Правила обработки персональных данных

1. ОБЩИЕ ПОНЯТИЯ И ОБЛАСТЬ ПРИМЕНЕНИЯ

1.1. Определение терминов:

- база персональных данных – именуемая совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных;

- обладатель персональных данных – физическое или юридическое лицо, которое определяет цель обработки персональных данных, устанавливает состав этих данных и процедуры их обработки, если иное не определено законом;

- согласие субъекта персональных данных - добровольное волеизъявление физического лица (при условии его осведомленности) о предоставлении разрешения на обработку его персональных данных в соответствии со сформулированной целью их обработки, выраженное в письменной форме или в форме, позволяющей сделать вывод о предоставлении согласия. В сфере электронной коммерции согласие субъекта персональных данных может быть предоставлено при регистрации в информационно-телекоммуникационной системе субъекта электронной коммерции путем проставления отметки о предоставлении разрешения на обработку своих персональных данных согласно сформулированной цели их обработки при условии, что такая система не создает возможностей обработки персональных данных до момента проставления отметки;

- обезличивание персональных данных - извлечение сведений, позволяющих прямо или косвенно идентифицировать личность;

- картотека – любые структурированные персональные данные, доступные по определенным критериям, независимо от того, данные централизованы, децентрализованы или разделены по функциональным или географическим принципам;

- обработка персональных данных - любое действие или совокупность действий, таких как сбор, регистрация, накопление, хранение, адаптирование, изменение, обновление, использование и разглашение, обезличивание, уничтожение персональных данных, в том числе с использованием информационных (автоматизированных) систем;

- получатель – физическое или юридическое лицо, которому предоставляются персональные данные, в том числе третье лицо;

- персональные данные – сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано;

- распорядитель персональных данных – физическое или юридическое лицо, которому обладателем персональных данных или законом предоставлено право обрабатывать эти данные от имени обладателя;

- субъект персональных данных – физическое лицо, персональные данные которого обрабатываются;

- третье лицо - любое лицо, за исключением субъекта персональных данных, владельца или распорядителя персональных данных и Уполномоченного Верховной Рады Украины по правам человека, которому владельцем или распорядителем персональных данных осуществляется передача персональных данных.

1.2. Настоящее Положение обязательно для применения сотрудниками Частного предприятия Медицинская лаборатория «Аналитика» (далее – Обладатель), которые непосредственно осуществляют обработку и/или имеют доступ к персональным данным в связи с исполнением своих служебных обязанностей.

2. СПИСОК БАЗ ПЕРСОНАЛЬНЫХ ДАННЫХ

Частное предприятие Медицинская лаборатория «Аналитика» (код ЕГРПОУ 30292293, местонахождение: Украина, 61118, Харьковская обл., г. Харьков, пр. Тракторостроителей, д. 100) является обладателем Базы персональных данных заказчиков медицинской лаборатории «Аналитика».

3. ЦЕЛЬ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Целью обработки персональных данных является обеспечение реализации отношений в сфере здравоохранения, в том числе, но не исключительно, проведение лабораторного исследования, предоставленного субъектом биологического материала, информирование о состоянии его здоровья и услугах владельца. Обработка персональных данных о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, а также данных, касающихся половой жизни не осуществляется.

3.2. Для достижения цели обработки в базу персональных данных могут быть включены следующие персональные данные: идентификационные данные (фамилия, имя, отчество, почтовый адрес, адрес электронной почты, номер телефона, IP - адрес и т.п.), дата рождения, наименование и результаты лабораторных анализов.

4. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ: ПОЛУЧЕНИЕ СОГЛАСИЯ, УВЕДОМЛЕНИЕ О ПРАВАХ И ДЕЙСТВИЯХ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Согласие субъекта персональных данных должно быть документированным, в частности письменным, добровольным волеизъявлением физического лица о предоставлении разрешения на обработку его персональных данных в соответствии со сформулированной целью их обработки.

4.2. Согласие субъекта персональных данных должно быть предоставлено путем подписания субъектом персональных данных текста согласия-сообщения или акцепта Публичного договора (договора публичной оферты для физических лиц) о предоставлении услуг по здравоохранению, неотъемлемой частью которого является Приложение 1 «Информированное согласие-сообщение заказчика – субъекта персональных данных на предоставление услуг по здравоохранению, сбор и обработку его персональных данных», которые опубликованы на сайте: /

4.3. Если согласие-сообщение составлено в письменной форме, то один из экземпляров после подписания субъектом персональных данных остается у него, а другой хранится у Обладателя. При этом по истечению 6-ти месяцев с момента предоставления, согласие-сообщение может быть уничтожено Обладателем (с переносом согласия-сообщения в электронную форму или без такого переноса) в любой момент по решению Обладателя базы персональных данных.

5. МЕСТОНАХОЖДЕНИЕ БАЗЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. База персональных данных заказчиков медицинской лаборатории «Аналитика» находится по адресу: Украина, г. Харьков, пр. Тракторостроителей, дом. 100.

6. УСЛОВИЯ РАСКРЫТИЯ ИНФОРМАЦИИ О ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ

6.1. Порядок доступа к персональным данным третьих лиц определяется условиями согласия субъекта персональных данных, предоставленного обладателю базы персональных данных на обработку этих данных, или в соответствии с требованиями закона.

6.2. Доступ к персональным данным третьему лицу не предоставляется, если указанное лицо отказывается взять на себя обязательства по обеспечению выполнения требований Закона Украины «О защите персональных данных» или не может их обеспечить.

