Политика в отношении обработки персональных данных Сарклиник

Политика в отношении обработки персональных данных

"Утверждено"

20 мая 2025 года

Индивидуальный предприниматель

Печенников Владимир Геннадиевич

Политика обработки персональных данных

1. Общие положения

   1.1. Настоящая Политика обработки персональных данных (далее - Политика) определяет порядок и условия обработки персональных данных физических лиц индивидуальным предпринимателем Печенниковым Владимиром Геннадиевичем (далее - Оператор). Политика разработана в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных", Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», Постановлением Правительства РФ от 01.11.2012 № 1119, Приказом ФСТЭК России от 18.02.2013 № 21, а также иными иными федеральными законами, нормативными правовыми актами, регулирующими обработку персональных данных и медицинскую деятельность.

   1.2. Оператор зарегистрирован в качестве индивидуального предпринимателя и осуществляет медицинскую деятельность (частную практику).

Оператор персональных данных:

индивидуальный предприниматель Печенников Владимир Геннадиевич, основной государственный регистрационный номер индивидуального предпринимателя (огрнип) 304645428900261, идентификационный номер налогоплательщика (инн) 645400449602 . Адрес места нахождения Оператора: 410012, Россия, г. Саратов, ул. Московская, дом 152, офис 201. Юридический адрес: 410008, Россия, г. Саратов, ул. Большая Садовая, дом 56/64, квартира 89.

Адрес электронной почты Оператора: sarclinic@yandex.ru

Лицензия на осуществление медицинской деятельности:

- новый номер лицензии Л041-01020-64/00313331, дата предоставления 11.05.2017, лицензирующий орган: Федеральная служба по надзору в сфере здравоохраненияе, При оказании первичной медико-санитарной помощи организуются и выполняются работы (услуги): при оказании первичной специализированной медико-санитарной помощи в амбулаторных условиях по: рефлексотерапии, номер и дата приказа лицензирующего органа: № 6929 от 29.07.2022.

- старый номер лицензии ЛО-64-01-003781, дата предоставления 11.05.2017, лицензирующий орган: Министерство здравоохранения Саратовской области (серия ЛО-64, № 0004278)

При оказании первичной, в том числе доврачебной, врачебной и специализированной, медико-санитарной помощи организуются и выполняются следующие работы (услуги): при оказании первичной специализированной медико-санитарной помощи в амбулаторных условиях по: рефлексотерапии, номер и дата приказа лицензирующего органа: № 07-01/195 от 11.05.2017.

Номер контактного телефона Оператора: +78452407040.

   1.3. Оператор включен в реестр операторов, осуществляющих обработку персональных данных. Регистрационный номер в реестре операторов 64-25-012907. Дата регистрации уведомления 21 апреля 2025 года. Основание для включения в реестр приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций N 52 от 06 мая 2025 года.

   1.4. Настоящая Политика является публичным документом и подлежит размещению на официальном сайте Оператора в информационно-телекоммуникационной сети интернет sarclinic.ru (далее - Сайт). Неограниченный доступ к тексту Политики обеспечивается по сетевому адресу.

   1.5. Действие настоящей Политики распространяется на всех субъектов персональных данных, чьи данные обрабатываются Оператором. К таким субъектам относятся пациенты и иные лица, обратившиеся к Оператору для получения медицинских или иных услуг, а также посетители Сайта, контрагенты Оператора (физические лица), работники и бывшие работники Оператора, кандидаты на замещение вакантных должностей, иные лица в целях, предусмотренных настоящей Политикой.

   1.6. Обработка персональных данных осуществляется Оператором на законной и справедливой основе. Оператор принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.

2. Цели обработки персональных данных

   2.1. Оператор осуществляет обработку персональных субъектов в следующих целях:

   2.1.1. Оказание медицинских услуг (проведение консультаций, диагностика, лечение, профилактика заболеваний, медицинские осмотры) в соответствии с действующим законодательством и договорами, заключаемыми с субъектами персональных данных. Обработка персональных данных в указанной цели включает в себя ведение медицинской документации, учет и статистику, расчет стоимости услуг, оформление счетов и иных платежных документов.

   2.1.2. Осуществление связи с субъектом персональных данных, включая направление уведомлений, информации о записи на прием, напоминаний о визите, информации об изменениях в графике работы, направление информации о новых услугах, акциях и специальных предложениях (при наличии отдельного согласия субъекта).

   2.1.3. Обработка обращений и запросов субъектов персональных данных, поступивших через формы обратной связи на Сайте или по электронной почте.

   2.1.4. Заключение и исполнение договоров с контрагентами, стороной которых является физическое лицо.

   2.1.5. Осуществление трудовых отношений с работниками Оператора, ведение кадрового и бухгалтерского учета, соблюдение норм трудового и налогового законодательства, социальное и пенсионное страхование.

   2.1.6. Рассмотрение кандидатур на замещение вакантных должностей (проведение собеседований, анализ резюме).

   2.1.7. Обеспечение безопасности и защиты собственных законных интересов Оператора, а также обеспечение пропускного режима.

   2.1.8. Статистические и иные исследовательские цели, при условии обязательного обезличивания персональных данных.

 3. Правовые основания обработки персональных данных

   3.1. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, а именно:

   3.1.1. Конституция Российской Федерации.

   3.1.2. Гражданский кодекс Российской Федерации.

   3.1.3. Трудовой кодекс Российской Федерации.

   3.1.4. Налоговый кодекс Российской Федерации.

   3.1.5. Федеральный закон от 21 ноября 2011 года N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации".

   3.1.6. Федеральный закон от 27 июля 2006 года N 152- ФЗ "О персональных данных".

   3.1.7. Федеральный закон от 28 декабря 2013 года N 426-ФЗ "О специальной оценке условий труда".

   3.1.8. Федеральный закон от 01 апреля 1996 года N 27-ФЗ "Об индивидуальном (персонифицированном) учете в системах обязательного пенсионного страхования и обязательного социального страхования".

   3.1.9. Федеральный закон от 24 июля 1998 года N 125-ФЗ "Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний".

   3.1.10. Иные федеральные законы и подзаконные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.

   3.2. Правовым основанием обработки персональных данных также являются:

   3.2.1. Договоры, заключаемые между Оператором и субъектами персональных данных.

   3.2.2. Согласия на обработку персональных данных (в случаях, когда такое согласие требуется в соответствии с законодательством).

   3.2.3. Уставные документы и локальные акты Оператора.

4. Объем и категории обрабатываемых персональных данных

   4.1. Состав и объем обрабатываемых персональных данных определяется целями обработки, указанными в разделе 2 настоящей Политики.

   4.2. Оператор может обрабатывать следующие категории персональных данных:

   4.2.1. Общие персональные данные: фамилия, имя, отчество (при наличии), дата и место рождения, пол, адрес места жительства (регистрации), контактный телефон, адрес электронной почты, паспортные данные (серия, номер, дата выдачи, наименование органа, выдавшего паспорт), страховой номер индивидуального лицевого счета (снилс), идентификационный номер налогоплательщика (инн), семейное положение, социальное положение, образование, профессия, стаж работы.

   4.2.2. Специальные категории персональных данных: данные о состоянии здоровья (диагноз, анамнез, результаты обследований, жалобы и иные сведения, необходимые для оказания медицинской помощи), биометрические персональные данные (фотографии, рост, вес, группа крови).

   4.2.3. Иные персональные данные: сведения о воинском учете, сведения о доходах, сведения о наличии судимости (в случаях, предусмотренных законодательством), данные, содержащиеся в резюме кандидатов на вакантные должности, файлы cookie и иная техническая информация, автоматически передаваемая Оператору при посещении Сайта (в том числе ip-адрес, информация о браузере, типе устройства, времени доступа, адресе запрашиваемой страницы).

   4.3. Оператор не осуществляет обработку персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, прямо предусмотренных законодательством.

   4.4. Обработка специальных категорий персональных данных (о состоянии здоровья) допускается в случаях, если она необходима для оказания медицинской помощи и осуществляется в соответствии с законодательством об охране здоровья граждан.

5. Порядок и условия обработки персональных данных

   5.1. Обработка персональных данных осуществляется Оператором с использованием средств автоматизации (в том числе в информационных системах персональных данных) и без использования таких средств (на бумажных носителях).

