Политика обработки персональных данных VRACHI-ONLINE.RU

1.  ОБЩИЕ ПОЛОЖЕНИЯ
1.1.   Настоящая Политика (далее – «Политика») регулирует вопросы обработки персональных данных пациентов и (или) их законных представителей, медицинских работников Медицинских организаций (далее – «Субъект персональных данных») при оказании Медицинскими организациями платных медицинских услуг с применением телемедицинских технологий, принадлежащих  ООО «Доктор Наш» 119421, г. Москва, пр-кт Ленинский, дом 111, корпус 1, этаж 3, комната 83.
(далее – «Оператор»). Медицинские организации по тексту настоящей Политики именуются также Субоператорами.
Ответственным лицом за Обработку персональных данных, обеспечение безопасности персональных данных и создание соответствующего структурного подразделения по безопасности персональных данных является единоличный исполнительный орган Оператора. 
1.2. При оказании платных медицинских услуг с применением телемедицинских технологий Оператором, являющимся агентом Медицинских организаций, действующим от их имени и в их интересах на основании договора, осуществляется обработка персональных Субъектов персональных данных, а именно все действия с персональными данными, необходимые для выполнения условий ОФЕРТЫ, включая сбор, запись, систематизацию, накопление, хранение, уточнение  (обновление,  изменение),  извлечение, использование, передачу (распространение, предоставление,  доступ), обезличивание, блокирование,  удаление, уничтожение персональных  данных (далее – «Обработка персональных данных»).
Обработка персональных данных медицинских работников Медицинских организаций может осуществляться Оператором также в целях информирования пациентов (их законных представителей) о медицинских работниках, оказывающих им платные медицинские услуги дистанционно с применением Телемедицинских технологий, контроля качества таких услуг, в целях рекламы платных медицинских услуг, оказываемых дистанционно с применением Телемедицинских технологий. Субоператоры осуществляют Обработку персональных данных медицинских работников, состоящих с ними в трудовых отношениях, и пациентов (их законных представителей), которым они непосредственно оказывают медицинскую помощь с применением Телемедицинских технологий.
1.3. К обрабатываемым согласно настоящей Политике персональным данным пациента (его законного представителя) относятся фамилия, имя и отчество (при наличии), день, месяц, год и место рождения, гражданство, адрес электронной почты, номер телефона, изображение гражданина, запись его голоса, информация  о факте  обращения  за медицинской  помощью,  состоянии  здоровья пациента, диагнозе его заболевания и иные сведения, полученные при обследовании и лечении пациента, а также любые иные данные, которые могут быть получены в ходе исполнения ОФЕРТЫ и оказания медицинской помощи с применением Телемедицинских технологий. К обрабатываемых персональным данным медицинского работника, участвующего в оказании платных медицинских услуг дистанционно с применением Телемедицинских технологий, относятся: фамилия, имя, отчество (при наличии), дата рождения, место работы, опыт работы, данные об образовании и повышении квалификации, ученая степень и звание, информация о наградах и поощрениях, информация о научной деятельности и иная подобная информация.
1.4. Под телемедицинскими технологиями в рамках настоящей Политики понимается сайт vrachi-online.ru, а также программно-аппаратный комплекс по предоставлению канала связи между пациентом (его законным представителем) и Медицинской организацией с целью оказания медицинской услуги дистанционно в сети Интернет в режиме реального времени (онлайн) с использованием стационарного или мобильного телефона, сайта VRACHI-ONLINE.RU или приложения для мобильных устройств (далее – «Телемедицинские технологии»). Организация работы Телемедицинских технологий, в том числе организация передачи и Обработка персональных данных с использованием Телемедицинских технологий, техническое обслуживание Телемедицинских технологий и техническая поддержка пациентов и (или их законных представителей), медицинских работников Медицинских организаций, оказывающих дистанционно платные медицинские услуги с применением Телемедицинских технологий, осуществляется Оператором. Интеллектуальные права и право собственности на Телемедицинские технологии принадлежат Оператору.