6.3. Субъект отношений, связанных с персональными данными, подает запрос о доступе (далее – запрос) к персональным данным обладателю базы персональных данных.

6.4. В запросе указываются:

1) фамилия, имя и отчество, место жительства (место пребывания) и реквизиты документа, удостоверяющего физическое лицо, подающее запрос (для физического лица – заявителя);

2) наименование, местонахождение юридического лица, подающего запрос, должность, фамилию, имя и отчество лица, удостоверяющего запрос; подтверждение того, что содержание запроса соответствует полномочиям юридического лица (для юридического лица – заявителя);

3) фамилию, имя и отчество, а также другие сведения, позволяющие идентифицировать физическое лицо, в отношении которого делается запрос;

4) сведения о базе персональных данных, в отношении которой подается запрос, или сведения об обладателе или распорядителе персональных данных;

5) перечень запрашиваемых персональных данных;

6) цель и/или правовые основания по запросу.

6.5. Срок изучения запроса на предмет его удовлетворения не может превышать десяти рабочих дней со дня поступления.

В течение этого срока обладатель базы персональных данных доводит до сведения лица, подающего запрос, что запрос будет удовлетворен или соответствующие персональные данные не подлежат предоставлению с указанием основания, определенного в соответствующем нормативно-правовом акте.

Запрос удовлетворяется в течение тридцати календарных дней со дня его поступления, если иное не предусмотрено законом.

6.6. Все работники Обладателя обязаны соблюдать требования конфиденциальности в отношении персональных данных.

6.7. Отсрочка доступа к персональным данным третьих лиц допускается, если необходимые данные не могут быть предоставлены в течение тридцати календарных дней со дня поступления запроса. При этом общий срок решения вопросов, поднятых в запросе, не может превышать сорока пяти календарных дней.

6.8. Уведомление об отсрочке доводится до сведения третьего лица, подавшего запрос, в письменной форме с разъяснением порядка обжалования такого решения.

6.9. В сообщении об отсрочке указываются:

фамилия, имя и отчество должностного лица;

дата отправки сообщения;

причина отсрочки;

срок, в течение которого будет удовлетворен запрос.

6.10. Отказ в доступе к персональным данным допускается, если доступ к ним запрещен по закону.

6.11. В сообщении об отказе указываются:

фамилия, имя, отчество должностного лица, отказывающего в доступе;

дата отправки сообщения;

причина отказа.

6.12. Решение об отсрочке или отказе в доступе к персональным данным может быть обжаловано в уполномоченном государственном органе по вопросам защиты персональных данных, других органах государственной власти и органах местного самоуправления, к полномочиям которых относится осуществление защиты персональных данных или в суде.

7. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ: СПОСОБЫ ЗАЩИТЫ, ОТВЕТСТВЕННОЕ ЛИЦО, РАБОТНИКИ, НЕПОСРЕДСТВЕННО ОСУЩЕСТВЛЯЮЩИЕ ОБРАБОТКУ И/ИЛИ ИМЕЮЩИЕ ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ В СВЯЗИ С ИСПОЛНЕНИЕМ СВОИХ СЛУЖЕБНЫХ ОБЯЗАННОСТЕЙ, СРОК ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Обладатель оборудован системными и программно-техническими средствами и средствами связи, которые предотвращают потери, кражи, несанкционированное уничтожение, искривление, подделку, копирование информации.

8. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Субъект персональных данных имеет право:

1) знать об источниках сбора, местонахождении своих персональных данных, цели их обработки, местонахождении или местожительстве (пребывании) обладателя или распорядителя персональных данных или дать соответствующее поручение по получению этой информации уполномоченным им лицам, кроме случаев, установленных законом;

2) получать информацию об условиях предоставления доступа к персональным данным, в частности информацию о третьих лицах, которым передаются его персональные данные;

3) на доступ к своим персональным данным;

4) получать не позднее, чем за тридцать календарных дней со дня поступления запроса, кроме случаев, предусмотренных законом, ответ о том, обрабатываются ли его персональные данные, а также получать содержание таких персональных данных;

5) предъявлять мотивированное требование обладателю персональных данных с возражением против обработки своих персональных данных;

6) предъявлять мотивированное требование изменения или уничтожения своих персональных данных любым обладателем и распорядителем персональных данных, если эти данные обрабатываются незаконно или недостоверны;

7) на защиту своих персональных данных от незаконной обработки и случайной потери, уничтожения, повреждения в связи с умышленным сокрытием, непредоставлением или несвоевременным их предоставлением, а также на защиту от предоставления сведений, недостоверных или порочащих честь, достоинство и деловую репутацию физического лица;

8) обращаться с жалобами на обработку своих персональных данных к Уполномоченному или в суд;

9) применять средства правовой защиты в случае нарушения законодательства о защите персональных данных;

10) вносить предостережения относительно ограничения права на обработку своих персональных данных при предоставлении согласия;

11) отозвать согласие на обработку персональных данных;

12) знать механизм автоматической обработки персональных данных;

13) на защиту от автоматизированного решения, которое имеет для него правовые последствия.

9. ПОРЯДОК РАБОТЫ С ЗАПРОСАМИ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Субъект персональных данных имеет право на получение каких-либо сведений о себе у любого субъекта отношений, связанных с персональными данными, в порядке, предусмотренном Законом Украины «О защите персональных данных».

10. ПРОЧИЕ ПОЛОЖЕНИЯ

10.1. В случае, не предусмотренном настоящим Положением, применению подлежит действующее законодательство Украины.