   5.2. Обработка персональных данных включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение персональных данных.

   5.3. Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к ним неуполномоченных лиц.

   5.4. К обработке персональных данных допускаются только лица, уполномоченные Оператором, для которых указанные данные необходимы в связи с исполнением должностных (трудовых) обязанностей. Указанные лица обязаны соблюдать конфиденциальность персональных данных и обеспечивать их безопасность.

   5.5. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения не установлен федеральным законом или договором.

   5.6. Оператор вправе поручить обработку персональных данных третьим лицам (медицинским информационным системам, хостинг-провайдерам, организациям, осуществляющим ведение бухгалтерского учета, страховым медицинским организациям, лабораториям и другим) с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. В договоре с таким лицом обязательно закрепляется обязанность соблюдать конфиденциальность персональных данных и обеспечивать их безопасность.

   5.7. Передача (распространение, предоставление) персональных данных третьим лицам без согласия субъекта персональных данных допускается в случаях, предусмотренных федеральным законом (например, по запросу суда, правоохранительных органов, в целях предупреждения угрозы жизни и здоровью).

   5.8. В случаях, установленных законодательством, Оператор обязан передавать персональные данные в государственные органы (Фонд пенсионного и социального страхования Российской Федерации, Федеральную налоговую службу, военкоматы и иные).

   5.9. Оператор не осуществляет трансграничную передачу персональных данных на территории иностранных государств.

   5.10. Особенности обработки медицинских данных (врачебная тайна):

Сведения о факте обращения гражданина за медицинской помощью, состоянии его здоровья, диагнозе и иные сведения, полученные при его обследовании и лечении, составляют врачебную тайну.

Оператор обязан соблюдать врачебную тайну и обеспечивать ее защиту в соответствии со ст. 13 Федерального закона № 323-ФЗ.

Предоставление сведений, составляющих врачебную тайну, без согласия гражданина допускается только в случаях, прямо предусмотренных законом (по запросу органов дознания и следствия, суда, в целях информирования органов внутренних дел и т.д.).

   5.11. Сроки обработки и хранения:

Персональные данные пациентов, зафиксированные на бумажных носителях (медицинские карты), хранятся в соответствии с Приказом Минздрава СССР и правилами организации государственного архивного дела (как правило, 25 лет и более).

Персональные данные работников хранятся в течение срока действия трудового договора и 75 лет после увольнения (для передачи в архив).

Обработка персональных данных прекращается по достижении целей обработки, по истечении срока действия согласия, либо в случае отзыва согласия субъектом.

   5.12. Конфиденциальность: Оператор и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта, если иное не предусмотрено федеральным законом.

 6. Права субъектов персональных данных

   6.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

   6.1.1. Подтверждение факта обработки персональных данных Оператором.

   6.1.2. Правовые основания и цели обработки персональных данных.

   6.1.3. Цели и применяемые Оператором способы обработки персональных данных.

   6.1.4. Наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона.

   6.1.5. Обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом.

   6.1.6. Сроки обработки персональных данных, в том числе сроки их хранения.

   6.1.7. Порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом "О персональных данных".

   6.1.8. Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу.

   6.1.9. Иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

   6.2. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

   6.3. Субъект персональных данных вправе отозвать свое согласие на обработку персональных данных в любое время. Отзыв согласия осуществляется путем направления письменного заявления Оператору. В случае отзыва согласия Оператор вправе продолжить обработку персональных данных без согласия субъекта при наличии оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона "О персональных данных".

   6.4. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований законодательства или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций) или в судебном порядке.

7. Ответственность Оператора

   7.1. Оператор несет ответственность за нарушение требований законодательства Российской Федерации в области персональных данных в соответствии с законодательством Российской Федерации.

   7.2. За вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, Оператор несет ответственность, предусмотренную законодательством Российской Федерации.

8. Обязанность Оператора

8.1. В соответствии с требованиями ст. 18.1 Федерального закона № 152-ФЗ Оператор обязан:

Назначать ответственного за организацию обработки персональных данных. (Примечание: для ИП, не имеющего штата сотрудников, ответственным за организацию обработки ПДн является сам Индивидуальный предприниматель Печенников В.Г.)

Издавать локальные акты по вопросам обработки персональных данных (настоящая Политика, Инструкция пользователя, Акт о классификации ИСПДн).

Применять правовые, организационные и технические меры по обеспечению безопасности персональных данных.

Осуществлять внутренний контроль соответствия обработки персональных данных требованиям 152-ФЗ.

Ознакамливать работников Оператора с положениями законодательства о персональных данных и с настоящей Политикой.

Прекращать обработку и уничтожать персональные данные в случае достижения цели обработки или отзыва согласия.

9. Меры по обеспечению безопасности персональных данных

9.1. Оператором приняты необходимые и достаточные меры для обеспечения выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения таких обязанностей.

9.2. Оператором, в частности, реализованы следующие меры:

Назначено лицо, ответственное за организацию обработки персональных данных.

Изданы документы, определяющие политику Оператора в отношении обработки персональных данных (включая настоящее Положение).

Применяются средства защиты информации (антивирусное программное обеспечение, межсетевые экраны, парольная защита) в информационных системах.

Осуществляется учет машинных носителей персональных данных (при их наличии).

Произведена классификация информационной системы персональных данных (ИСПДн) в соответствии с требованиями Приказа ФСТЭК № 55.

Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним, обеспечивается путем резервного копирования.

Доступ в помещения, где осуществляется обработка персональных данных (медицинский кабинет, место хранения картотеки), ограничен для посторонних лиц.

Медицинская документация (карты, истории болезни) хранятся в запираемых шкафах (сейфах) в условиях, исключающих доступ посторонних.

9.3. Оператор при обработке персональных данных в ИСПДн обеспечивает 3 уровень защищенности (УЗ-3) в соответствии с Постановлением Правительства № 1119, так как обрабатываются специальные категории (состояние здоровья).

10. Закключителньые положения

10.1. Настоящая Политика вступает в силу с момента ее утверждения Индивидуальным предпринимателем Печенниковым В. Г. и действует бессрочно до замены новой Политикой.

10.2. Оператор имеет право вносить изменения в настоящую Политику. Новая редакция Политики вступает в силу с момента ее размещения на Сайте Оператора, если иное не предусмотрено новой редакцией Политики.

10.3. Контроль за исполнением требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных - Индивидуальным предпринимателем Печенниковым В.Г.

10.4. Все вопросы, не урегулированные настоящей Политикой, разрешаются в соответствии с законодательством Российской Федерации в области персональных данных.

10.5. Настоящая Политика является локальным нормативным актом Оператора.

10.6. Субъект персональных данных может получить разъяснения по вопросам обработки своих персональных данных, направив письменный запрос Оператору по адресу его места нахождения или по электронной почте. Запрос должен содержать сведения, позволяющие идентифицировать субъекта персональных данных.

Приложение № 1

к Политике в отношении обработки

персональных данных

ИП Печенникова В.Г.

Утверждено Приказом № 1-ПД

от "25" мая 2025 г.

ПЕРЕЧЕНЬ ДОЛЖНОСТЕЙ И ЛИЦ, ДОПУЩЕННЫХ К ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Индивидуального предпринимателя Печенникова Владимира Геннадиевича

(ИНН: 645400449602)

г. Саратов

"25" мая 2025 г.

1. Общие положения

1.1. Настоящий Перечень разработан в соответствии с Конституцией РФ, Трудовым кодексом РФ, Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", Постановлением Правительства РФ от 15.09.2008 № 687 и иными нормативными правовыми актами, регулирующими вопросы обработки и защиты персональных данных.

1.2. Перечень определяет категории лиц, которым предоставлено право доступа к персональным данным для выполнения служебных (трудовых) обязанностей или обязательств по договору.

1.3. В связи с отсутствием у Индивидуального предпринимателя штатных сотрудников (работников по трудовому договору) настоящий Перечень включает самого Индивидуального предпринимателя как лицо, непосредственно осуществляющее обработку персональных данных, а также лиц, которые могут привлекаться к выполнению работ на основании гражданско-правовых договоров.