 
2. ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Целью сбора персональных данных пациента (его законного представителя) является выполнение условий ОФЕРТЫ, в том числе оказание качественно медицинской помощи с применением Телемедицинских технологий и качественных платных медицинских услуг дистанционно с применением Телемедицинских технологий, при этом обработка персональных данных о состоянии здоровья пациента осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну. 
2.2. Целью сбора персональных данных медицинского работника Медицинской организации, участвующего в оказании платных медицинских услуг дистанционно с применением Телемедицинских технологий, является выполнение Медицинской организацией обязательств ОФЕРТЫ, в том числе оказание качественных платных медицинских услуг дистанционно с применением Телемедицинских технологий, для информирование пациентов (их законных представителей) о медицинских работниках, непосредственно оказывающих им платные медицинские услуги дистанционно с использованием Телемедицинских технологий, контроля качества таких услуг и их рекламы.
2.3. Персональные данные могут быть использованы с иными целями, если это является обязательным в соответствии с положениями законодательства Российской Федерации.
2.4. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
 
3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Правовыми основаниями Обработки персональных данных согласно настоящей Политике являются:
  • Федеральный закон «Об основах охраны здоровья граждан в Российской Федерации» от 21 ноября 2011 года № 323-ФЗ; 
  • Федеральный закон «О внесении изменений в отдельные законодательные акты Российской Федерации по вопросам применения информационных технологий в сфере охраны здоровья» от 29 июля 2017 № 242-ФЗ; 
  • Постановление Правительства РФ «Об утверждении Правил предоставления медицинскими организациями платных медицинских услуг» от 04 октября 2012 года № 1006; 
  • Постановление Правительства РФ «О федеральной государственной информационной системе «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме» от 28 ноября 2011 года № 977; 
  • Подзаконные акты, устанавливающие требования к иным информационным системам, порядок оказания медицинской помощи с применением телемедицинских технологий; 
  • Устав Оператора;
  • ОФЕРТА;
  • Согласие на обработку персональных данных;
  • Информированное добровольное согласие на виды медицинских вмешательств
 
4. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Персональные данные, указанные в пункте 1.3 настоящей Политики обрабатываются в объемах, необходимых для достижения целей, предусмотренных в разделе 2 настоящей Политики.
Оператор и Субоператоры обрабатывают следующие категории персональных данных пациентов (их законных представителей):
(а) общая категория: фамилия, имя и отчество (при наличии), день, месяц, год и место рождения, гражданство, адрес электронной почты, номер телефона, другая информация, относящаяся к субъекту персональных данных;
(б) специальная категория: информация о состоянии здоровья пациента, диагнозе его заболевания, иные сведения о состоянии здоровья, полученные в результате сбора, анализа жалоб пациента и данных анамнеза, его осмотре, консультировании, обследовании и лечении.  
Оператор и Субоператоры обрабатывают персональные данные медицинских работников общей категории.
4.2. Оператор и Субоператоры гарантируют, что обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки.
4.3. Категории субъектов персональных данных указаны в пункте 1.1 настоящей Политики, при этом пациентами (их законными представителями) являются граждане, прошедшие идентификацию и аутентификацию с использованием Телемедицинских технологий на сайте VRACHI-ONLINE.RU и акцептовавшие условиями ОФЕРТЫ и давшие Согласие на обработку персональных данных. К медицинским работникам относятся работники Медицинских организаций, непосредственно участвующие в оказании платных медицинских услуг дистанционно с применением Телемедицинских технологий, прошедшие идентификацию и аутентификацию с использованием Телемедицинских технологий на сайте VRACHI-ONLINE.RU и давшие Согласие на обработку персональных данных.
