемых для участия в донорской программе и (или) программе суррогатного материнства и договоров на оказание связанных с этим медицинских услуг, трудовых договоров с сотрудниками Общества и (или) периода наличия вакансии, и может быть продлён на срок, предусмотренный законодательством Республики Беларусь в отношении обязательного периода хранения медицинской и иной документации, содержащей персональные данные, а также на иной срок, предусмотренный законодательством Республики Беларусь для обязательного хранения персональных данных.
3.6. Доступ к персональным данным предоставляется только тем сотрудникам Общества, служебные обязанности которых предполагают работу с персональными данными, и только на период, необходимый для работы с соответствующими данными.
Работникам Организации, не ознакомленным должным образом с особенностями и правилами осуществления обработки персональных данных, установленных законодательством и настоящим Положением, доступ к персональным данным запрещается.
3.7. Работники, осуществляющие обработку персональных данных без использования средств автоматизации, информируются (в том числе путем ознакомления с Положением) о факте обработки персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных законодательством и настоящим Положением.
Работники, осуществляющие обработку персональных данных с использованием средств автоматизации и специального программного обеспечения, кроме информирования и обучения, в том числе по вопросам обработки персональных данных, допускаются к работе в программах через личный идентифицирующий пароль и логин, что позволяет разграничить доступ к персональным данным и фиксировать все действия с персональными данными, осуществляемые определенным лицом. Передача своего пароля и логина другому лицу, использование чужого логина и пароля для доступа
к персональным данным запрещены.
3.8. При необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных.
ГЛАВА 4
ЦЕЛИ, СПОСОБЫ И ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. В большинстве случаев Общество собирает и обрабатывает персональные данные для целей, указанных в п.п. 4.3. Положения и по любой из перечисленных причин (основания обработки):
— для выполнения своих договорных обязательств;
— для оценки и повышения качества оказываемых Обществом услуг;
— для рассмотрения обстоятельств по поступившим в Общество жалобам, претензиям и (или) обращениям клиентов и иных субъектов персональных данных и защиты своих законных интересов;
— с целью соответствия деятельности Общества требованиям, предусмотренным трудовым, налоговым и иными видами законодательства, в том числе регулирующего деятельность медицинских организаций.
4.2. Персональные данные необходимы и помогают:
— подтвердить личность клиента-физического лица;
— идентифицировать партнера-юридическое лицо;
— оперативно обрабатывать заявки на оказание медицинских и сопутствующих услуг;
— своевременно информировать о расширении сервисов Общества и об изменениях и данных, которые, по мнению Общества, могут заинтересовать конкретного субъекта;
— предоставлять услуги, связанные с договорами, заключенными Обществам;
— вести корректную регистрационную базу данных и электронных медицинских карт клиентов;
— анализировать статистические данные, чтобы предложить услуги более высокого качества, анализировать уровень и качество оказываемых услуг и эффективность оказанной медицинской помощи.
4.3. Общество осуществляет работу с персональными данными в следующих целях и указанными способами:
4.3.1. Сбор, систематизация, использование, обработка и хранение биометрических, генетических и иных персональных данных клиента в электронной медицинской системе Общества, используемой для учёта электронных медицинских карт, результатов медицинских анализов и обследований, медицинских заключений специалистов в отношении клиентов и т.д.; сбор, систематизация и хранение медицинской документации в соответствии с действующим законодательством и локальными нормативными актами.
Указанные действия осуществляются совместно Обществом и его стратегическим партнером: обществом с ограниченной ответственностью «Ради женщин» (ООО «Ради женщин», УНП 192520437) в целях обеспечения преемственности и организации совместного оказания медицинской помощи клиентам по услугам сходного профиля для решения взаимосвязанных вопросов, касающихся репродуктивного здоровья, гинекологии и урологии. В интересах клиентов, посещающих клиники Общества и клиники партнера,
стороны обеспечивают обмен информацией о состоянии здоровья клиентов, о наличии заболевания(ий), диагнозе(ах), оказанной медицинской помощи, иными сведениями, полученными при оказании клиентам медицинских услуг в соответствии с действующим законодательством, для обеспечения удобства оказания медицинских услуг как для клиента, так и для медицинского персонала. С данной целью Обществом и ее партером дополнительно создано и совместно используется Приложение EVACLINIC, обеспечивающее клиентам оперативный подбор возможного времени для предварительной записи на прием в клиники партнеров и доступ к необходимой информации о себе в режиме реального времени.
