Положение о персональных данных работников Total Care

Настоящее Положение разработано в целях обеспечения защиты персональных данных работников медицинской клиники «Total Care» (далее – Клиника) и соответствует требованиям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и иным применимым нормативным актам.

Положение распространяется на всех работников Клиники, кандидатов на работу, временно работающих лиц (волонтеров, соглашения гражданско-правового характера) и лиц, передающих или получающих персональные данные в рамках трудовых отношений.

Цель обработки персональных данных: прием на работу, оформление трудовых договоров и должностных инструкций, управление персоналом, трудовой учет, охрана труда, медицинское страхование, учет рабочего времени, расчет заработной платы, взаимодействие с госорганами, обеспечение безопасности и качества медицинских услуг.

Персональные данные (ПД): любая информация, прямо или косвенно относящаяся к определенному или определяемому по данным ПД физическому лицу.

Обработкa персональных данных: любые действия (операции) с ПД, включая сбор, запись, систематизацию, хранение, уточнение, использование, распространение, передачу, обезличивание, блокирование, удаление.

Оператор ПД: юридическое лицо, которое самостоятельно или совместно с другими осуществляет обработку ПД и контролирует ее цели и способы.

Обработчик ПД: лицо, которому оператор поручает обработку ПД.

Защита ПД: меры технического и организационного характера, обеспечивающие безопасность ПД.

Осуществляется только в целях, указанных в настоящем Положении, и в пределах, необходимых для достижения служебных задач.

Обработка ПД работников осуществляется законно и справедливо, с минимизацией объема обрабатываемых данных.

ПД защищаются от несанкционированного доступа, утраты, копирования, распространения, уничтожения.

При обработке используются только те данные, которые необходимы для целей трудовых отношений и обеспечения оказания медицинских услуг.

Идентификационные данные: ФИО, дата рождения, место жительства (регистрация), паспортные данные.

Контактные данные: телефон, адрес электронной почты.

Трудовые данные: должность, должностная инструкция, ступень квалификации, стаж, график работы, показатели трудовой деятельности.

Медицинские данные: медицинские заключения, результаты обследований, данные об инвалидности, противопоказания, информация об вакцинации (при необходимости для организации рабочего процесса).

Финансовые данные: расчеты заработной платы, банковские реквизиты.

Иные данные, необходимые для исполнения обязанностей (например, данные о страховании, курируемые учреждения).

Законодательные: заключение и выполнение трудового договора, государственные требования к охране труда и медицинскому страхованию, налоговый учет.

Нормативное регулирование: трудовое законодательство, закон о персональных данных, требования надзорных органов.

Социально-экономические: обеспечение эффективной работы клиники, надлежащего оказания медицинских услуг, безопасность персонала.

Право на доступ к своим ПД.

Право требовать уточнения, дополнения, удаления ПД, если данные неполные, неверны или незаконно обработаны.

Право на ограничение обработки и возражение против обработки.

Право на переносимость данных.

Право на обжалование действий администратора ПД.

Право на обращение в уполномоченный орган по защите ПД.

Обеспечивать соблюдение требований законодательства о ПД.

Обеспечивать минимальный объем данных, необходимых для целей обработки.

Обеспечивать защиту ПД: физическую, техническую и организационную.

Регламентировать порядок обработки, хранения и передачи ПД внутри Клиники.

Вести учет операций обработки ПД и регистрировать согласие на обработку, если требуется.

Обеспечивать доступ сотрудников только к тем ПД, которые необходимы для выполнения должностных обязанностей.

Принять меры по уведомлению сотрудников о рисках обработки, а также о смене целей обработки.

Технические: использование защищенных информационных систем, ограничение доступа по ролям, шифрование, регулярные обновления ПО, резервное копирование.

Организационные: регламентация доступа к ПД, политика паролей, аудит доступов, хранение бумажных документов в местах с ограниченным доступом.

Правовые: договоры с сотрудниками и аутсорсингами на обработку ПД, инструкции по работе с ПД, порядок уведомлений в случае утечки.

Обучение: регулярное обучение персонала по вопросам защиты ПД.

Передача ПД может осуществляться только государственным органам, страховым компаниям, медицинским учреждениям и иным организациям в рамках требований закона и с согласия сотрудника, если это требуется.

Иные обработчики ПД (в т.ч. кадровые агентства, бухгалтерские службы) обязаны подписать договоры о конфиденциальности и обеспечивать соответствие требованиям закона.

ПД хранятся только в течение срока, необходимого для целей обработки, установленного законодательством и внутренними регламентами Клиники.

По истечении срока данные подлежат обезличиванию или уничтожению в безопасном порядке (с учетом требований регламентов).

Любые нарушения требований к обработке ПД влекут дисциплинарную ответственность, включая предупреждение, выговор или расторжение трудового договора, а также возможную административную или уголовную ответственность.

В случае утечки или подозрения на несанкционированный доступ сотрудникам следует немедленно сообщать руководителю и в отдел информационной безопасности для реагирования.

В Клинике ведутся регистры обработки ПД, журналы доступа к информационным системам, договоры на обработку ПД, согласия сотрудников на обработку ПД, инструкции по защите ПД.

Регламентируется периодический аудит соблюдения требований к ПД и обновление настоящего Положения в случае изменений законодательства.

Настоящее Положение вступает в силу с момента утверждения и подлежит периодическому пересмотру не реже одного раза в год или при изменении законодательства.