2. Состав лиц, допущенных к обработке персональных данных

2.1. Индивидуальный предприниматель Печенников Владимир Геннадиевич (Оператор)

Индивидуальный предприниматель является лицом, самостоятельно осуществляющим обработку персональных данных пациентов (клиентов) в полном объеме.

Основанием для допуска является государственная регистрация в качестве Индивидуального предпринимателя (ОГРНИП).

Индивидуальный предприниматель имеет доступ ко всем категориям персональных данных, обрабатываемым в ходе осуществления медицинской деятельности, в следующих целях:

оказание медицинских услуг (включая ведение медицинской документации, постановку диагноза, назначение и контроль лечения);

ведение бухгалтерского и налогового учета (формирование первичной документации, выдача чеков, подготовка отчетности) самостоятельно, без привлечения сторонних лиц;

осуществление связи с пациентами (подтверждение записи на прием, напоминание о визите, информирование о результатах обследований);

выполнение иных обязательных требований законодательства РФ.

На Индивидуального предпринимателя возлагается обязанность по соблюдению конфиденциальности персональных данных, включая соблюдение врачебной тайны в соответствии с Федеральным законом № 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации" и Федеральным законом № 152-ФЗ "О персональных данных".

2.2. Лица, привлекаемые по гражданско-правовым договорам

В случае привлечения Индивидуальным предпринимателем третьих лиц для выполнения работ или оказания услуг на основании гражданско-правовых договоров (далее - лица по ГПД), такие лица могут быть допущены к обработке персональных данных исключительно в объеме, необходимом для исполнения обязательств по соответствующему договору.

Основанием для допуска является заключенный договор оказания услуг (выполнения работ), содержащий условие о неразглашении персональных данных и обеспечении их конфиденциальности, либо отдельное Соглашение о конфиденциальности (NDA), подписанное сторонами.

Категории таких лиц и объем их доступа определяются отдельно при заключении каждого договора. К таким лицам могут относиться:

лица, осуществляющие техническую поддержку информационных систем и обеспечение работоспособности сайта (доступ к техническим данным, логинам, паролям, IP-адресам в рамках обеспечения функционирования сервисов);

лица, осуществляющие уборку помещений (доступ в помещения, где хранятся документы, содержащие персональные данные, без права ознакомления с содержанием таких документов);

иные лица, привлечение которых необходимо для обеспечения деятельности Индивидуального предпринимателя.

На момент утверждения настоящего Перечня (февраль 2026 года) лица по гражданско-правовым договорам к обработке персональных данных не привлекаются. Включение в Перечень лиц по ГПД осуществляется путем внесения соответствующих изменений или дополнений к настоящему Перечню по мере необходимости.

3. Условия и порядок доступа

3.1. Индивидуальный предприниматель (Оператор) имеет право доступа ко всем персональным данным, обрабатываемым в его деятельности, без дополнительных разрешений, на постоянной основе.

3.2. Доступ лиц, привлекаемых по гражданско-правовым договорам, к персональным данным допускается только при наличии подписанного договора (соглашения о конфиденциальности) и исключительно в объеме, необходимом для выполнения ими конкретных функций, определенных договором. Передача таким лицам персональных данных осуществляется на основании письменного поручения Оператора.

3.3. Лица, не включенные в настоящий Перечень (в том числе члены семьи, знакомые, иные неуполномоченные лица), к обработке персональных данных не допускаются.

3.4. Обработка персональных данных в личных целях, не связанных с профессиональной деятельностью Индивидуального предпринимателя, запрещена.

4. Ответственность

4.1. Индивидуальный предприниматель, а также все лица, привлекаемые по гражданско-правовым договорам и включенные в настоящий Перечень, предупреждены о возможной дисциплинарной, административной, гражданско-правовой и уголовной ответственности за нарушение норм, регулирующих обработку и защиту персональных данных, а также за разглашение информации ограниченного доступа (врачебной тайны).

4.2. Контроль за соблюдением порядка обработки персональных данных и требований к их защите осуществляется непосредственно Индивидуальным предпринимателем.

Индивидуальный предприниматель

_______________ / Печенников В.Г.

(подпись)

С перечнем ознакомлены (в случаях привлечения лиц по гражданско-правовым договорам):

Дата ознакомления Должность (статус) лица ФИО (наименование организации) Подпись

«»______ 20__г.   

«»______ 20__г.

Приложение № 2

к Политике в отношении обработки

персональных данных

ИП Печенникова В.Г.

Утверждено Приказом № 1-ПД

от «25» мая 2025 г.

ОБЯЗАТЕЛЬСТВО

о неразглашении персональных данных и врачебной тайны

г. Саратов

«_____» __________ 20____ г.

Я, __________________________________________________________________________,

(фамилия, имя, отчество полностью)

паспорт: серия ______ номер _, выдан «» ____ г.

_____________________________________________________________________________,

(кем выдан)

зарегистрированный(ая) по адресу: _____________________________________________,

_____________________________________________________________________________,

действующий(ая) от своего имени / от имени _____________________________________

(ненужное зачеркнуть) (наименование юрлица или статус)

в связи с исполнением своих трудовых функций (оказанием услуг, выполнением работ) у Индивидуального предпринимателя Печенникова Владимира Геннадиевича (далее – Оператор), до начала осуществления действий, связанных с доступом к информации, составляющей врачебную тайну и (или) содержащей персональные данные,

ОЗНАКОМЛЕН(А):

1. С положениями Конституции Российской Федерации, Трудового кодекса РФ, Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", Федерального закона от 21.11.2011 № 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации", Постановления Правительства РФ № 687, а также с локальными актами Оператора, регламентирующими обработку и защиту персональных данных и соблюдение врачебной тайны.

2. С тем, что врачебная тайна - это информация о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, разглашение которой запрещено законом.

3. С тем, что персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (пациенту), включая его фамилию, имя, отчество, год, месяц, дату и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессию, доходы, состояние здоровья, а также иную информацию, необходимую Оператору для осуществления медицинской и иной деятельности.

ПРИНИМАЮ НА СЕБЯ СЛЕДУЮЩИЕ ОБЯЗАТЕЛЬСТВА:

1. Не разглашать третьим лицам и не распространять персональные данные пациентов (клиентов) Оператора, ставшие мне известными в связи с исполнением моих обязанностей (оказанием услуг), включая информацию, составляющую врачебную тайну.

2. Соблюдать требования конфиденциальности: не копировать, не выносить, не передавать посторонним лицам носители информации (документы, электронные файлы, логины, пароли), содержащие персональные данные, без письменного разрешения Оператора.

3. Использовать персональные данные исключительно для выполнения конкретных служебных (профессиональных) задач, определенных Оператором, и не использовать их в личных целях или целях, не совместимых с задачами Оператора.

4. При обработке персональных данных с использованием средств автоматизации (компьютерной техники) соблюдать правила парольной защиты, не сообщать свои учетные данные (логин и пароль) иным лицам, блокировать рабочую станцию при временном отсутствии на рабочем месте.

5. При обработке персональных данных без использования средств автоматизации (на бумажных носителях) обеспечивать их хранение в местах, недоступных для посторонних (запираемые шкафы, сейфы), и исключать возможность ознакомления с ними третьих лиц.

6. Немедленно сообщать Оператору (лично ИП Печенникову В.Г.) о фактах утраты документов, содержащих персональные данные, или о нарушениях, которые могут привести к разглашению врачебной тайны и персональных данных, а также обо всех попытках посторонних лиц получить доступ к охраняемой информации.

7. В случае прекращения трудовых отношений (или окончания срока действия гражданско-правового договора) передать Оператору все имеющиеся у меня документы, черновики, электронные файлы и иные носители, содержащие персональные данные, и не сохранять их копии.

ПРЕДУПРЕЖДЕН(А):

1. Я предупрежден(а) о том, что за разглашение персональных данных и врачебной тайны, а также за иные нарушения требований конфиденциальности, я могу быть привлечен(а) к дисциплинарной, материальной, гражданско-правовой, административной или уголовной ответственности в соответствии с законодательством Российской Федерации.

Мне известно, что:

Статья 13.14 КоАП РФ предусматривает административный штраф за разглашение информации с ограниченным доступом (для граждан до 1000 рублей, для должностных лиц до 5000 рублей).

Статья 137 УК РФ предусматривает уголовную ответственность за нарушение неприкосновенности частной жизни (штраф до 200 000 рублей, либо обязательные работы, либо лишение свободы).

