Политика в отношении обработки персональных данных

1. Общие положения

1.1. Настоящая Политика частного унитарного предприятия «Асмедсервис» (адрес в сети Интернет www.gurumed.by, e-mail:info@gurumed.by) в отношении обработки персональных данных (далее — Политика) разработана во исполнение требований ст. 17 Закона от 07.05.2021 N 99-З «О защите персональных данных» (далее — Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных.

1.2. Политика действует в отношении персональных данных, которые обрабатывает частное унитарное предприятие «Асмедсервис» (далее — Оператор), кроме обработки персональных данных в процессе трудовой деятельности и при осуществлении административных процедур.

1.3.В качестве категорий субъектов персональных данных выступают:

• работники, в том числе уволенные, а также их родственники
• посетители сайта gurumed.by
• кандидаты на трудоустройство
• пациенты
• физические лица, направившие обращения в адрес Оператора
• физические лица-контрагенты Оператора, с которыми заключены гражданско-правовые договора

1.4. Основные права и обязанности Оператора.

1.4.1. Оператор имеет право:

1) самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено законодательством;

2) поручить обработку персональных данных другому лицу, если иное не предусмотрено законодательством, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных;

3) в целях обеспечения полноты и достоверности статистического учета данных о случаях оказания медицинской помощи пациентам Оператор информационной системы с момента оформления отказа от внесения и обработки персональных данных пациента, информации, составляющей врачебную тайну, вправе продолжить хранение и обработку обезличенных данных (информации) пациента в порядке, установленном законодательными актами.

1.4.2. Оператор обязан:

1) организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;

2) отвечать на обращения и запросы субъектов персональных данных в соответствии с требованиями Закона о персональных данных;

3) исполнять требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных.

1.5. Субъект персональных данных имеет право:

1) Субъект персональных данных имеет право на получение информации, касающейся обработки своих персональных данных, содержащей:

• наименование (фамилию, собственное имя, отчество (если таковое имеется)) и место нахождения (адрес места жительства (места пребывания)) Оператора;
• подтверждение факта обработки персональных данных Оператором (уполномоченным лицом);
• его персональные данные и источник их получения;
• правовые основания и цели обработки персональных данных;
• срок, на который дано его согласие;
• наименование и место нахождения уполномоченного лица, которое является государственным органом, юридическим лицом Республики Беларусь, иной организацией, если обработка персональных данных поручена такому лицу.

Для получения информации, указанной в части первой настоящего пункта, субъект персональных данных подает оператору заявление в соответствии со статьей 14 Закона о персональных данных.

Оператор обязан в течение пяти рабочих дней после получения соответствующего заявления субъекта персональных данных, если иной срок не установлен законодательными актами, предоставить ему в доступной форме информацию, указанную в части первой пункта 1 настоящей статьи, либо уведомить его о причинах отказа в ее предоставлении.

2) требовать от Оператора уточнения его персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными.

В этих целях субъект персональных данных подает Оператору заявление в порядке, установленном статьей 14 Закона о персональных данных, с приложением соответствующих документов и (или) их заверенных в установленном порядке копий, подтверждающих необходимость внесения изменений в персональные данные.

Оператор обязан в пятнадцатидневный срок после получения заявления субъекта персональных данных внести соответствующие изменения в его персональные данные и уведомить об этом субъекта персональных данных либо уведомить субъекта персональных данных о причинах отказа во внесении таких изменений, если иной порядок внесения изменений в персональные данные не установлен законодательными актами.

3) обжаловать действия (бездействие) и решения Оператора, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц.

4) в любое время без объяснения причин отозвать свое согласие посредством подачи оператору заявления в порядке, установленном статьей 14 Закона о персональных данных, либо в форме, посредством которой получено его согласие.

Оператор обязан в пятнадцатидневный срок после получения заявления субъекта персональных данных в соответствии с его содержанием прекратить обработку персональных данных, осуществить их удаление и уведомить об этом субъекта персональных данных, если отсутствуют иные основания для таких действий с персональными данными, предусмотренные настоящим Законом и иными законодательными актами.

При отсутствии технической возможности удаления персональных данных оператор обязан принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомить об этом субъекта персональных данных в тот же срок.

5) требовать от Оператора бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных настоящим Законом и иными законодательными актами.