4.3.2. Сбор, систематизация, использование, обработка и хранение данных лиц, принимающих участие в донорской программе.
Кроме сохранения врачебной тайны Общество соблюдает дополнительные требования законодательства об анонимности доноров половых клеток. При проведении медицинского обследования в донорской программе персональные данные донора кодируются для всех лиц, принимающих участие в оказании медицинских услуг, включая медицинский персонал. Сбор, систематизация, использование, обработка и хранение биометрических, генетических и иных персональных данных участника донорской программы в электронной медицинской системе Общества производится в закодированном виде в порядке и целях, предусмотренных п. 4.3.1.
В обезличенном (закодированном) виде данные передаются в банк донорских половых клеток и Единый регистр доноров половых клеток, ведение которого осуществляет Министерство здравоохранения Республики Беларусь. При формировании банка донорских половых клеток и связанных с этим баз данных Общество может обрабатывать и использовать данные, переданные Обществу участником донорской программы, в том числе, но не ограничиваясь, детские фотографии, данные из анкет и опросов, образцы почерка, голоса, результаты медицинского обследования и т.д.
4.3.3. Сбор, систематизация, использование, обработка и хранение данных лиц, принимающих участие в программе суррогатного материнства, осуществляется с целью проверки соблюдения всех условий, предусмотренных законодательством Республики Беларусь, обязательных для применения данного вида вспомогательных репродуктивных технологий, принятия решения о целесообразности и возможности участия кандидатов в программе суррогатного материнства в качестве суррогатной матери, повышения качества оказываемых медицинских услуг, обеспечения удобства прохождения суррогатной матерью медицинского обследования, проведения всех необходимых для успешного взаимодействия с клиникой исследований и иных целей, указанных выше, в части оказания клиникой услуг, в том числе медицинских. Участником программы суррогатного материнства в данном случае является кандидат на роль суррогатной матери, а также ее супруг и дети кандидата на роль суррогатной матери, в части сведений о них, обязательных для проверки в соответствии с действующим законодательством.
Сбор, систематизация, использование, обработка и хранение биометрических,
генетических и иных персональных данных участника программы суррогатного
материнства в электронной медицинской системе Общества производится в порядке и целях, предусмотренных п. 4.3.1.
При формировании банка кандидатов на роль суррогатной матери и связанных с этим баз данных Общество может обрабатывать и использовать данные, переданные Обществу участником программы суррогатного материнства, в том числе, но не ограничиваясь, данные из анкет и опросов, результаты медицинского обследования и т.д., сведения о составе семьи, месте жительства, профессии и т.д.
4.3.4. Сбор, систематизация, использование, обработка и хранение данных лиц, принимающих участие в реалити-проекте «Эко в подарок» осуществляется с целью проверки соблюдения всех условий, предусмотренных локальным актом Общества о проекте, принятия решения о целесообразности и возможности участия кандидатов в проекте в качестве участников, повышения качества оказываемых медицинских услуг, обеспечения удобства прохождения медицинского обследования для кандидатов и участников проекта, проведения всех необходимых для успешного взаимодействия с клиникой исследований и иных целей, указанных выше, в части оказания клиникой услуг, в том числе медицинских участникам проекта, создания проекта, видео, фото и иных
материалов в рамках проекта с целью их публикации и доведения до сведения
неограниченного круга лиц в целях, предусмотренных проектом.
Общество может утверждать локальные нормативные акты и проводить другие публичные проекты. Участники таких проектов, а также кандидаты, претендующие на участи в них обязаны ознакомиться с локальным нормативным актом Общества, регулирующим условия и правила проведения такого проекта и передавать Обществу персональные данные только в случае полного и безоговорочного согласия на участие в таком проекте и связанной с этим обработки персональных данных.
Сбор, систематизация, использование, обработка и хранение биометрических,
генетических и иных персональных данных кандидатов и участников любого проекта, в том числе реалити-проекта «Эко в подарок», в электронной медицинской системе Общества производится в порядке и целях, предусмотренных п. 4.3.1.