Статья 13.11 КоАП РФ предусматривает ответственность за нарушение законодательства о персональных данных (штрафы до 100 000 рублей).

Гражданский кодекс РФ предусматривает обязанность возместить причиненный моральный вред.

2. Настоящее Обязательство вступает в силу с момента его подписания и действует в течение всего периода моей работы (оказания услуг) у Оператора, а также в течение неограниченного срока после их окончания (прекращения договора) в отношении информации, составляющей врачебную тайну, срок давности по разглашению которой законодательством не установлен.

Подпись лица, дающего обязательство:

____________________ / ___________________________

(подпись) (расшифровка подписи)

Обязательство принял:

Индивидуальный предприниматель

Печенников Владимир Геннадиевич

____________________ / В.Г. Печенников

(подпись)

Приложение № 3

к Политике в отношении обработки

персональных данных

ИП Печенникова В.Г.

Утверждено Приказом № 1-ПД

от «25» мая 2025 г.

ЖУРНАЛ УЧЕТА ОБРАЩЕНИЙ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ (И ИХ ПРЕДСТАВИТЕЛЕЙ)

Индивидуального предпринимателя Печенникова Владимира Геннадиевича

(ИНН: 645400449602)

Начат: «25» мая 2025 г.

Окончен: «» __________ 20 г.

1. Общие положения

1.1. Настоящий Журнал предназначен для регистрации фактов поступления обращений (запросов) субъектов персональных данных (пациентов, клиентов, иных лиц) либо их представителей, связанных с реализацией их прав в области обработки персональных данных, а также для фиксации результатов рассмотрения таких обращений.

1.2. Журнал ведется в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" и иных нормативных правовых актов, регулирующих порядок обработки и защиты персональных данных.

1.3. Ответственным за ведение Журнала, а также за своевременное и правильное внесение записей является Индивидуальный предприниматель Печенников Владимир Геннадиевич (Оператор).

1.4. Журнал может вестись на бумажном носителе (прошитый, пронумерованный и скрепленный печатью (при наличии) и подписью Оператора) или в электронном виде с обеспечением защиты от несанкционированного доступа и внесения изменений.

2. Правила ведения Журнала

2.1. Записи в Журнал вносятся при поступлении любого письменного (в том числе электронного) или зафиксированного устного обращения, связанного с:

требованием подтвердить факт обработки персональных данных;

запросом о предоставлении информации, касающейся обработки персональных данных (ст. 14 ФЗ-152);

требованием уточнить (обновить, изменить) персональные данные;

требованием прекратить обработку персональных данных или удалить их;

отзывом согласия на обработку персональных данных;

жалобой на действия Оператора, связанные с обработкой персональных данных;

запросом уполномоченных органов (в рамках их полномочий).

2.2. В случае поступления обращения в устном порядке (по телефону или при личной встрече), если оно не оформлено письменно, субъекту рекомендуется направить письменный запрос. Если субъект настаивает на устном обращении, Оператор фиксирует суть обращения в Журнале с пометкой "устно".

2.3. Каждому обращению присваивается уникальный порядковый номер в хронологическом порядке.

2.4. Записи производятся разборчиво, синими или черными чернилами. Исправления заверяются подписью Оператора.

3. Форма записи (содержание Журнала)

Каждая запись об обращении включает в себя следующие сведения:

Запись № _____ от «» __________ 20 г.

Сведения о субъекте (заявителе):

Фамилия, имя, отчество (при наличии) субъекта персональных данных либо его представителя (с указанием реквизитов доверенности, если применимо).

Контактные данные для направления ответа (почтовый адрес, адрес электронной почты, телефон – по желанию заявителя или для связи).

Способ поступления обращения:

(нужное указать)

письменный запрос на бумажном носителе (вручен лично / получен по почте);

запрос в форме электронного документа (по электронной почте / через форму на сайте);

устное обращение (на личном приеме / по телефону) с краткой фиксацией причины перехода на устную форму.

Суть обращения (краткое содержание):

(например: "Запрос о предоставлении информации, касающейся обработки персональных данных, а именно: с какой целью обрабатываются, какие категории данных, кому передавались"; "Требование удалить все персональные данные и прекратить их обработку в связи с отзывом согласия"; "Просьба уточнить (исправить) неверные данные в медицинской карте" и т.п.)

Дата регистрации обращения в Журнале: «  » __________ 20 г.

Результат рассмотрения и принятое решение:

(например: "Подготовлен и направлен письменный ответ с запрашиваемой информацией (исх. № ... от ...)"; "Данные уточнены (удалены, обработка прекращена) – внесены изменения в информационную систему/медицинскую карту"; "В удовлетворении требования отказано по причине ... (например, наличие неустранимых обязательств по хранению документов строгой отчетности)"; "Запрос перенаправлен в уполномоченный орган" и т.п.)

Дата направления ответа заявителю (совершения действий):

« » __________ 20 г.

Примечание (особые отметки, продление срока рассмотрения и т.п.):

Подпись лица, внесшего запись: ___________________ / В.Г. Печенников

4. Заключительные положения

4.1. Срок хранения настоящего Журнала - не менее 3 (трех) лет с момента внесения последней записи. После истечения срока хранения Журнал подлежит уничтожению (утилизации) в порядке, установленном локальными актами Оператора для уничтожения документов, содержащих персональные данные (или информацию о них).

4.2. Контроль за ведением Журнала осуществляет Индивидуальный предприниматель Печенников В.Г.

Индивидуальный предприниматель

___________________ / Печенников В.Г.

(подпись)

Лист ознакомления с правилами ведения Журнала

(заполняется в случае, если ведение Журнала будет поручено иному лицу по договору)

Дата Должность (статус) лица ФИО лица Подпись

«»______ 20__г.   

«»______ 20__г.  

Приложение № 4

к Политике в отношении обработки

персональных данных

ИП Печенникова В.Г.

Утверждено Приказом № 1-ПД

от «25» мая 2025 г.

АКТ ОБ УНИЧТОЖЕНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ № ____

г. Саратов

«_____» __________ 20____ г.

Основание составления акта:

(указывается основание: истечение срока обработки, достижение цели обработки,

отзыв согласия субъектом, требование контролирующего органа, иное)

1. Состав комиссии

Комиссия в составе:

Председатель комиссии: Индивидуальный предприниматель Печенников Владимир Геннадиевич.

Члены комиссии: Индивидуальный предприниматель Печенников Владимир Геннадиевич.

Секретарь комиссии: Индивидуальный предприниматель Печенников Владимир Геннадиевич.

(В связи с отсутствием у Оператора иных работников (сотрудников) функции комиссии возложены на Оператора единолично в соответствии с Приказом № 1-ПД от 25.05.2025)

Комиссия назначена для подтверждения факта уничтожения персональных данных, обрабатываемых Оператором.

2. Сведения о персональных данных, подлежащих уничтожению

Комиссия провела проверку и установила, что следующие персональные данные подлежат уничтожению:

2.1. Категория субъектов: пациенты (клиенты) Индивидуального предпринимателя Печенникова В. Г.

2.2. Перечень уничтожаемых персональных данных:

фамилия, имя, отчество;

дата и место рождения;

адрес регистрации и фактического проживания;

контактные телефоны, адреса электронной почты;

данные документа, удостоверяющего личность;

сведения о состоянии здоровья (включая диагнозы, результаты обследований, назначения);

иные сведения, содержащиеся в документах (указать конкретный вид документов).

2.3. Конкретный состав уничтожаемых данных (заполняется при фактическом уничтожении)

(перечисляются конкретные лица, даты, номера документов, например:

Медицинская карта пациента Иванова И.И. (амбулаторная карта № 12 за 2020 г.);

Копия паспорта и СНИЛС Петрова П.П. (поступившие 10.01.2024);

Электронные записи в базе данных за период 2019-2020 гг. по 10 пациентам;

· и т.д.

2.4. Количество уничтожаемых документов (носителей):

На бумажном носителе: ______ (____________) листов / документов.

На электронном носителе: ______ (____________) файлов / записей.

2.5. Причина уничтожения:

истечение установленного срока хранения (нормативный акт: ____________);

достижение цели обработки (оказание медицинской помощи завершено, претензий нет);

отзыв согласия на обработку персональных данных субъектом (заявление от ____________);

требование субъекта о прекращении обработки и уничтожении данных;

иное: ____________________________________________________________.