Для реализации указанного права субъект персональных данных подает оператору заявление в порядке, установленном статьей 14  Закона о персональных данных.

Оператор в случае, предусмотренном пунктом 1 настоящей статьи, обязан в пятнадцатидневный срок после получения заявления субъекта персональных данных прекратить обработку персональных данных, а также осуществить их удаление (обеспечить прекращение обработки персональных данных, а также их удаление уполномоченным лицом) и уведомить об этом субъекта персональных данных.

При отсутствии технической возможности удаления персональных данных оператор обязан принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомить об этом субъекта персональных данных в тот же срок.

Оператор вправе отказать субъекту персональных данных в удовлетворении требований о прекращении обработки его персональных данных и (или) их удалении при наличии оснований для обработки персональных данных, предусмотренных настоящим Законом и иными законодательными актами, в том числе если они являются необходимыми для заявленных целей их обработки, с уведомлением об этом субъекта персональных данных в пятнадцатидневный срок.

1.6. За содействием в реализации прав субъект персональных данных может также обратиться к лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных у Оператора, направив сообщение на электронный адрес:info@gurumed.by

1.7. Политика размещается на сайте Оператора https://gurumed.by в открытом доступе и вступает в силу с момента ее размещения.

1.8. Политика обязательна для ознакомления лицами, передающими Оператору персональные данные. Проставляя отметку в поле сайта Оператора «Я согласен», со ссылкой на настоящую Политику, посещая сайт, предоставляя свои персональные данные, пользователь выражает свое согласие на обработку его персональных данных на условиях, изложенных в настоящей Политике и подтверждает, что ознакомлен с настоящей Политикой и согласен с ее условиями, подтверждает, что права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия понятны.

1.9. Ответственность за нарушение требований законодательства Республики Беларусь и нормативных актов Оператором в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Республики Беларусь.

2. Цели сбора персональных данных и правовые основания
обработки персональных данных

2.1. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

2.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

2.3. Обработка Оператором персональных данных осуществляется в следующих целях:

2.3.1. Оказание медицинских услуг

Персональные данные (включая специальные):

• фамилия, имя, отчество, гражданство, дата рождения, паспортные данные или данные иного документа, удостоверяющего личность, сведения о регистрации по месту жительства, контактные данные (мобильный ил домашний телефон, электронная почта, аккаунт в мессенджере, сведения о трудовой деятельности, сведения о социальных льготах, пол, рост, вес, информация о состоянии здоровья, лечении, диагнозах

Основание:

• абз.15 ст.6 Закона о персональных данных, абз.5 п.2 ст.8 Закона о персональных данных
• согласие субъекта персональных данных при обработке персональных данных в случае формировании электронной медицинской карты пациента в информационных ресурсах, базах (банках) данных

Срок согласия — 10 лет после оказания медицинской услуги в соответствии с приказом Министерства юстиции Республики Беларусь, Департамента по архивам и делопроизводству Министерства юстиции Республики Беларусь от 01.04.2019 N 11 «Об установлении перечня документов Национального архивного фонда Республики Беларусь, образующихся в процессе деятельности государственных органов, иных организаций и индивидуальных предпринимателей по здравоохранению, физической культуре и спорту, туризму, с указанием сроков хранения»

2.3.2. Заключение и исполнение гражданско-правовых договоров

Персональные данные:

• фамилия, имя, отчество, гражданство, пол, дату рождения, паспортные данные или данные иного документа, удостоверяющего личность, сведения о регистрации по месту жительства, данные об образовании, реквизиты банковского счета, номер мобильного телефона, электронная почта

Основание:

• абз.15 ст.6 Закона о персональных данных

Срок хранения-3 года с момента окончания срока действия договора, при проведении налоговыми органами проверки соблюдения налогового законодательства, если проверка не проводилась-10 лет после окончания срока действия договора

2.3.3. Рассмотрение резюме, поданных соискателями на вакантные должности в целях заключения трудовых договоров

Персональные данные:

• фамилия, имя, отчество, гражданство, дату рождения, данные об образовании, повышении квалификации и профессиональной переподготовки, ученой степени, ученом звании, сведения о трудовой деятельности (включая стаж и опыт работы), контактные данные (мобильный телефон, электронная почта)

Основание:

