Политика обработки персональных данных
Политика обработки персональных данных в обществе с ограниченной ответственностью «Люксмайл Плюс» (далее – Политика) определяет цели, основные принципы, условия и способы обработки персональных данных, хранение, передачу третьим лицам и обеспечение безопасности обрабатываемых в обществе с ограниченной ответственностью «Люксмайл Плюс» (далее – Клиника) персональных данных пациентов.
Политика разработана с учетом требований Конституции Республики Беларусь, Указа Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных», Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее-Закон), Закона Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации», Закона Республики Беларусь от 18.06.1993 № 2435-XII «О здравоохранении» (далее -Закон «О здравоохранении»), постановления Министерства здравоохранения Республики Беларусь от 07.06.2021 № 74 «О формах и порядке дачи и отзыва согласия на внесение и обработку персональных данных пациента», а также иными актами действующего законодательства в данной сфер.
Почтовый адрес общества с ограниченной ответственностью «Люксмайл Плюс»: 224011, город Брест, улица Октябрьской Революции, 23А помещение 128; адрес в сети интернет – luxsmile.by, электронная почта – Luxsmile@list.ru.
Клиника осуществляет обработку только тех персональных данных, которые необходимы для выполнения заявленных целей и не допускает их избыточной обработки.
- Основные термины и определения
Биометрические персональные данные – информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и др.).
Генетические персональные данные – информация, относящаяся к наследуемым либо приобретенным генетическим характеристикам человека, которая содержит уникальные данные о его физиологии либо здоровье и может быть выявлена, в частности, при исследовании его биологического образца.
Клиент – любое физическое лицо, которое желает стать пациентом и с этой целью записывается на прием или хочет обратиться за оказанием платных медицинских услуг
Обработка персональных данных – любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
Общедоступные персональные данные – персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов.
Пациент – физическое лицо, обратившееся за медицинской помощью, находящиеся под медицинским наблюдением либо получающее медицинскую помощь
Персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.
Предоставление персональных данных – действия, направленные на ознакомление с персональными данными определенного лица или круга лиц.
Распространение персональных данных – действия, направленные на ознакомление с персональными данными неопределенного круга лиц.
Субъект персональных данных – физическое лицо, в отношении которого осуществляется обработка персональных данных.
Информация – сведения (сообщения, данные) о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
- Цели обработки персональных данных
Клиника обрабатывает следующие персональные данные исключительно в целях:
Субъект данных | Цель обработки данных | Какие данные обрабатываются | Основания осуществления обработки |
Клиент | – запись Клиента на прием (консультацию) на основании его телефонного звонка; – обратный звонок Клиенту, в случае оставления им запроса на такой звонок; – запись Клиента на прием через онлайн-запись (сайт, Instagram WhatsApp Viber); – направление ответа на вопрос, направленный по электронной почте | Данные, которые Клиент оставляет при заполнении регистрационных форм: – ФИО – контактный телефон | Получение устного согласия при телефонном разговоре Получение письменного согласия путем направления ему: – уведомления о намерении получить согласие; – бланка согласия – прав и механизма их реализации |
Пациенты | – заполнение и отправка Пациентом формы или электронного письма, сообщения; – направление документов по электронной почте Пациенту; – уведомление о дате и времени визита, об окончании гарантийного срока, о необходимости прохождения профессиональной чистке зубов и тп.; – уведомление об услугах и акциях по почте, рекламе медицинских услуг электронной почте и сотовой связи посредством телефонных звонков и СМС; – проверка отзыва, размещенного на сайте, на предмет подлинности посещения лицом, оставившим отзыв; – направление ответа на вопрос, направленный по электронной почте специалистами Клиники; – использование фотографии на площадках Клиники в сети интернет (ФИО, изображение, иная информация о пациенте); – оформление добровольного страхования (ФИО, дата рождения, иные сведения, необходимые для заключения договора страхования медицинских расходов); – маркетинговые исследования; – организация электронного документооборота; – анкетирование, опросы; – обработка заявок и запросов от Пациента | Данные, указанные в разделе 4 настоящей Политики (в объеме необходимом для исполнения целей) | Письменное согласие на обработку персональных данных |
- Принципы обработки персональных данных
При обработке персональных данных Клиника придерживается следующих принципов:
- – соразмерности и справедливости соотношения интересов Субъекта персональных данных и Клиники;
- законности сбора и совершения иных действий по обработке персональных данных;
- безопасности;
- соблюдения цели. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
- соблюдение прав субъекта персональных данных на доступ к его персональным данным;
- согласия субъекта персональных данных;
- принятие мер по обеспечению достоверности обрабатываемых и обновление их;
- надлежащего хранения персональных данных в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
- Состав персональных данных Пациента
4.1. В состав обрабатываемых в Клинике персональных данных Пациента могут входить следующие персональные данные пациентов:
- фамилия, имя, отчество;
- дата рождения;
- гражданство;
- паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, и др.);
- сведения о регистрации по месту жительства (включая адрес, дату регистрации);
- сведения о месте фактического проживания;
- сведения медицинского характера (в случаях, предусмотренных законодательством);
- контактные данные (включая номера мобильного телефона, электронной почты и др.) и другие.
