Общество с ограниченной ответственностью «Скинлюкс»
ПОЛИТИКА
01.09.2023
г. Минск
обработки персональных данных Пациентов
Политика обработки персональных данных (далее – Политика) определяет цели, основные принципы, условия и способы обработки персональных данных, хранение, передачу третьим лицам и обеспечение безопасности обрабатываемых в обществе с ограниченной ответственностью «Скинлюкс» (далее – Оператор) персональных данных Пациентов (Посетителей).
Политика разработана с учетом требований Конституции Республики Беларусь, Указа Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных», Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее-Закон), Закона Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации», Закона Республики Беларусь от 18.06.1993 № 2435-XII «О здравоохранении» (далее – Закон «О здравоохранении»), а также иными актами действующего законодательства в данной сфер.
Юридический адрес общества с ограниченной ответственностью «Скинлюкс»: г.Минск, ул.Кульман, 13.
Оператор осуществляет обработку только тех персональных данных, которые необходимы для выполнения заявленных целей и не допускает их избыточной обработки.
Обработка персональных данных производит как на основании письменного согласия Заказчика (Пациента) так и по иным правовым основаниям.
1. Основные термины и определения
Биометрические персональные данные – информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и др.).
Генетические персональные данные – информация, относящаяся к наследуемым либо приобретенным генетическим характеристикам человека, которая содержит уникальные данные о его физиологии либо здоровье и может быть выявлена, в частности, при исследовании его биологического образца.
Посетитель (клиент) – любое физическое лицо, которое желает стать пациентом и с этой целью записывается на прием или хочет обратиться за оказанием платных медицинских услуг
Обработка персональных данных – любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
Общедоступные персональные данные – персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов.
Пациент – физическое лицо, обратившееся за медицинской помощью, находящиеся под медицинским наблюдением либо получающее медицинскую помощь
Персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.
Предоставление персональных данных – действия, направленные на ознакомление с персональными данными определенного лица или круга лиц.
Распространение персональных данных – действия, направленные на ознакомление с персональными данными неопределенного круга лиц.
Субъект персональных данных – физическое лицо, в отношении которого осуществляется обработка персональных данных.
Информация – сведения (сообщения, данные) о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
2. Цели обработки персональных данных
Оператор обрабатывает следующие персональные данные исключительно в целях:
Субъект данных Цель обработки данных Какие данные обрабатываются Основания осуществления обработки
Посетитель
(Клиент)
– запись Посетителя (Клиента) на прием (консультацию) на основании его телефонного звонка, переписка в чате сайта Оператора, мессенджерах, социальных сетях, сайтах агрегаторах, путем заполнения формы онлайн записи на сайте Оператора
– обратный звонок Посетителя (Клиенту), в случае оставления им запроса на такой звонок;
– направление ответа на вопрос, направленный по электронной почте Данные, которые Посетитель (Клиент) оставляет при заполнении регистрационных форм:
– ФИО
– контактный телефон Получение устного согласия при телефонном разговоре
Получение письменного согласия путем направления ему:
– уведомления о намерении получить согласие;
– бланка согласия
– прав и механизма их реализации
Пациенты
– переписка в мессенджерах, чате, социальных сетях, сайтах агрегаторах;
– уведомление о дате и времени визита (звонок/смс);
– обмен документами, переписка по электронной почте, мессенджерам;
– уведомление об акциях по электронной почте и СМС;
– оформление добровольного страхования медицинских расходов (ФИО, дата рождения, иные сведения, необходимые для заключения договора страхования медицинских расходов);
– предоставление информации и иное взаимодействие со страховыми организациями в отношении застрахованных у них лиц, которые являются пациентами Оператора;
– анкетирование, опросы, маркетинговые исследования;
– обработка заявок и запросов от Пациента через мессенджеры;
– проверка отзыва, размещенного на сайте, на предмет подлинности посещения лицом, оставившим отзыв;
– оформление и ведение электронной карты Данные, указанные в разделе 4 настоящей Политики (в объеме необходимом для исполнения целей) Письменное согласие на обработку персональных данных
3. Принципы обработки персональных данных
При обработке персональных данных Оператора придерживается следующих принципов:
– соразмерности и справедливости соотношения интересов Субъекта персональных данных и Оператора;
– законности сбора и совершения иных действий по обработке персональных данных;
– безопасности;
– соблюдения цели. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
– соблюдение прав субъекта персональных данных на доступ к его персональным данным;
– согласия субъекта персональных данных;
– принятие мер по обеспечению достоверности обрабатываемых и обновление их;
– надлежащего хранения персональных данных в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
4. Состав персональных данных Пациента
4.1. В состав обрабатываемых в Операторе персональных данных Пациента (по разным правовым основаниям) могут входить следующие персональные данные Пациентов:
• фамилия, имя, отчество (для заполнения амбулаторной карты);
• дата рождения (для заполнения амбулаторной карты);
• пол (для заполнения амбулаторной карты);
• личный номер, паспортные данные (для заполнения амбулаторной карты, выписки рецептов);
• сведения о месте фактического проживания (для заполнения амбулаторной карты);
• сведения медицинского характера (в случаях, предусмотренных законодательством);
• инвалидность;
• информация о состоянии здоровья;
• контактные данные (включая номера мобильного телефона, электронной почты и др.) и другие;
• специальные персональные данные о расовой либо национальной принадлежности
4.2. Иные данные, позволяющие идентифицировать лицо, в том числе необходимые для правильного проведения и интерпретации медицинских исследований (необходима в некоторых случаях для установки правильных пограничных значений результатов)
5. Сбор (получение) персональных данных
Персональные данные Оператор получает только лично от субъекта персональных данных или от его законного представителя.