4.3.5. Сбор, систематизация, использование, изменение, обработка и хранение
персональных данных работников организации при оформлении трудовых отношений и в процессе осуществления ими трудовой деятельности в целях соблюдения норм законодательства о труде и организации труда в электронной и бумажной форме, в том числе с использованием специальных программ по ведению учета кадров.
4.3.6. Сбор, систематизация, использование, обработка и хранение в электронной и бумажной форме персональных данных кандидатов для приёма на работу с целью оценки целесообразности трудоустройства, получения знаний и навыков, необходимых для успешного начала трудовой деятельности по выбранному кандидатом и утверждённому Обществом направлению, дальнейшей демонстрации приобретённых в процессе обучения навыков с целью обоюдного с Обществом принятия решения о возможности заключения с кандидатом трудового договора.
4.3.7. Получение и предоставление по запросам страховых организаций и (или) клиентов сведений и документов, необходимых для решения вопроса о назначении страховых выплат, осуществления и подтверждения предварительной записи клиента на прием и (или) проведение анализов и исследований, получения подтверждения страховых организаций по оплате приема, в соответствии с законодательством о страховой деятельности, в том числе использование сведений о страховом полисе, предоставляемом клиентом
с целью оплаты услуг Общества за счёт средств страховой организации на
основании заключенных с клиентом договоров.
4.3.8. Получение и предоставление по запросам банков и (или) клиентов сведений и документов, необходимых для решения вопроса о получении банковской рассрочки и (или) целевого кредита, подтверждения оказания медицинских и сопутствующих услуг Общества за счет таких средств, в порядке и на условиях заключенных клиентом договоров и законодательства о банковской деятельности.
4.3.9. Использование персональных данных клиентов сотрудниками кол-центра, рецепции, персональными координаторами Общества в целях проведения предварительных и последующих консультаций как для потенциальных, так и для текущих клиентов, в том числе для осуществления предварительной записи на приём и (или) сдачу анализов, изменения или отмены такой записи, проведения исследований, ответа на вопросы субъекта персональных данных, связанных с оказанием Обществом медицинских и иных сопутствующих услуг, разъяснения порядка и условий оказания Обществом
медицинских, сопутствующих и иных услуг, порядка подготовки к анализам,
исследованиям и (или) медицинским манипуляциям и т.д.
4.3.10. Использование персональных данных клиентов сотрудниками отделения контроля качества, административными сотрудниками Общества в целях урегулирования конфликтных ситуаций, рассмотрения обращений, жалоб и (или) претензий клиентов в порядке, предусмотренном законодательством, формирования и направления ответов клиентам.
4.3.11. Использование персональных данных клиентов в целях информирования с использованием доступных каналов связи (рассылки в мессенджерах, по электронной почте, SMS-оповещение, личный звонок с использованием мобильной связи) о появлении новых и улучшении порядка предоставления действующих услуг, проводимых в клинике акциях, с целью предложения клиенту принять участие в медицинских и рекламных программах, а также чтобы напомнить о приближающейся дате визита в клиники.
4.3.12. Передача и получение персональных данных, в том числе трансграничная, организациям партнёрам, а именно медицинским организациям и исследовательским лабораториям на основании заключенного с ними договора для выполнения соответствующих лабораторных анализов и исследований, проведения консультаций по запросу клиента в рамках
заключенного с клиентом договора на оказание медицинских услуг.
На момент утверждения настоящего Положения партнёрами Общества в части оказания медицинских услуг и лабораторных исследований являются ИООО «Инвитро», ООО «Международная лаборатория Хеликс», Государственное учреждение «Республиканский научно-практический центр онкологии и медицинской радиологии им. Н.Н. Александрова», Медицинский центр «Аква-Минск Клиника», Учреждение здравоохранения «Минский клинический консультативно-диагностический центр», Учреждение здравоохранения «Городской клинический родильный дом № 2», ООО «Геномед» (Российская Федерация), ООО «Айдженомикс РС» (Российская Федерация), АО «ФЕРСТ ГЕНЕТИКС» (Российская Федерация), ООО «Медикал Геномикс» (Российская Федерация) и другие.
Изменения, касающиеся состава партнерских медицинских организаций и лабораторий, с которыми сотрудничает Организация, могут быть доведены до сведения клиента путем размещения данных об этом в электронном виде в глобальной сети Интернет на Сайте, что считается надлежащим уведомлением.