• согласие на основании ст.5 Закона о персональных данных, без согласия-абз.16 ст.6 Закона о персональных данных

Срок согласия — 1 год с момента поступления резюме;

2.3.4. Обработка персональных данных в процессе трудовой деятельности

Персональные данные:

• фамилия, имя, отчество; пол; гражданство; дата и место рождения; изображение (фотография); паспортные данные; адрес регистрации по месту жительства; адрес фактического проживания; контактные данные; индивидуальный номер налогоплательщика; сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации; семейное положение, наличие детей, родственные связи; сведения о трудовой деятельности, в том числе наличие поощрений, награждений и (или) дисциплинарных взысканий; данные о регистрации брака; сведения о воинском учете; сведения об инвалидности; сведения об удержании алиментов; иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства.

Основание:

• абз.7,8, 11, 20 ст.6 Закона о персональных данных

Срок хранения- 55 лет после увольнения

2.3.5. Осуществление административных процедур

Персональные данные:

• в соответствии с перечнем административных процедур, осуществляемых государственными органами и иными организациями по заявлениям граждан, утвержденным Указом Президента Республики Беларусь от 26 апреля 2010 г. № 200

Основание:

• абз. 20 ст.6 Закона о персональных данных

Срок хранения- в зависимости от административной процедуры в соответствии с постановлением Министерства юстиции Республики Беларусь от 24 мая 2012 г. № 140 «О перечне типовых документов Национального архивного фонда Республики Беларусь»

2.3.6. Рассмотрение обращений, в том числе внесенных в книгу замечаний и предложений

Персональные данные:

• фамилия, имя, отчество, адрес места жительства/пребывания, суть обращения, иные персональные данные, указанные субъектом в обращении

Основание:

• абз.20 ст.6, абз.16 п.2. ст.8 Закона о персональных данных, п.1 ст.3 Закона Республики Беларусь от 18.07.2011 №300-З «Об обращениях граждан и юридических лиц».

Срок хранения- 5 лет с даты последнего обращения, 5 лет после окончания ведения книги замечаний и предложений.

2.3.7. Информирование о медицинских работниках, которые оказывают медицинские услуги

• фамилия, имя, отчество, сведения об образовании, квалификации, профессиональной подготовке и повышении квалификации, рабочем стаже

Основание:

• согласие субъекта персональных данных

Срок согласия-на период трудовых отношений субъекта персональных данных у Оператора.

2.3.8. Идентификация пользователя, зарегистрированного на сайте, для записи на медицинские услуги в режиме онлайн

Персональные данные:

• фамилия, имя, номер телефона

Основание:

• согласие субъекта персональных данных

Срок согласия — 3 года с момента получения согласия.

3. Основания и порядок передачи персональных данных третьим лицам, включая трансграничную передачу

3.1. Оператор не сообщает третьим лицам личную (персональную) информацию субъектов персональных данных, кроме случаев, предусмотренных законодательством и настоящей Политикой.

4. Порядок и условия обработки персональных данных

4.1. Обработка персональных данных осуществляется Оператором в соответствии с требованиями законодательства Республики Беларусь.

4.2. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового согласия в случаях, предусмотренных законодательством Республики Беларусь.

4.3. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.

4.4. Обработка персональных данных осуществляется путем:

• получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
• получения персональных данных из общедоступных источников;
• внесения персональных данных в журналы, реестры и информационные системы Оператора;
• использования иных способов обработки персональных данных.

4.5. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено законодательством. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

4.6. Передача персональных данных органам дознания и следствия, в налоговые органы, ФСЗН и другие органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Республики Беларусь.

4.7. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:

• определяет угрозы безопасности персональных данных при их обработке;
• принимает локальные правовые акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
• назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
• создает необходимые условия для работы с персональными данными;
• организует учет документов, содержащих персональные данные;
• организует работу с информационными системами, в которых обрабатываются персональные данные;
• хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
• организует обучение работников Оператора, осуществляющих обработку персональных данных.

4.8. Оператор осуществляет хранение персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством Республики Беларусь, договором.

5. Заключительные положения

5.1. Оператор имеет право в одностороннем порядке изменить и (или) дополнить условия настоящей Политики.

5.2. Новая редакция Политики вступает в силу с момента ее размещения на сайте Оператора.