Политика в области обработки и защиты персональных данных Общества с ограниченной ответственностью «НАЦИОНАЛЬНАЯ МЕДСЛУЖБА»
1 Общие положения
1.1. Настоящая Политика содержит описание принципов и подходов Общества с ограниченной ответственностью «НАЦИОНАЛЬНАЯ МЕДСЛУЖБА» (далее – Общество) в отношении обработки и обеспечения безопасности персональных данных, обязанности и ответственность Общества при осуществлении такой обработки.
1.2. Общество полностью обеспечивает соблюдение прав и свобод граждан при обработке персональных данных и защиту прав на неприкосновенность частной жизни, личной и семейной тайн.
1.3. При обработке ПДн в Обществе строго соблюдаются следующие принципы:
– не допускается сбор персональных данных, несовместимый с целями обработки персональ-
ных данных;
– не допускается обработка персональных данных, которые не отвечают целям обработки. Содержание и состав обрабатываемых персональных данных в Обществе соответствует заявленным целям обработки;
– при обработке персональных данных обеспечивается точность, достаточность, а в необходимых случаях актуальность персональных данных;
– хранение персональных данных осуществляется не дольше, чем этого требуют цели обработки персональных данных, а также федеральные законы и договоры, стороной которых, выгодоприобретателем или поручителем, по которым является субъект персональных данных;
– обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных законодательством Российской Федерации.
2 Цели обработки персональных данных
Целью обработки персональных данных является:
– организация медицинского, медико-сервисного обслуживания застрахованному лицу в со-
ответствии с программой добровольного медицинского страхования;
– направление (прикрепление) застрахованного лица на обслуживание в лечебно-профилак-
тические учреждения, учет объемов и оплата услуг лечебно-профилактических учреждений за ока-
занные застрахованному лицу медицинские услуги;
– разбор претензий, жалоб страхователя, выгодоприобретателя;
– заключение и исполнения договора гражданско-правового характера с физическом лицом;
– заключение и исполнение договора между Обществом и контрагентом, а также выполнение
обязательств, связанных с договорными правоотношениями и предусмотренных законодательством
Российской Федерации;
– заключение и исполнение трудовых договоров, включая выполнение соответствующих требований законодательства Российской Федерации;
– содействие работникам в выпуске и получении банковской карты для начисления заработной платы;
– направление работников на обучение, повышение квалификации;
– оформление отпусков, социальные выплаты в соответствии с законодательством Российской Федерации;
– учет налоговых льгот и вычетов для работников в соответствии с налоговым законодательством Российской Федерации;
– поиск и отбор резюме кандидатов на трудоустройство;
– прием на работу кандидатов, прошедших собеседование;
– исполнение требований налогового законодательства Российской Федерации (учет налоговна доходы физических лиц);
– обработка персональных данных родственников работников с целью выполнения обязательств, установленных законодательством Российской Федерации (оформление социальных выплат и налоговых льгот);
– активация страхового полиса с использованием сайта Общества;
– подготовка ответов на обращения, запросы посетителей сайта;
– улучшение работы сайта, ведение статистики посещаемости сайта.
2.1. Персональные данные могут быть использованы с иными целями, если это является обязательным в соответствии с положениями действующего законодательства Российской Федерации.
3 Правовые основания обработки персональных данных