4.3.13. Предоставление доступа к программам, системам и базам данных, содержащим персональные данные, организациям-партнерам с целью установки и (или) технического облуживания оборудования, установки, настройки, исправления и (или) доработки программного обеспечения, используемых Обществом.
Условия договоров, заключенных с такими организациями-партнерами, предусматривают обязательное обеспечение условий конфиденциальности, сохранение врачебной тайны и условия о возможности доступа к персональным данным только уполномоченных на работу с такими данными лиц. Сотрудники таких организаций имеют доступ к персональным данным исключительно в рамках достижения указанных договорных целей.
На дату утверждения Положения Общество сотрудничает с несколькими организациями, осуществляющими поддержку в области технического и программного обслуживания, в том числе ООО «Доктор Элекс» (Украина), «Битрикс 24». Изменения, касающиеся состава партнерских организаций, с которыми сотрудничает Организация, могут быть доведены до сведения клиента путем размещения данных об этом в электронном виде в глобальной сети Интернет на Сайте, что считается надлежащим уведомлением.
4.3.14. Обезличивание персональных данных и дальнейшее их использование в научных и статистических исследованиях, проводимых медицинскими сотрудниками Общества, иными сотрудниками общества, в том числе в целях оценки качества и результатов работы Общества, в том числе в маркетинговых целях, а также с целью формирования внутренних отчётов.
4.3.15. Удаление либо блокировка в случае невозможности удаления персональных данных субъекта персональных данных в случае отзыва таким субъектом своего согласия на обработку персональных данных, направления требования прекращения обработки персональных данных.
ГЛАВА 5
ПРАВА И ОБЯЗАННОСТИ
В ОБЛАСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Общество имеет право с соблюдением действующего законодательства собирать, хранить и обрабатывать персональные данные для осуществления своей уставной деятельности и исполнения своих обязательств, предусмотренных действующим законодательством и заключенными договорами.
5.2. Субъект персональных данных обязан:
5.2.1. предоставлять Обществу достоверные персональные данные;
5.2.2. своевременно сообщать Обществу об изменениях и дополнениях своих персональных данных;
5.2.3. осуществлять свои права в соответствии с законодательством Республики Беларусь и локальными правовыми актами Общества в области обработки и защиты персональных данных;
5.2.4. исполнять иные обязанности, предусмотренные законодательством Республики Беларусь и локальными правовыми актами Общества в области обработки и защиты персональных данных.
5.3. Обработка персональных данных осуществляется с согласия субъекта персональных данных. Согласие субъекта персональных данных на обработку персональных данных не требуется в случаях, предусмотренных Законом о персональных данных, в том числе, но не ограничиваясь:
— для ведения индивидуального (персонифицированного) учета сведений о застрахованных лицах для целей государственного социального страхования, в том числе профессионального пенсионного страхования;
— при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях,
предусмотренных законодательством;
— в целях назначения и выплаты пенсий, пособий;
— для организации и проведения государственных статистических наблюдений,
формирования официальной статистической информации;
— в научных или иных исследовательских целях при условии обязательного
обезличивания персональных данных;
— при обработке персональных данных, когда они указаны в документе, адресованном Обществу и подписанном субъектом персональных данных, в соответствии с содержанием такого документа;
и т.д.
Обработка специальных персональных данных без согласия субъекта персональных данных запрещается, за исключением случаев, предусмотренных Законом о персональных данных, в том числе, но не ограничиваясь:
— в целях организации оказания медицинской помощи при условии, что такие
персональные данные обрабатываются в Обществе медицинским работником, на которого возложены обязанности по обеспечению защиты персональных данных и в соответствии с законодательством распространяется обязанность сохранять врачебную тайну;
— для осуществления административных процедур;
— для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно.
5.4. Согласие субъекта персональных данных на их обработку может быть получено Обществом в письменной форме, в виде электронного документа или в иной электронной форме, соответствующей требованиям действующего законодательства.
5.5. Субъект персональных данных вправе в любое время без объяснения причин отозвать свое согласие на обработку своих персональных данных посредством направление Обществу соответствующего заявления.