- специальные персональные данные о расовой либо национальной принадлежности.
4.2. Иные данные, позволяющие идентифицировать лицо, в том числе необходимые для правильного проведения и интерпретации медицинских исследований (необходима в некоторых случаях для установки правильных пограничных значений результатов)..
- Сбор (получение) персональных данных
Персональные данные, Клиника получает только лично от субъекта персональных данных или от его законного представителя.
- Обработка персональных данных
6.1. Обработка персональных данных в Клинике происходит как неавтоматизированным, так и автоматизированным способом.
6.2. Сотрудники Клиники руководствуются Приказом об установлении перечня лиц, имеющих доступ к персональным данным и доступ к обработке персональных данных, утвержденным директором Клиники.
6.3. К обработке персональных данных в Клинике допускаются только сотрудники прошедшие определенную процедуру допуска, к которой относятся: ознакомление сотрудника с локальными нормативными актами Клиники (Политика, Положения, Инструкции, приказы и т.д.), строго регламентирующими порядок и процедуру работы с персональными данными;- получение сотрудником и использование в работе индивидуальных атрибутов доступа к информационным системам Клиники, содержащим в себе персональные данные. При этом каждому сотруднику выдаются минимально необходимые для исполнения трудовых обязанностей права на доступ в информационные системы.
6.4. Сотрудники, имеющие доступ к персональным данным, получают только те персональные данные, которые необходимы им для выполнения конкретных трудовых функций.
6.5. Обработка персональных данных осуществляется путем смешанной (как с использованием средств автоматизации, так и без использования средств автоматизации) обработки, в том числе с использованием внутренней сети и сети Интернет.
6.6. В случаях, установленных законодательством, основным условием обработки персональных данных является получение согласия Пациента, в том числе в письменной форме.
6.7. Если иное не установлено Законом о персональных данных Клиника вправе получать персональные данные Пациента от третьих лиц только при уведомлении об этом Пациента, либо при наличии письменного согласия субъекта на получение его персональных данных от третьих лиц.
6.8. До получения согласия Пациента, Клиника:
6.8.1. в устной, письменной либо электронной форме, соответствующей форме выражения такого согласия, обязана предоставить Пациенту информацию, по форме, установленной в Клинике содержащую:
- наименование и место нахождения Клиники, получающего согласие субъекта персональных данных;
- цели обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие Пациента;
- срок, на который дается согласие Пациента;
- информацию об уполномоченных лицах в случае, если обработка персональных данных будет осуществляться такими лицами;
- перечень действий с персональными данными, на совершение которых дается согласие субъекта персональных данных, общее описание используемых оператором (лицом, ответственным за обработку персональных данных) способов обработки персональных данных;
- иную информацию, необходимую для обеспечения прозрачности процесса обработки персональных данных.
Исключительно в письменном виде данная информация предоставляется пациентам или лицам, указанным в части второй статьи 18 Закона Республики Беларусь «О здравоохранении».
Пользователям сайта указанная информация предоставляется в электронном виде.