3. Способ и порядок уничтожения

Уничтожение персональных данных произведено следующим способом (нужное подчеркнуть или дополнить):

Для бумажных носителей: измельчение с помощью шредера (уничтожителя бумаг) / сжигание / механическое разрушение (разрыв, разрезание на части, исключающие прочтение и восстановление).

Для электронных носителей (файлы на жестком диске, флеш-накопителе): удаление с безвозвратным затиранием (стиранием) методом перезаписи / форматирование с последующей записью посторонней информации / физическое разрушение носителя (если носитель выводится из эксплуатации).

Для информации в информационных системах: удаление записей из базы данных с подтверждением невозможности восстановления стандартными программными средствами.

Использованное оборудование/метод: ____________________________________

4. Заключение комиссии

Комиссия, рассмотрев представленные документы и проверив факт уничтожения, установила:

4.1. Персональные данные, перечисленные в п. 2 настоящего Акта, уничтожены полностью и безвозвратно.

4.2. Восстановление уничтоженных персональных данных с использованием имеющихся программно-технических средств и технологий невозможно.

4.3. Права субъектов персональных данных при уничтожении не нарушены.

5. Подписи членов комиссии

Председатель комиссии:

____________________ / В.Г. Печенников

(подпись)

Члены комиссии:

____________________ / В.Г. Печенников

(подпись)

Секретарь комиссии:

____________________ / В.Г. Печенников

(подпись)

6. Отметка о направлении уведомления (при необходимости)

Уведомление об уничтожении персональных данных направлено субъекту (дата, исх. №): _________________________________________________________

Уведомление об уничтожении персональных данных направлено в уполномоченный орган (Роскомнадзор) (дата, исх. №): ___________________________________

(Заполняется только в случаях, предусмотренных ч. 4.1 ст. 21 ФЗ-152: если уничтожение происходит по требованию субъекта или в связи с выявлением неправомерной обработки)

Приложение № 5

к Политике в отношении обработки

персональных данных

ИП Печенникова В.Г.

Утверждено Приказом № 2-ПД

от «12» января 2026 г.

ПЕРЕЧЕНЬ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ

Индивидуального предпринимателя Печенникова Владимира Геннадиевича

(ИНН: 645400449602)

г. Саратов

«12» января 2026 г.

1. Общие положения

1.1. Настоящий Перечень разработан в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Постановлением Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", Приказом ФСТЭК России от 18.02.2013 № 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (с актуальными изменениями).

1.2. Перечень определяет состав информационных систем, используемых Индивидуальным предпринимателем (далее - Оператор) для обработки персональных данных пациентов (клиентов), а также их основные характеристики.

1.3. Ведение Перечня осуществляется Оператором самостоятельно. Актуализация Перечня производится по мере ввода в эксплуатацию новых информационных систем или изменения характеристик существующих.

2. Сведения об ответственных лицах

В связи с отсутствием у Оператора наемных работников, ответственность за эксплуатацию информационных систем, обеспечение безопасности персональных данных, а также за ведение настоящего Перечня возложена на Индивидуального предпринимателя Печенникова Владимира Геннадиевича единолично.

3. Перечень информационных систем персональных данных

3.1. Информационная система "Медицинская картотека (бумажный архив)"

Назначение системы:

Система предназначена для сбора, учета, хранения и обработки персональных данных пациентов на бумажных носителях. Используется для ведения первичной медицинской документации (амбулаторные карты, результаты анализов, информированные добровольные согласия, договоры на оказание платных медицинских услуг).

Категории обрабатываемых персональных данных:

фамилия, имя, отчество;

дата и место рождения;

паспортные данные (серия, номер, кем и когда выдан);

адрес регистрации и фактического проживания;

контактные телефоны;

сведения о состоянии здоровья (диагнозы, анамнез, назначения, результаты обследований);

сведения о страховом полисе (при наличии);

данные об оплате медицинских услуг.

Категории субъектов:

Пациенты (физические лица), обратившиеся за медицинской помощью.

Способ обработки:

Неавтоматизированная (без использования средств вычислительной техники). Внесение записей осуществляется рукописным способом.

Место хранения (локализация):

Металлический шкаф (сейф), расположенный в кабинете по адресу:.г. Саратов, ул. Московская, д. 152. Доступ к шкафу имеет только Оператор.

Класс защищенности:

Не присваивается (обработка без использования средств автоматизации регулируется Постановлением Правительства РФ № 687).

Применяемые меры защиты:

хранение в запираемом шкафу;

исключение доступа посторонних лиц;

маркировка носителей, исключающая путаницу.

3.2. Информационная система "Электронный учет пациентов (на базе персонального компьютера)"

Назначение системы:

Автоматизированная система для ведения расписания приема, учета оказанных услуг, формирования первичных бухгалтерских документов (чеки, квитанции), а также для хранения контактных данных пациентов в электронном виде (дублирование или вспомогательный учет).

Используемое программное обеспечение:

Операционная система персонального компьютера (Windows);

Офисное программное обеспечение (Microsoft Excel, Word) для ведения списков пациентов и учета;

Специализированное медицинское программное обеспечение (программа учета пациентов ИП Печенникова В. Г.);

Бухгалтерская программа: отсутствуе.

Категории обрабатываемых персональных данных:

фамилия, имя, отчество;

контактный телефон;

дата обращения, оказанные услуги;

сумма оплаты;

краткие заметки о состоянии здоровья (только с согласия пациента).

Категории субъектов:

Пациенты.

Способ обработки:

Автоматизированный с использованием средств вычислительной техники.

Место хранения (локализация):

Локальный жесткий диск персонального компьютера (ноутбук), находящегося по адресу: 410012, Россия, г. Саратов, ул. Московская, д. 152.

Внешние носители (флеш-накопители), используемые для резервного копирования (хранятся в сейфе).

Класс защищенности:

Определяется в соответствии с Постановлением Правительства РФ № 1119. Для данной системы (обработка специальных категорий персональных данных о состоянии здоровья, но при количестве субъектов менее 100 000) устанавливается 3 класс защищенности (ИСПДн-3).

Применяемые меры защиты:

использование пароля для входа в операционную систему;

регулярное обновление антивирусного программного обеспечения;

ограничение физического доступа к компьютеру (помещение закрывается на ключ);

создание резервных копий на внешнем носителе, хранящемся отдельно.

3.3. Информационная система "Облачное хранилище (резервное копирование и обмен)" в данный момент не применяется и не используется.

Назначение системы:

Создание резервных копий электронных документов, содержащих персональные данные, для предотвращения их утраты. Используется исключительно при условии применения средств шифрования (защиты) и заключения соглашения с провайдером о конфиденциальности.

Наименование сервиса:

Яндекс.Диск.

Категории обрабатываемых данных:

Зашифрованные (обезличенные) копии файлов, содержащих персональные данные. Доступ к содержимому без ключа шифрования невозможен.

Способ обработки:

Автоматизированный с передачей данных по каналам связи.

Место хранения (локализация):

Серверы провайдера облачных услуг (локализации серверов для медицинских данных у провайдеров, обеспечивающих хранение на территории РФ).

Применяемые меры защиты:

шифрование файлов перед выгрузкой (с использованием архиваторов с паролем или специализированных программ);

использование сложных паролей и двухфакторной аутентификации для доступа к облачному аккаунту.

3.4. Информационная система "Электронная почта и мессенджеры"

Назначение системы:

Коммуникация с пациентами (запись на прием, направление результатов исследований (по согласованию), консультирование).

Используемые средства:

Адрес электронной почты:  sarclinic@yandex.ru;

Мессенджер Max с предупреждением пациентов о рисках передачи данных через открытые каналы связи: в данный момент не применяется и не используется.

Категории обрабатываемых данных:

ФИО, контактные данные, тексты обращений, фотографии документов/результатов анализов (с согласия пациента).

Способ обработки:

Автоматизированный с передачей по открытым каналам связи (в данный момент не применяется и не используется) или по защищенным при использовании шифрования (в данный момент не применяется и не используется). 