6. Обработка персональных данных
6.1. Обработка персональных данных у Оператора происходит как неавтоматизированным, так и автоматизированным способом.
6.2. Сотрудники Оператора руководствуются Приказом об установлении перечня лиц, имеющих доступ к персональным данным и доступ к обработке персональных данных, утвержденным директором Оператора.
6.3. К обработке персональных данных у Оператора допускаются только сотрудники прошедшие определенную процедуру допуска, к которой относятся:
– ознакомление сотрудника с локальными нормативными актами Оператора (Политика, Положения, Инструкции, приказы и т.д.), строго регламентирующими порядок и процедуру работы с персональными данными;
– получение сотрудником и использование в работе индивидуальных атрибутов доступа к информационным системам Оператора, содержащим в себе персональные данные. При этом каждому сотруднику выдаются минимально необходимые для исполнения трудовых обязанностей права на доступ в информационные системы.
6.4. Сотрудники, имеющие доступ к персональным данным, получают только те персональные данные, которые необходимы им для выполнения конкретных трудовых функций.
6.5. Обработка персональных данных осуществляется путем смешанной (как с использованием средств автоматизации, так и без использования средств автоматизации) обработки, в том числе с использованием внутренней сети и сети Интернет.
6.6. В случаях, установленных законодательством, основным условием обработки персональных данных является получение согласия Пациента (Посетителя, Клиента), в том числе в письменной форме.
6.7. Если иное не установлено Законом о персональных данных, Оператор вправе получать персональные данные Пациента от третьих лиц только при уведомлении об этом Пациента, либо при наличии письменного согласия субъекта на получение его персональных данных от третьих лиц.
6.8. До получения согласия Пациента, администраторы Оператора обязаны простым и ясным языком разъяснить Пациенту его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия. Эта информация предоставляется Оператором путем размещения в общедоступном месте в Операторе.
6.9. Обработка специальных персональных данных без согласия субъекта персональных данных запрещается, за исключением следующих случаев, когда согласие субъекта персональных данных на обработку специальных персональных данных не требуется:
– если специальные персональные данные сделаны общедоступными персональными данными самим субъектом персональных данных;
– в целях организации оказания медицинской помощи при условии, что такие персональные данные обрабатываются медицинским, фармацевтическим или иным работником здравоохранения, на которого возложены обязанности по обеспечению защиты персональных данных и в соответствии с законодательством распространяется обязанность сохранять врачебную тайну;
– для формирования официальной статистической информации;
– для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
– в случаях, когда обработка специальных персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами;
– в случаях, когда Законом и иными законодательными актами прямо предусматривается обработка специальных персональных данных без согласия субъекта персональных данных.
7. Перечень обрабатываемых персональных данных
Перечень персональных данных, обрабатываемых у Оператора, определяется в соответствии с законодательством Республики Беларусь и локальными правовыми актами Оператора с учетом целей обработки персональных данных, указанных в гл. 2 Политики.
8. Хранение и обезличивание персональных данных
8.1. Персональные данные хранятся в бумажном и электронном виде. В электронном виде персональные данные хранятся в информационных системах Оператора, а также в архивных копиях баз данных этих систем.
8.2. При хранении персональных данных соблюдаются организационные и технические меры, обеспечивающие их сохранность и исключающие несанкционированный доступ к ним. К ним относятся:
– назначение сотрудника ответственного за тот или иной способ хранения персональных данных;
– ограничение физического доступа к местам хранения и носителям;
– учет всех информационных систем и электронных носителей, а также архивных копий.
8.3. При хранении персональных данных должны соблюдаться условия, обеспечивающие сохранность персональных данных.
8.4. Документы, оформленные на бумажных носителях, содержащие персональные данные, находятся в специально отведенных для этого местах с ограниченным доступом в условиях, которые обеспечивают их защиту от несанкционированного доступа.
8.5. Персональные данные, хранящиеся в электронном виде, защищаются от несанкционированного доступа с помощью специальных технических и программных средств защиты. Хранение персональных данных в электронном виде вне применяемых Оператором информационных систем и баз данных (внесистемное хранение персональных данных) не допускается.
8.6. Хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, но не дольше, чем этого требуют цели их обработки, если иной срок не установлен законодательством Республики Беларусь или договором, стороной которого является субъект персональных данных.
8.7. Если иное не предусмотрено законодательством, обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по требованию субъекта персональных данных, достижении целей обработки, в случае утраты необходимости в достижении этих целей или по истечении сроков их хранения.