6.8.2. обязана простым и ясным языком разъяснить Пациенту его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия. Эта информация должна быть предоставлена Клиникой Пациенту в устной, письменной либо электронной форме, соответствующей форме выражения его согласия, отдельно от иной предоставляемой ему информации.
Данная информация предоставляется Клиникой Пациенту по форме, установленной в Клинике.
Пользователям сайта указанная информация предоставляется в электронном виде.
6.8.3. Получить согласие Пациента на обработку персональных данных, за исключением случаев, когда такое согласие не требуется в соответствии с Законом и иными актами законодательства.
6.8.4. Обработка специальных персональных данных без согласия субъекта персональных данных запрещается, за исключением следующих случаев, когда согласие субъекта персональных данных на обработку специальных персональных данных не требуется:
- если специальные персональные данные сделаны общедоступными персональными данными самим субъектом персональных данных;
- в целях организации оказания медицинской помощи при условии, что такие персональные данные обрабатываются медицинским, фармацевтическим или иным работником здравоохранения, на которого возложены обязанности по обеспечению защиты персональных данных и в соответствии с законодательством распространяется обязанность сохранять врачебную тайну;
- для формирования официальной статистической информации;
- для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
- в случаях, когда обработка специальных персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами;
- в случаях, когда Законом и иными законодательными актами прямо предусматривается обработка специальных персональных данных без согласия субъекта персональных данных.
- Перечень обрабатываемых персональных данных
Перечень персональных данных, обрабатываемых в Клинике, определяется в соответствии с законодательством Республики Беларусь и локальными правовыми актами Клиники с учетом целей обработки персональных данных, указанных в гл. 2 Политики.
- Хранение и обезличивание персональных данных
8.1. Персональные данные хранятся в бумажном и электронном виде. В электронном виде персональные данные хранятся в информационных системах Клиники, а так же в архивных копиях баз данных этих систем.
8.2. При хранении персональных данных соблюдаются организационные и технические меры, обеспечивающие их сохранность и исключающие несанкционированный доступ к ним. К ним относятся:
- назначение сотрудника ответственного за тот или иной способ хранения персональных данных;
- ограничение физического доступа к местам хранения и носителям;
- учет всех информационных систем и электронных носителей, а так же архивных копий.
8.3. При хранении персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных.
8.4. Документы, оформленные на бумажных носителях, содержащие персональные данные, находятся в специально отведенных для этого местах с ограниченным доступом в условиях, которые обеспечивают их защиту от несанкционированного доступа.
8.5. Персональные данные, хранящиеся в электронном виде, защищаются от несанкционированного доступа с помощью специальных технических и программных средств защиты. Хранение персональных данных в электронном виде вне применяемых оператором информационных систем и баз данных (внесистемное хранение персональных данных) не допускается.
8.6. Хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, но не дольше, чем этого требуют цели их обработки, если иной срок не установлен законодательством Республики Беларусь или договором, стороной которого является субъект персональных данных.
8.7. Если иное не предусмотрено законодательством, обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по требованию субъекта персональных данных, достижении целей обработки, в случае утраты необходимости в достижении этих целей или по истечении сроков их хранения.
Уничтожение или обезличивание персональных данных должно производиться способом, исключающим дальнейшую обработку этих персональных данных.
При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
8.8. Обезличивание информации о персональных данных лиц, которым оказывается медицинская помощь производится в соответствии с постановлением Министерства здравоохранения Республики Беларусь от 28.05.2021 N 64 “Об утверждении Инструкции о порядке обезличивания персональных данных лиц, которым оказывается медицинская помощь» и осуществляется Клиникой путем:
- введения идентификаторов – замены значений, идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным с последующим раздельным хранением таблицы (справочника) соответствия идентификаторов и обезличенных персональных данных;
- замены состава – изменения состава персональных данных;
- декомпозиции – разбиения состава персональных данных, на несколько частей с последующим раздельным хранением этих частей и обезличенных персональных данных.
Клиника при обезличивании персональных данных лиц, которым оказывается медицинская помощь:
- осуществляет обезличивание персональных данных для целей, указанных в пункте 2 настоящей Инструкции;
- определяет лицо или лиц, ответственное(ых) за организацию работы по обезличиванию персональных данных.