Применяемые меры защиты:

получение согласия пациента на коммуникацию по открытым каналам - передача данных по открытым каналам связи не применяется и не используется;

недопущение передачи избыточных данных (паспортных данных, СНИЛС) в мессенджерах;

использование антивируса на устройствах, с которых осуществляется доступ к почте.

3.5. Информационная система "Телефонная книга мобильного устройства"

Назначение системы:

Хранение контактных телефонов пациентов для оперативной связи.

Категории обрабатываемых данных:

ФИО, номер телефона.

Способ обработки:

Автоматизированный (в памяти мобильного телефона/смартфона).

Применяемые меры защиты:

установка пароля (PIN-кода, графического ключа) на разблокировку устройства;

использование шифрования памяти устройства (при наличии такой функции).

4. Сведения о мерах обеспечения безопасности

4.1. В отношении информационных систем, указанных в разделе 3 настоящего Перечня, Оператором реализуются следующие организационные и технические меры защиты персональных данных:

назначение лица (Оператора), ответственного за обеспечение безопасности персональных данных в информационных системах;

ограничение состава лиц, имеющих доступ к информационным системам (доступ имеет только сам ИП);

применение антивирусных средств защиты;

применение средств резервного копирования;

учет и хранение машинных носителей;

обеспечение физической охраны помещений, где размещены информационные системы (закрытие дверей, наличие замков).

4.2. Уровень защищенности персональных данных при их обработке в информационных системах соответствует требованиям, установленным Правительством РФ для систем 3 класса (ИСПДн-3).

5. Заключительные положения

5.1. Настоящий Перечень подлежит актуализации по мере изменения состава используемых информационных систем, внедрения новых программных и аппаратных средств, изменения законодательства РФ.

5.2. Контроль за соблюдением требований к защите персональных данных в информационных системах осуществляет Индивидуальный предприниматель Печенников Владимир Геннадиевич.

5.3. Настоящий Перечень хранится постоянно у Оператора. Копии Перечня могут предоставляться уполномоченным органам (Роскомнадзор, прокуратура) по их требованию в рамках контрольных мероприятий.

Индивидуальный предприниматель

___________________ / В. Г. Печенников

(подпись)

С Перечнем ознакомлен (в случае привлечения лиц по ГПД):

Дата Должность (статус) лица ФИО лица Подпись

«»______ 20__г.   

«»______ 20__г.  

Приложение № 6

к Политике в отношении обработки персональных данных

ИП Печенникова В.Г.

Утверждено Приказом N 1-ПД

от «25» мая 2025 г.

МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

г. Саратов

"25" мая 2025 г. 

1. Общие положения

1.1. Настоящий документ определяет актуальные угрозы безопасности персональных данных (далее – ПДн), обрабатываемых в информационной системе персональных данных (далее – ИСПДн) Индивидуального предпринимателя Печенникова Владимира Геннадиевича (ИНН 645400449602) (далее – Оператор).

1.2. Документ разработан в соответствии с требованиями:

Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;

Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

Приказа ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК России, 2021);

Банка данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru).

1.3. Назначение ИСПДн: Автоматизация деятельности врача частной практики (учет пациентов, ведение медицинской документации, формирование отчетности).

1.4. Правовое основание обработки ПДн: Оказание медицинских услуг на основании договоров (согласий) с субъектами ПДн, а также требования законодательства в сфере здравоохранения (ведение первичной медицинской документации).

2. Краткая характеристика информационной системы

2.1. Категория обрабатываемых персональных данных:

Специальные категории ПДн: Состояние здоровья, обращение за медицинской помощью, диагнозы (в соответствии с медицинской документацией).

Иные категории ПДн: Фамилия, имя, отчество, дата рождения, адрес регистрации/проживания, контактные телефоны, адрес электронной почты, паспортные данные, данные полиса ОМС/ДМС, СНИЛС.

2.2. Категории субъектов ПДн: Пациенты (физические лица), обратившиеся за медицинской помощью к ИП Печенникову В.Г.

2.3. Объем обрабатываемых ПДн: В системе обрабатываются ПДн только пациентов (не более [Указать число, например, 100-500] субъектов). ПДн сотрудников (наемных работников) отсутствуют в связи с их отсутствием у Оператора.

2.4. Структура ИСПДн:

Тип ИС: автономная (или локальная, если ПК не в сети).

Технические средства: 1 (один) ноутбук Оператора, используемый для ввода, хранения и обработки данных. (Модель: ноутбук Asus X751N, ОС: [Windows 10).

Программное обеспечение: Медицинская информационная система Частной медицинской практики Сарклиник. Доступ к сети Интернет: Да для получения писем по электронной почте.

2.5. Режим обработки ПДн: Многопользовательский (только один пользователь – Оператор ИП Печенников В.Г. имеет непосредственный доступ). Доступ иных лиц к системе исключен организационно и технически.

2.6. Разграничение прав доступа: Отсутствует, так как пользователь один и является администратором системы.

2.7. Тип угроз для ИСПДн (по Постановлению № 1119):

Тип угроз 3-го типа (актуальны угрозы, не связанные с наличием недокументированных возможностей в системном ПО). Либо тип 2-го типа, если используется клиент-банк или иное ПО с выходом в Интернет, что требует уточнения.

3. Определение уровня защищенности персональных данных

3.1. В соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119, определены следующие параметры:

Категория обрабатываемых ПДн: специальные (категория 1).

Количество субъектов ПДн: менее 100 000 (менее 1000).

Актуальные угрозы: 3 тип (угрозы 3-го типа).

3.2. Исходя из указанных параметров, для ИСПДн Оператора требуется 3 уровень защищенности персональных данных (УЗ-3).

4. Перечень возможных угроз безопасности персональных данных

Актуальными для ИСПДн ИП Печенникова В.Г. признаются следующие угрозы, реализация которых может привести к нарушению конфиденциальности, целостности или доступности ПДн.

4.1. Угрозы, обусловленные действиями нарушителя

4.1.1. Внешний нарушитель:

Низкий потенциал: Хакеры-любители, спамеры, с низкой мотивацией, действующие удаленно через сеть Интернет (при ее наличии).

Средний потенциал: Конкуренты, имеющие финансовый интерес к получению базы пациентов.

Случайные лица: Лица, имеющие физический доступ к помещению, где расположен компьютер (например, пациенты, оставленные без присмотра).

Актуальные угрозы от внешнего нарушителя:

НСД-1: Несанкционированный доступ к ПДн путем использования учетной записи оператора (подбор пароля, подсматривание) при отсутствии оператора на рабочем месте.

НСД-2: Кража или утрата носителя (компьютера/ноутбука/внешнего диска), содержащего ПДн, с возможностью последующего считывания информации.

НСД-3: Заражение ПК вредоносным ПО (вирусы, шифровальщики) через съемные носители (флешки пациентов) или Интернет, приводящее к нарушению доступности или краже данных.

СЕТЬ-1: (Если есть Интернет) Перехват трафика (паролей, данных) при использовании незащищенных каналов связи (общественный Wi-Fi).

СЕТЬ-2: (Если есть Интернет) Атаки на веб-приложения или почту (фишинг, внедрение кода), используемые оператором.

4.1.2. Внутренний нарушитель:

В связи с отсутствием наемных сотрудников, внутренним нарушителем является непосредственно Оператор (ИП Печенников В.Г.).

Непреднамеренные действия (риск для целостности и доступности):

ВНУТР-1: Случайное уничтожение или модификация данных (ошибочное удаление файла с записью пациента, некорректное обновление ПО).

ВНУТР-2: Установка непроверенного или нелицензионного ПО, создающего уязвимости.

ВНУТР-3: Несоблюдение правил антивирусной защиты (отключение антивируса, отказ от обновлений).

ВНУТР-4: Использование простых паролей или их запись на видном месте.

Преднамеренные действия (риск для конфиденциальности):

ВНУТР-5: Разглашение ПДн пациентов третьим лицам (например, передача базы по просьбе, ответ на неправомерный запрос).

ВНУТР-6: Копирование базы пациентов на личный носитель с целью использования вне профессиональной деятельности.

4.2. Угрозы, обусловленные техническими средствами и средой функционирования

АПП-1 (Отказ оборудования): Выход из строя жесткого диска, поломка компьютера, скачки напряжения, приводящие к потере данных (нарушение доступности и целостности).