Заявление об отзыве согласия на обработку персональных данных должно быть подано с учётом требований действующего законодательства, в том числе содержать:
— фамилию, собственное имя, отчество (если таковое имеется) субъекта, адрес его места жительства (места пребывания);
— дату рождения субъекта;
— идентификационный номер субъекта, при отсутствии такого номера - номер документа, удостоверяющего личность, в случаях, если эта информация указывалась клиентом при даче своего согласия Общества или обработка персональных данных осуществляется без согласия субъекта;
— указание непосредственно на отзыв согласия на обработку персональных данных;
— личную подпись либо электронную цифровую подпись субъекта персональных данных.
5.6. В случае поступления в Общество заявления субъекта персональных данных об отзыве согласия на обработку персональных данных, такое заявление передаётся на рассмотрение должностному лицу организации, ответственному за осуществление внутреннего контроля за обработкой персональных данных, в соответствии с приказом, издаваемым Обществом.
Уполномоченной должностное лицо Общества обязано в течение пятнадцати дней рассмотреть заявление субъекта персональных данных об отзыве согласия на обработку персональных данных и в соответствии с его содержанием прекратить обработку персональных данных, осуществить их удаление и уведомить субъекта, если отсутствуют иные основания для таких действий с персональными данными, предусмотренные законодательными актами Республики Беларусь.
При отсутствии технической возможности удаления персональных данных Общество обязано принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомить об этом субъекта персональных данных в тот же срок.
5.7. Субъект персональных данных также вправе:
5.7.1. получить информацию, касающуюся обработки своих персональных данных, содержащую:
— наименование и место нахождения Общества;
— его персональные данные и источник их получения;
— правовые основания и цели обработки персональных данных;
— срок, на который дано его согласие;
— иную информацию, предусмотренную законодательством.
5.7.2. Требовать от Общества внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными.
В этих целях субъект персональных данных подает в Общество заявление в порядке, установленном действующим законодательством, с приложением соответствующих документов и (или) их заверенных в установленном порядке копий, подтверждающих необходимость внесения изменений в персональные данные.
5.7.3. Получать от Общества информацию о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно, если иное не предусмотрено Законом о защите персональных данных и иными законодательными актами.
Для получения указанной информации субъект персональных данных подает заявление в Общество. Заявление субъекта персональных данных должно содержать:
— фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
— дату рождения субъекта персональных данных;
— идентификационный номер субъекта персональных данных, при отсутствии такого номера - номер документа, удостоверяющего личность, в случаях, если эта информация указывалась при даче субъектом своего согласия Обществу или обработка персональных данных осуществляется без согласия субъекта;
— изложение сути требований субъекта персональных данных;
— личную подпись либо электронную цифровую подпись субъекта персональных данных.
5.7.4. Требовать от Общества бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных Законом о защите персональных данных и иными законодательными актами. Для реализации указанного права субъект персональных данных подает в Общество заявление в порядке, установленном действующим законодательством.
5.7.5. Обжаловать действия (бездействие) и решения Организации, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц.
5.8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с законодательством Республики Беларусь.
5.9. Отказ от предоставления персональных данных. Учитывая характер и тип некоторых оказываемых Обществом услуг, Обществу может понадобиться собирать некоторые персональные данные по требованию закона
или в соответствии с положениями заключенных сделок и договоров с субъектами персональных данных. Без таких данных Общество в некоторых случаях может не иметь возможности контактировать с субъектом персональных данных и (или) оказывать ему соответствующие услуги.
Если субъект персональных данных решит не передавать некоторые данные Обществу и (или) отзовет свое согласие на обработку таких персональных данных, это может отсрочить или сделать невозможным выполнение некоторых обязательств и оказание услуг и (или) коммуникации.
5.10. Общество также обязано:
5.10.1. разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
5.10.2. получать согласие на обработку персональных данных, за исключением случаев, предусмотренных Законом о защите персональных данных и иными законодательными актами;
5.10.3. обеспечивать защиту персональных данных в процессе их обработки;
5.10.4. предоставлять клиенту информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных Законом о защите персональных данных и иными законодательными актами;
5.10.5. вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
5.10.6. прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных Законом о защите персональных
данных и иными законодательными актами;
5.10.7. уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как Обществу стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;
5.10.8. осуществлять изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных, если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами;
5.10.9. исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных и иные обязанности, предусмотренные Законом о защите персональных данных и иными законодательными актами.