 
5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Действия, совершаемые Оператором и Субоператорами с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
5.2. Персональные данные обрабатываются Оператором и Субоператорами с использованием автоматизированных систем, за исключением случаев, когда неавтоматизированная обработка персональных данных необходима в связи с исполнением требований законодательства Российской Федерации.
5.3. Персональные данные начинают обрабатываются незамедлительно с момента их получения в течение срока, необходимого для выполнения условий ОФЕРТЫ, при этом общий срок обработки персональных данных пациентов (их законных представителей) не может быть меньше срока хранения медицинской документации, оформляемой при оказании соответствующей медицинской помощи с применением Телемедицинских технологий Медицинскими организациями, а также сроков хранения персональных данных работников в отношении персональных данных медицинских работников. 
5.4. Оператор и Субоператоры вправе передавать персональные данные пациентов (их законных представителей) третьим лицам: иным медицинским организациям, привлекаемым к оказанию медицинских услуг с использованием Телемедицинских технологий, страховым организациям, с которыми у пациентов (их законных представителей) заключен договор добровольного медицинского страхования, платежным агентам, осуществляющим прием платежей физических лиц за оказываемые Медицинскими организациями дистанционно платные медицинские услуги с использованием Телемедицинских технологий, - при этом объем передаваемых персональных данных не может превышать объем, необходимый для исполнения ОФЕРТЫ. Оператор и Субоператоры гарантируют, что третьи лица, которым передаются персональные данные Субъектов персональных данных, пациентов (их законных представителей) обрабатывают такие персональные данные на условиях, тождественных условиям настоящей Политики, в том числе в части защиты обрабатываемых персональных данных. 
5.4. Оператор и Субоператоры вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
5.5. Оператор и Субоператоры гарантируют соблюдение требований конфиденциальности персональных данных, установленных статьей 7 Федерального закона «О персональных данных» от 27 июля 2006 года № 152-ФЗ, а также принятие мер, предусмотренных частью 2 статьи 18.1, частью 1 статьи 19 Федерального закона «О персональных данных» от 27 июля 2006 года № 152-ФЗ.  
5.6. Условием прекращения обработки Оператором и Субоператорами персональных данных субъектов персональных данных является достижение целей обработки персональных данных, отзыв согласия Субъекта персональных данных на Обработку его персональных данных, а также выявление неправомерной обработки персональных данных.
5.7. Хранение персональных данных осуществляется в форме, позволяющей определить Субъекта персональных, в сроки, необходимые для выполнения обязательств, предусмотренных ОФЕРТОЙ и указанные в Согласии на обработку персональных данных.
5.8. При осуществлении хранения персональных данных Оператор и Субоператоры используют базы данных, находящиеся на территории Российской Федерации. Персональные данные Субъектов персональных данных хранятся исключительно на электронных носителях.
5.9. Оператор принимает технические и организационно-правовые меры в целях обеспечения защиты персональных данных Субъектов персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. Для доступа к Телемедицинским технологиям Субъект персональных данных использует индивидуальный логин и пароль. Ответственность за сохранность данной информации несет Субъект персональных данных. Субъект персональных данных не вправе передавать собственный логин и пароль третьим лицам, а также обязан предпринимать меры по обеспечению их конфиденциальности.
 
6. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
6.1. Субъект персональных данных вправе обратиться к Оператору с запросом о предоставлении информации, касающейся обработки его персональных данных, уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки (далее – «Запрос»). Запрос должен содержать номер основного документа, удостоверяющего личность Субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (дата заключения договора и при наличии номер договора), подпись Субъекта персональных данных или его представителя, почтовый адрес и (или) адрес электронной почты для направления ответа. Запрос направляется по почтовому адресу Оператора, указанному в пункте 1.1 настоящей Политики, заказным письмом с описью вложения и уведомлением о вручении. Запрос может быть направлен в форме электронного документа и подписан усиленной квалифицированной электронной подписью в соответствии с законодательством Российской Федерации и направлен с применением Телемедицинских технологий через личный кабинет Субъекта персональных данных.