ПО-1 (Сбои ПО): Ошибки в работе операционной системы или прикладного медицинского ПО, приводящие к повреждению файлов базы данных.

ПО-2 (Устаревшее ПО): Использование версий программ, которые больше не получают обновления безопасности (например, Windows 7), что создает уязвимости для взлома.

ФИЗ-1 (Физические воздействия): Пожар, затопление, кража компьютера вместе с помещением.

4.3. Угрозы, связанные с атаками на программное обеспечение (по БДУ ФСТЭК)

На основе Банка данных угроз ФСТЭК России для типовой конфигурации ИСПДн (один ПК под управлением ОС Windows) актуальны следующие угрозы (коды указаны по классификатору ФСТЭК):

Угроза «Вредоносное программное обеспечение» (например, Trojan, Ransomware).

Угроза сбоя или отказа программного обеспечения.

Угроза перехвата и модификации данных при передаче (если используется облачный сервис или отправка данных по email).

Угроза несанкционированного копирования данных.

Угроза переполнения буфера (в устаревшем ПО).

Угроза подделки биометрической информации (неактуально, если нет биометрии).

5. Оценка вероятности реализации угроз

Для данной ИСПДн (микропредприятие, 1 пользователь, 1 ПК) вероятность реализации угроз оценивается следующим образом:

Высокая вероятность: Угрозы физической потери оборудования (кража ноутбука), заражение вирусами (при активном использовании Интернета/флешек), сбой жесткого диска, случайное удаление данных пользователем.

Средняя вероятность: Целенаправленные хакерские атаки, атаки на сетевое оборудование (если нет сервера и сложной сети), промышленный шпионаж.

Низкая вероятность: Атаки с использованием квантовых компьютеров, целевое внедрение аппаратных закладок.

6. Выводы и необходимые меры

6.1. На основе проведенного анализа модели угроз для ИСПДн ИП Печенникова В.Г. актуальными являются угрозы 3-го типа.

6.2. Для обеспечения 3 уровня защищенности ПДн (УЗ-3) и нейтрализации актуальных угроз Оператору необходимо реализовать следующие минимальные меры:

   1. Назначение ответственного: Возложить функции ответственного за организацию обработки ПДн на себя (ИП Печенникова В.Г.).

   2. Идентификация и аутентификация: Установить пароль на вход в систему (BIOS и учетная запись Windows/ОС). Пароль должен быть сложным (не менее 8 символов, буквы + цифры).

   3. Антивирусная защита: Установить и регулярно обновлять антивирусное программное обеспечение (например, Kaspersky Free, Avast или платные версии). Настроить еженедельную проверку.

   4. Резервирование: Обеспечить ежедневное/еженедельное резервное копирование базы данных пациентов на внешний носитель (съемный диск), который хранится отдельно от компьютера (например, в сейфе).

   5. Контроль доступа: Не оставлять компьютер без присмотра в сеансе, в котором открыта база пациентов. Блокировать экран при уходе (Win+L).

   6. Физическая защита: Исключить доступ посторонних лиц к компьютеру (на период приема пациенты не должны оставаться наедине с включенным ПК с открытыми данными других людей).

   7. Обновление ПО: Своевременно устанавливать обновления операционной системы и прикладного ПО (режим автоматического обновления).

   8. Уничтожение данных: При утилизации или продаже компьютера обеспечить гарантированное удаление ПДн (перезапись диска специальными утилитами).

6.3. Настоящая модель угроз пересматривается не реже одного раза в 3 года, а также при изменении структуры ИСПДн, внедрении новых технических средств или изменении законодательства.

Разработал:

Индивидуальный предприниматель

Печенников Владимир Геннадиевич

_______________ / В.Г. Печенников

«25» мая 2025 г.

ИНДИВИДУАЛЬНЫЙ ПРЕДПРИНИМАТЕЛЬ ПЕЧЕННИКОВ ВЛАДИМИР ГЕННАДИЕВИЧ

ЧАСТНАЯ МЕДИЦИНСКАЯ ПРАКТИКА «САРКЛИНИК»

ИНН 645400449602, ОГРНИП 304645428900261

410008, Россия, г. Саратов, ул. Большая Садовая, д. 56/64, кв. 89.

410012, Россия, г. Саратов, ул. Московская, д. 152, к. 201.

Политика конфиденциальности

Дата вступления в силу: 20 мая 2025 года

Версия: 1.0

URL документа: https://sarclinic.ru/o-kompanii/stati/96-obshchie-voprosy/1058-politika-v-otnoshenii-obrabotki-personalnykh-dannykh-sarklinik

1. Общие положения

1.1. Настоящая Политика конфиденциальности (далее - Политика) определяет порядок сбора, использования, хранения и защиты информации о физических лицах (далее - Пользователи, Пациенты), которую Индивидуальный предприниматель Печенников Владимир Геннадиевич (далее - Оператор, «САРКЛИНИК») может получить при использовании сайта https://sarclinic.ru/ (далее - Сайт), его сервисов, программ и продуктов, а также при взаимодействии с Оператором по телефону, электронной почте или при личном посещении.

1.2. Использование Сайта и его сервисов означает безоговорочное согласие Пользователя с настоящей Политикой и указанными в ней условиями обработки его персональных данных. В случае несогласия с этими условиями Пользователь должен воздержаться от использования Сайта.

1.3. Настоящая Политика разработана в соответствии с Конституцией РФ, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», а также иными нормативными правовыми актами РФ в области защиты персональных данных и медицинской деятельности.

1.4. Оператор имеет право вносить изменения в настоящую Политику. Новая редакция Политики вступает в силу с момента её размещения на Сайте, если иное не предусмотрено новой редакцией. Действующая редакция всегда доступна по адресу https://sarclinic.ru/o-kompanii/stati/96-obshchie-voprosy/1058-politika-v-otnoshenii-obrabotki-personalnykh-dannykh-sarklinik.

2. Сведения об Операторе

Индивидуальный предприниматель Печенников Владимир Геннадиевич

ИНН: 645400449602

ОГРНИП: 304645428900261

Юридический адрес: 410008, Россия, г. Саратов, ул. Большая Садовая, д. 56/64.

Фактический адрес осуществления деятельности (медицинский кабинет): 410012, Россия, г. Саратов, ул. Московская, д. 152, офис 201.

Адрес электронной почты: sarclinic@yandex.ru

Контактный телефон: +7 (8452) 40-70-40

Лицензия на осуществление медицинской деятельности:

Номер лицензии: Л041-01020-64/00313331 (ранее ЛО-64-01-003781)

Дата предоставления: 11.05.2017

Лицензирующий орган: Федеральная служба по надзору в сфере здравоохранения

Виды работ (услуг): рефлексотерапия (при оказании первичной специализированной медико-санитарной помощи в амбулаторных условиях).

Реестр операторов персональных данных:

Регистрационный номер: 64-25-012907

Дата регистрации уведомления: 21.04.2025

Основание: Приказ Роскомнадзора № 52 от 06.05.2025

3. Категории собираемой информации

3.1. Информация, предоставляемая Пользователем добровольно

При использовании Сайта, записи на прием, направлении обращения или заключении договора на оказание медицинских услуг Пользователь может предоставить следующие данные:

Фамилия, имя, отчество (при наличии);

Контактный номер телефона;

Адрес электронной почты;

Дата рождения;

Данные документа, удостоверяющего личность (серия, номер, кем и когда выдан) - при заключении договора и оформлении медицинской документации;

Адрес места жительства (регистрации);

Сведения о состоянии здоровья (жалобы, симптомы, диагноз, результаты обследований) - для оказания медицинской помощи;

Полис обязательного медицинского страхования (при наличии);

СНИЛС;

иная информация, необходимая для оказания медицинских услуг и исполнения договора.

Обратите внимание: данные о состоянии здоровья относятся к специальной категории персональных данных. Их обработка осуществляется исключительно с вашего согласия и в целях оказания медицинской помощи в соответствии с законодательством РФ.

3.2. Информация, собираемая автоматически при посещении Сайта

При посещении Сайта (независимо от регистрации) автоматически может собираться следующая техническая информация:

IP-адрес;

Тип браузера и его версия;

Тип устройства и операционная система;

Дата и время доступа;

Адрес запрашиваемой страницы;

Данные о файлах cookie;

Идентификаторы рекламных и аналитических сервисов.