Уничтожение или обезличивание персональных данных должно производиться способом, исключающим дальнейшую обработку этих персональных данных.
При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
8.8. Обезличивание информации о персональных данных лиц, которым оказывается медицинская помощь производится в соответствии с постановлением Министерства здравоохранения Республики Беларусь от 28.05.2021 N 64 “Об утверждении Инструкции о порядке обезличивания персональных данных лиц, которым оказывается медицинская помощь» и осуществляется Оператором путем:
введения идентификаторов – замены значений, идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным с последующим раздельным хранением таблицы (справочника) соответствия идентификаторов и обезличенных персональных данных;
замены состава – изменения состава персональных данных;
декомпозиции – разбиения состава персональных данных, на несколько частей с последующим раздельным хранением этих частей и обезличенных персональных данных.
9. Передача персональных данных третьим лицам
Передача персональных данных третьим лицам возможна в исключительных случаях только с согласия субъекта персональных данных и только с целью исполнения обязанностей перед субъектом персональных данных в рамках целей получения персональных данных. Кроме случаев, когда такая обязанность у Оператора наступает в результате требований действующего законодательства или при поступлении запроса от уполномоченных государственных органов. В данном случае Оператор ограничивает передачу персональных данных запрошенным объемом. При этом субъекту персональных данных направляется уведомление о факте передачи его персональных данных третьей стороне, если такое возможно.
10. Меры по обеспечению безопасности персональных данных при их обработке
Обеспечение безопасности персональных данных у Оператора достигается следующими мерами:
11. Права субъекта персональных данных
Пациент имеет право:
11.1. На получение информации, касающейся обработки его персональных данных, в том числе содержащей:
– полное наименование и место нахождения Оператора;
– подтверждение факта обработки персональных данных Оператором;
– его персональные данные и источник их получения;
– правовые основания и цели обработки персональных данных;
– срок, на который дано его согласие;
– сведения о лицах (за исключением сотрудников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора или на основании Закона;
– иную информацию, предусмотренную законодательством.
Оператор в течение 5 рабочих дней после получения запроса предоставляет Пациенту указанную выше информацию либо уведомляет о причинах отказа в ее предоставлении.
11.2. На внесение изменений в свои персональные данные, если персональные данные являются неполными, устаревшими или неточными.
Пациент к своему заявлению, содержащему соответствующее требование, должен приложить соответствующие документы и (или) их заверенные в установленном порядке копии, подтверждающие необходимость внесения изменений в персональные данные. Оператор в течение 15 дней после получения запроса внесет соответствующие изменения и уведомит об это Пользователя, либо уведомит о причинах отказа во внесении таких изменений.
11.3. На получение информации о предоставлении персональных данных третьим лицам один раз в календарный год бесплатно.
Оператор в течение 15 дней после получения запроса предоставит Пациенту информацию о том, какие персональные данные Пациента и кому предоставлялись в течение года, предшествовавшего дате подачи заявления, либо уведомит о причинах отказа в ее предоставлении.
11.4. Требовать бесплатного прекращения обработки персональных данных и (или) их удаления.
Оператор в течение 15 дней после получения запроса прекратит обработку персональных данных, а также осуществит их удаление (обеспечит прекращение обработки персональных данных, а также их удаление уполномоченными лицам, если таковые имеются) и уведомит об этом Пользователя.
Если у Оператора будет отсутствовать техническая возможность удаления персональных данных, Оператор примет меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомит об этом Пользователя тот же срок.
Оператор вправе отказать Пациенту в удовлетворении требований о прекращении обработки его персональных данных и (или) их удалении при наличии оснований для обработки персональных данных, предусмотренных законодательством, в том числе если они являются необходимыми для заявленных целей их обработки, с уведомлением об этом субъекта персональных данных в пятнадцатидневный срок.
11.5. На обжалование действий (бездействия) и решений Оператора, нарушающие права Пользователя при обработке его персональных данных, в Национальный Центр защиты персональных данных Республики Беларусь в порядке, установленным законодательством.
11.6. Пациент также имеет право в любое время без объяснения причин отозвать свое согласие посредством подачи в Оператор заявления, либо в форме, посредством которой получено его согласие.
12. Новые редакции
12.1. Оператор оставляет за собой право вносить изменения в настоящую Политику. Все изменения Политики будут размещены на информационном стенде Оператора.
12.2. Новая редакция Политики вступает в силу с момента ее размещения в Операторе.
Мы ответим на все интересующие вопросы и поможем в любых даже самых сложных случаях! Нажимая кнопку «Отправить», Вы даете согласие на обработку Ваших персональных данных, а также соглашаетесь с условиями Политики конфиденциальности.
Минск, ул. Кульман 13
Нажимая кнопку «Отправить», Вы даете согласие на обработку Ваших персональных данных, а также соглашаетесь с условиями Политики конфиденциальности.
Мы свяжемся с вами в ближайшее время и уточним дату и время приема, а так-же детали.
А пока вы можете почитать наш блог.