6.2. Оператор обязан исполнить требование, указанное в Запросе, не позднее 7 рабочих дней с даты его получения. 
6.3. В случае выявления неправомерной обработки персональных данных или неточных персональных данных по запросу Субъекта персональных данных или его представителя Оператор обязан осуществить блокирование таких персональных данных, относящихся к этому Субъекту персональных данных, с момента получения указанного Запроса на период проверки. Общий срок проверки и выполнения требования не может превышать 5 рабочих дней с даты получения Запроса. 
По результатам проверки Оператор уточняет персональные данные и снимает блокирование; прекращает неправомерную обработку персональных данных и уничтожает их.
Субъект персональных данных вправе повторно обратиться с запросом о предоставлении информации, касающейся обработки его персональных данных, согласно статье 7 Федерального закона «О персональных данных» от 27 июля 2006 года № 152-ФЗ, не ранее чем через 30 дней после направления первоначального запроса.
6.4. Оператор вправе отказать Субъекту персональных данных в выполнении Запроса, если требования Субъекта персональных данных неправомерны, с указанием причин такого отказа (далее – «Отказ»).
В письменной форме за подписью уполномоченного лица Оператора Отказ либо Уведомление об исполнении Запроса (далее – «Уведомление») направляются по почтовому адресу Субъекта персональных данных, указанному в Запросе. Отказ (Уведомление) может быть направлен в форме электронного документа и подписан усиленной квалифицированной электронной подписью в соответствии с законодательством Российской Федерации и направлен с применением Телемедицинских технологий через личный кабинет Субъекта персональных данных. Отказ (Уведомление) должен быть направлен не позднее 7 рабочих дней с даты получения Запроса. 
6.5. При достижении сроков обработки и хранения персональных данных персональные данные подлежат уничтожению.
6.6. Недопущение вреда Субъекта персональных данных является одним из направлений настоящей Политики и представляет собой комплекс правовых, организационных и технических мер. Правовые меры состоят из изучения и применения законодательства по вопросам недопущения вреда, разработки локальных актов и их применения в данной сфере деятельности Оператора. Организационные меры включают тщательный отбор, обучение и расстановку кадров, повышение их мотивации в вопросах недопущения вреда, в частности, единоличным исполнительным органом Оператора утвержден перечень лиц, доступ которых к обрабатываемым персональным данным необходим для выполнения ими трудовых обязанностей, а также создано структурное подразделение, ответственное за обеспечение безопасности персональных данных в информационной системе. Технические меры объединяют создание условий и реализацию мероприятий по недопущению вреда, в том числе:
  • организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения; 
  • обеспечение сохранности Телемедицинских технологий Оператора, в том числе материальных носителей персональных данных;  
  • установление и поддержания соответствующих режимов безопасности, использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз; 
  • недопущение попадания конфиденциальной информации Оператора, в том числе информации, составляющей коммерческую тайну, неуполномоченным лицам;  
  • обеспечение информационной безопасности Оператора, бесперебойного функционирования технических средств обработки персональных данных (средств вычислительной техники, информационно-вычислительных комплексов и сетей, средств и систем передачи, приема и обработки персональных данных (средств и систем звукозаписи, звукоусиления, звуковоспроизведения, переговорных и телевизионных устройств, средств изготовления, тиражирования документов и других технических средств обработки речевой, графической, видео- и буквенно-цифровой информации), программных средств (операционных систем, систем управления базами данных и т.п.), средств защиты информации, применяемых в информационных системах);  
  • доступ к содержанию электронного журнала сообщений возможен исключительно для работников Оператора / Субоператора, которым сведения, содержащиеся в указанном журнале, необходимы для выполнения трудовых обязанностей, при этом осуществляется автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника Оператора /Субоператора по доступу к персональным данным, содержащимся в информационной системе; 
  • постоянный контроль за обеспечением уровня защищенности персональных данных.