Оператор использует файлы cookie для обеспечения работы Сайта, сбора статистики (например, с помощью Яндекс.Метрики) и улучшения взаимодействия с Пользователем. Пользователь может настроить браузер на отказ от cookie, однако это может повлиять на доступность некоторых функций Сайта.

3.3. Информация, получаемая при личном обращении или по телефону

При личном визите, звонке или направлении письменного обращения могут фиксироваться:

ФИО и контактные данные;

Содержание обращения (жалобы, вопросы);

Аудиозапись телефонного разговора (при условии предупреждения).

4. Цели обработки персональных данных

Оператор обрабатывает персональные данные Пользователей исключительно в следующих целях:

4.1. Оказание медицинских услуг: проведение консультаций, диагностика, лечение, профилактика, ведение медицинской документации, учёт и статистика. Правовое основание - договор на оказание медицинских услуг и требования Федерального закона № 323-ФЗ.

4.2. Связь с Пользователем: подтверждение записи на прием, напоминание о визите, информирование об изменениях в графике работы, ответы на обращения, направленные через формы обратной связи или по электронной почте.

4.3. Направление информационных сообщений (рассылок): информирование о новых услугах, акциях, специальных предложениях и событиях. Такая рассылка осуществляется только с предварительного согласия Пользователя (например, при подписке на новости). Пользователь может в любой момент отказаться от получения рассылки, направив письмо на адрес sarclinic@yandex.ru или воспользовавшись ссылкой для отписки в письме.

4.4. Обработка обращений и запросов: регистрация и рассмотрение обращений, поступивших через Сайт, по электронной почте или в мессенджерах, подготовка ответов.

4.5. Улучшение работы Сайта: анализ посещаемости, поведения Пользователей на Сайте, сбор статистики с использованием метрических систем (Яндекс.Метрика и др.) для оптимизации контента и функционала.

4.6. Исполнение требований законодательства: выполнение обязанностей по ведению медицинской документации, бухгалтерскому и налоговому учёту, предоставление сведений в уполномоченные органы в случаях, предусмотренных законом (например, по запросу суда, правоохранительных органов).

5. Правовые основания обработки персональных данных

Обработка персональных данных Пользователей осуществляется на следующих правовых основаниях:

Конституция РФ;

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;

Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;

Гражданский кодекс РФ (положения о договоре возмездного оказания услуг);

Договор на оказание медицинских услуг, заключаемый между Оператором и Пациентом;

Согласие Пользователя на обработку персональных данных (в случаях, когда такое согласие требуется по закону, например, для рассылок или обработки специальных категорий).

6. Способы и сроки обработки, передача третьим лицам

6.1. Обработка персональных данных осуществляется Оператором как с использованием средств автоматизации (в информационных системах), так и без них (на бумажных носителях). Способы обработки включают: сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, блокирование, удаление, уничтожение.

6.2. Сроки обработки и хранения:

Медицинская документация (карты, истории болезни) хранится не менее 25 лет в соответствии с нормативными требованиями.

Иные персональные данные (например, контактные данные для записи) хранятся до достижения цели обработки или до отзыва согласия Пользователем, но не дольше срока, установленного законодательством.

По истечении сроков хранения данные уничтожаются (актом об уничтожении) либо обезличиваются для статистических исследований.

6.3. Передача персональных данных третьим лицам:

Оператор не передаёт персональные данные Пользователей третьим лицам, за исключением следующих случаев:

передача необходима для исполнения договора (например, привлечение лабораторий для проведения анализов, страховых медицинских организаций) — с согласия Пользователя;

передача осуществляется в соответствии с требованиями законодательства РФ (по запросу суда, правоохранительных органов, в Фонд социального страхования, налоговые органы и т.д.);

передача данных техническим партнерам (хостинг-провайдерам, сервисам аналитики) в объеме, необходимом для обеспечения работы Сайта. При этом такие партнёры обязуются соблюдать конфиденциальность и не использовать данные в иных целях.

Важно: Информация, составляющая врачебную тайну (факт обращения, диагноз, состояние здоровья), может быть раскрыта без согласия пациента только в случаях, прямо предусмотренных ст. 13 Федерального закона № 323-ФЗ (например, при угрозе распространения инфекционных заболеваний, по запросу органов дознания и следствия, в целях информирования органов внутренних дел).

6.4. Трансграничная передача: Оператор не осуществляет трансграничную передачу персональных данных (за пределы Российской Федерации).

7. Меры по защите персональных данных

7.1. Оператор принимает все необходимые правовые, организационные и технические меры для защиты персональных данных Пользователей от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.

7.2. В частности, Оператором реализованы следующие меры:

назначено лицо, ответственное за организацию обработки персональных данных (сам Индивидуальный предприниматель);

изданы локальные акты по обработке персональных данных (Политика, Перечни, Инструкции);

применяются средства защиты информации (антивирусное ПО, парольная защита, межсетевые экраны);

доступ к помещениям, где обрабатываются персональные данные, ограничен;

осуществляется резервное копирование данных;

обеспечен 3 уровень защищенности информационной системы персональных данных (в соответствии с требованиями Правительства РФ).

7.3. Все лица, имеющие доступ к персональным данным (включая самого ИП), подписывают обязательство о неразглашении врачебной тайны и соблюдении конфиденциальности.

8. Права Пользователей (субъектов персональных данных)

В соответствии с законодательством РФ Пользователь имеет право:

8.1. Получать информацию, касающуюся обработки его персональных данных, в том числе содержащую:

подтверждение факта обработки;

правовые основания и цели обработки;

перечень обрабатываемых данных;

сведения о лицах, имеющих доступ к данным (или которым они могут быть раскрыты);

сроки обработки и хранения.

8.2. Требовать уточнения (обновления, изменения) своих персональных данных в случае, если они являются неполными, устаревшими или неточными.

8.3. Отозвать согласие на обработку персональных данных в любое время, направив письменное заявление Оператору. Отзыв согласия не распространяется на обработку, необходимую для исполнения договора или требований законодательства.

8.4. Требовать блокирования или уничтожения персональных данных, если они являются незаконно полученными, не являются необходимыми для заявленной цели обработки, либо если Пользователь отозвал согласие и нет иных законных оснований для обработки.

8.5. Обжаловать действия (бездействие) Оператора в уполномоченном органе по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.

Для реализации своих прав Пользователь может направить запрос Оператору способами, указанными в разделе 9 настоящей Политики.

9. Контактная информация и порядок обращений

9.1. Все вопросы, предложения, запросы и требования, связанные с настоящей Политикой и обработкой персональных данных, Пользователь может направлять Оператору следующими способами:

Почтовым отправлением по адресу: 410012, Россия, г. Саратов, ул. Московская, д. 152, офис 201 (с пометкой «Для Печенникова В.Г.»).

Электронной почтой: sarclinic@yandex.ru (с темой письма «Запрос о персональных данных»).

При личном обращении по адресу осуществления деятельности (предварительно связавшись для согласования времени).

9.2. Запрос должен содержать:

фамилию, имя, отчество Пользователя;

сведения, позволяющие идентифицировать Пользователя (например, дату рождения, номер телефона, адрес электронной почты, указанные при записи);

суть запроса;

подпись (для письменного запроса).

9.3. Оператор обязуется рассмотреть запрос и направить ответ в срок, не превышающий 10 рабочих дней с момента получения запроса. В исключительных случаях этот срок может быть продлён, но не более чем на 5 рабочих дней, с обязательным уведомлением Пользователя.

10. Заключительные положения

10.1. Настоящая Политика является публичным документом и подлежит размещению на Сайте Оператора.

10.2. Оператор не несет ответственности за действия третьих лиц, которые получили доступ к информации Пользователя вследствие нарушения Пользователем правил безопасности (например, передача паролей, использование общедоступных компьютеров) либо в результате обстоятельств непреодолимой силы.

10.3. Во всем, что не урегулировано настоящей Политикой, Оператор и Пользователь руководствуются законодательством Российской Федерации.

10.4. Используя Сайт, Пользователь подтверждает, что ознакомлен с настоящей Политикой и принимает ее условия.

Дата последнего обновления: 20 мая 2025 года

© ИП Печенников В. Г., 2025. Все права защищены.