- Передача персональных данных третьим лицам
Передача персональных данных третьим лицам возможна в исключительных случаях только с согласия субъекта персональных данных и только с целью исполнения обязанностей перед субъектом персональных данных в рамках целей получения персональных данных. Кроме случаев, когда такая обязанность у Клиники наступает в результате требований действующего законодательства или при поступлении запроса от уполномоченных государственных органов. В данном случае Клиника ограничивает передачу персональных данных запрошенным объемом. При этом субъекту персональных данных направляется уведомление о факте передачи его персональных данных третьей стороне, если такое возможно.
- Меры по обеспечению безопасности персональных данных при их обработке
Обеспечение безопасности персональных данных в Клинике достигается следующими мерами:
- ознакомлением работников Клиники с требованиями законодательства о персональных данных и защите информации;
- назначением должностного лица ответственных за организацию и проведение работ по защите персональных данных;
- определением списка лиц, допущенных к работе с персональными данными;
- разработкой и утверждением локальных нормативных актов Клиники, регламентирующих порядок обработки персональных данных;
- реализацией технических мер, снижающих вероятность угроз безопасности персональных данных;
- непрерывным совершенствованием методов и способов обеспечения безопасности персональных данных.
- Права субъекта персональных данных
Пациент имеет право:
11.1. На получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- полное наименование и место нахождения Клиники;
- подтверждение факта обработки персональных данных Клиникой;
- его персональные данные и источник их получения;
- правовые основания и цели обработки персональных данных;
- срок, на который дано его согласие;
- сведения о лицах (за исключением сотрудников Клиники), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора или на основании Закона;
- иную информацию, предусмотренную законодательством.
Клиника в течение 5 рабочих дней после получения запроса предоставляет Пациенту указанную выше информацию либо уведомляет о причинах отказа в ее предоставлении.
11.2. На внесение изменений в свои персональные данные, если персональные данные являются неполными, устаревшими или неточными.
Пациент к своему заявлению, содержащему соответствующее требование, должен приложить соответствующие документы и (или) их заверенные в установленном порядке копии, подтверждающие необходимость внесения изменений в персональные данные. Клиника в течение 15 дней после получения запроса внесет соответствующие изменения и уведомит об это Пользователя, либо уведомит о причинах отказа во внесении таких изменений.
11.3. На получение информации о предоставлении персональных данных третьим лицам один раз в календарный год бесплатно.
Клиника в течение 15 дней после получения запроса предоставит Пациенту информацию о том, какие персональные данные Пациента и кому предоставлялись в течение года, предшествовавшего дате подачи заявления, либо уведомит о причинах отказа в ее предоставлении.
11.4. Требовать бесплатного прекращения обработки персональных данных и (или) их удаления.
Клиника в течение 15 дней после получения запроса прекратит обработку персональных данных, а также осуществит их удаление (обеспечит прекращение обработки персональных данных, а также их удаление уполномоченными лицам, если таковые имеются) и уведомит об этом Пользователя.
Если у Клиники будет отсутствовать техническая возможность удаления персональных данных, Клиника примет меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомит об этом Пользователя тот же срок.
Клиника вправе отказать Пациенту в удовлетворении требований о прекращении обработки его персональных данных и (или) их удалении при наличии оснований для обработки персональных данных, предусмотренных законодательством, в том числе если они являются необходимыми для заявленных целей их обработки, с уведомлением об этом субъекта персональных данных в пятнадцатидневный срок.
11.5. На обжалование действий (бездействия) и решений оператора, нарушающие права Пользователя при обработке его персональных данных, в Национальный Клиника защиты персональных данных Республики Беларусь в порядке, установленным законодательством.
11.6. Пациент также имеет право в любое время без объяснения причин отозвать свое согласие посредством подачи в Клиника заявления, либо в форме, посредством которой получено его согласие.
- Новые редакции
12.1. Клиника оставляет за собой право вносить изменения в настоящую Политику. Все изменения Политики будут опубликованы на сайте Клиники.
12.2. Новая редакция Политики вступает в силу с момента ее размещения на Сайте или в Клинике.