5.11. В случае необходимости разъяснения субъекту персональных данных какого-либо вопроса касаемо его прав в связи с обработкой персональных данных, Общество обязано разъяснить соответствующие права по запросу субъекта, направленному в адрес Общества в письменном виде или в электронном виде на почтовый ящик info@evaclinic.by.
ГЛАВА 6
МЕРЫ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Под защитой персональных данных понимается ряд правовых, организационных и технических мер, направленных на:
a) обеспечение защиты информации от неправомерного доступа, уничтожения,
модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
б) соблюдение конфиденциальности информации ограниченного доступа;
в) реализацию права на доступ к информации.
6.2. Общество принимает правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.
6.3. Организационные меры, принимаемые Обществом в области защиты персональных данных:
— назначение лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных, а также за техническую защиту персональных данных (приказ);
— обеспечение неограниченного доступ к документам, определяющим политику Общества в области защиты персональных данных, в том числе путём размещения таких документов в глобальной сети Интернет на Сайте;
— ознакомление сотрудников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Республики Беларусь и локальных правовых актов Общества в области персональных данных, в том числе с требованиями к защите персональных данных, и обучение указанных работников;
— учёт и регистрация всех обращений субъектов персональных данных по вопросам персональных данных;
— возможность ознакомления с персональными данными при обращении и (или) поступлении запросов субъектов персональных данных или их уполномоченных представителей, если иное не установлено законодательством Республики Беларусь;
— прекращение обработки и уничтожение персональных данных в случаях, предусмотренных законодательством Республики Беларусь в области персональных данных;
— обеспечение условия для хранения документов, содержащих персональные данные, в ограниченном доступе;
— контроль соблюдения требований по обеспечению безопасности персональных данных, в том числе установленных настоящим Положением (путем проведения внутренних проверок и др.).
6.4. Правовые меры, принимаемые Обществом в области защиты персональных данных:
— утверждение Положения путём издания соответствующего приказа;
— утверждение Политики в области защиты персональных данных путём издания соответствующего приказа;
— включение в договоры с организациями –партнёрами дополнительных требований о соблюдении условий конфиденциальности и законодательства в области зашиты персональных данных;
— издание иных необходимых для обеспечения соблюдения законодательства в области защиты персональных данных документов.
6.5. Для защиты персональных данных при их обработке в информационных системах Общество проводит необходимые предусмотренные законом технические мероприятия, включая, но не ограничиваясь:
— предоставление каждому сотруднику Общества, имеющему доступ к автоматизированным системам хранения и обработки персональных данных, персонализированной учётной записи, доступ к которой обеспечен при введении индивидуальных логина и пароля, а также возможность отследить все совершаемые в автоматизированной системе действий такого сотрудника;
— определение угроз безопасности персональных данных при их обработке; применение мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
— учет машинных носителей персональных данных;
— обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
— восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
6.6. Обществом могут приниматься иные меры, направленные на обеспечение выполнения Обществом обязанностей в сфере персональных данных, предусмотренных действующим законодательством Республики Беларусь.
ГЛАВА 7
ОТВЕТСТВЕННОСТЬ СТОРОН
7.1. За неисполнение или ненадлежащее
исполнение условий настоящего Положения Общество и субъект персональных данных несут ответственность, предусмотренную законодательством Республики Беларусь.
7.2. В случае утраты или разглашения персональной информации Общество не несёт ответственность, если данная информация:
— стала публичным достоянием до её утраты или разглашения;
— была получена от третьей стороны до момента её получения Обществом;
— была разглашена с согласия субъекта персональных данных.
ГЛАВА 8
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
8.1. К настоящему Положению и отношениям между субъектом персональных данных и Обществом применяется действующее законодательство Республики Беларусь.
8.2. Действующее Положение является общедоступным, вступает в силу с момента его утверждения соответствующим приказом Общества.
8.3. Общество оставляет за собой право по своему усмотрению в будущем добавлять, менять или удалять пункты настоящего Положения для обеспечения актуальности и полноты информации о процедурах сбора и обработки
персональных данных, правах и обязанностях сторон и т.д.
Общество обязуется информировать субъектов персональных данных о любых обновлениях настоящего Положения путем публикации актуальной редакции на Сайте и (или) иным способом по своему выбору.