3.1. Настоящая Политика разработана в соответствии с Трудовым кодексом Российской Федерации (Собрание законодательства Российской Федерации, 2002, N 1, ст. 3; N 30, ст. 3014, 3033; 2003, N 27, ст. 2700; 2004, N 18, ст. 1690; N 35, ст. 3607; 2005, N 1, ст. 27; N 19, ст. 1752; 2006, N 27, ст. 2878; N 52, ст. 5498; 2007, N 1, ст. 34; N 17, ст. 1930; N 30, ст. 3808; N 41, ст. 4844; N 43, ст. 5084; N 49, ст. 6070; 2008, N 9, ст. 812; N 30, ст. 3613; N 30, ст. 3616; N 52, ст. 6235, 6236; 2009, N 1, ст. 17, 21; N 19, ст. 2270; N 29, ст. 3604; N 30, ст. 3732, 3739; N 46, ст. 5419; N 48, ст. 5717; 2010, N 31, ст. 4196; N 52, ст. 7002; 2011, N 1, ст. 49; N 25, ст. 3539; N 27, ст. 3880; N 30, ст. 4586, 4590, 4591, 4596; N 45, ст. 6333, 6335; N 48, ст. 6730, 6735; N 49, ст. 7031; 2012, N 10, ст. 1164; N 14, ст. 1553; N 18, ст. 2127; N 31, ст. 4325) (далее - Трудовой кодекс Российской Федерации), Кодексом Российской Федерации об административных правонарушениях (Собрание законодательства Российской Федерации, 2002, N 1, ст. 1; N 18, ст. 1721; N 30, ст. 3029; N 44, ст. 4295, 4298; 2003, N 27, ст. 2700, 2708, 2717; N 46, ст. 4434, 4440; N 50, ст. 4847, 4855; N 52, ст. 5037; 2004, N 19, ст. 1838; N 30, ст. 3095; N 31, ст. 3229; N 34, ст. 3529, 3533; N 44, ст. 4266; 2005, N 1, ст. 9, 13, 37, 40, 45; N 10, ст. 762, 763; N 13, ст. 1077, 1079; N 17, ст. 1484; N 19, ст. 1752; N 25, ст. 2431; N 27, ст. 2719, 2721; N 30, ст. 3104; N 30, ст. 3124, 3131; N 40, ст. 3986; N 50, ст. 5247; N 52, ст. 5574, 5596; 2006, N 1, ст. 4, 10; N 2, ст. 172, 175; N 6, ст. 636; N 10,
ст. 1067; N 12, ст. 1234; N 17, ст. 1776; N 18, ст. 1907; N 19, ст. 2066; N 23, ст. 2380, 2385; N 28, ст. 2975; N 30, ст. 3287; N 31, ст. 3420, 3432, 3433, 3438, 3452; N 43, ст. 4412; N 45, ст. 4633, 4634, 4641; N 50, ст. 5279, 5281; N 52, ст. 5498; 2007, N 1, ст. 21, 25, 29, 33; N 7, ст. 840; N 15, ст. 1743; N 16, ст. 1824, 1825; N 17, ст. 1930; N 20, ст. 2367; N 21, ст. 2456; N 26, ст. 3089; N 30, ст. 3755; N 31, ст. 4001, 4007, 4008, 4009, 4015; N 41, ст. 4845; N 43, ст. 5084; N 46, ст. 5553; N 49, ст. 6034, 6065; N 50, ст. 6246; 2008, N 10, ст. 896; N 18, ст. 1941; N 20, ст. 2251, 2259; N 29, ст. 3418; N 30, ст. 3582, 3601, 3604; N 45, ст. 5143; N 49, ст. 5738, 5745, 5748; N 52, ст. 6227, 6235, 6236, 6248; 2009, N 1, ст. 17; N 7, ст. 771, 777; N 19, ст. 2276; N 23, ст. 2759, 2767, 2776; N 26, ст. 3120, 3122, 3131, 3132; N 29, ст. 3597, 3599, 3635, 3642; N 30, ст. 3735, 3739; N 45, ст. 5265, 5267; N 48, ст. 5711, 5724, 5755; 2010, N 1, ст. 1; N 11, ст. 1169, 1176; N 15, ст. 1743, 1751; N 18, ст. 2145; N 19, ст. 2291; N 21, ст. 2524, 2525, 2526, 2530; N 23, ст. 2790; N 25, ст. 3070; N 27, ст. 3416, 3429; N 28, ст. 3553; N 30, ст. 4000, 4002, 4005, 4006, 4007; N 31, ст. 4155, 4158, 4164, 4191, 4192, 4193, 4195, 4198, 4206, 4207, 4208; N 32, ст. 4298; N 41, ст. 5192, 5193; N 46, ст. 5918; N 49, ст. 6409; N 50, ст. 6605; N 52, ст. 6984, 6995, 6996; 2011, N 1, ст. 10, 23, 29, 33, 47, 54; N 7, ст. 901; N 15, ст. 2039, 2041; N 17, ст. 2310, 2312; N 19, ст. 2714, 2715;
N 23, ст. 3260, 3267; N 27, ст. 3873, 3881; N 29, ст. 4289, 4290, 4291, 4298; N 30, ст. 4573, 4574, 4584, 4585, 4590, 4591, 4598, 4600, 4601, 4605; N 45, ст. 6325, 6326, 6334; N 46, ст. 6406; N 47, ст. 6601, 6602; N 48, ст. 6730, 6732; N 49, ст. 7025, 7042, 7056, 7061; N 50, ст. 7342, 7345, 7346, 7351, 7352, 7355, 7362, 7366; 2012, N 6, ст. 621; N 10, ст. 1166; N 15, ст. 1723, ст. 1724; N 18, ст. 2126, ст. 2128; N 19, ст. 2278; N 24, ст. 3068, ст. 3069, ст. 3082; N 29, ст. 3996; N 31, ст. 4320, ст. 4322, ст. 4330; N 41, ст. 5523), Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173, ст. 4196; N 49, ст. 6409; N 52, ст. 6974; 2011, N 23, ст. 3263; N 31, ст. 4701) (далее - Федеральный закон "О персональных данных"), Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Собра-
ние законодательства Российской Федерации, 2006, N 31, ст. 3448; 2010, N 31, ст. 4196; 2011, N 15, ст. 2038; N 30, ст. 4600; 2012, N 31, ст. 4328), постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257), постановлением Правительства Российской Федерации от 6
июля 2008 г. N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных" (Собрание законодательства Российской Федерации, 2008, N 28, ст. 3384), постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" (Собрание законодательства Российской Федерации, 2008, N 38, ст. 4320), Указом Прези-
дента Российской Федерации от 6 март 1997 г. N 188 «Об утверждении Перечня сведений конфиденциального характера, приказом Роскомнадзора от 5 сентября 2013 N 996 «Об утверждении требований и методов по обезличиванию персональных данных».
3.2. Правовым основанием для обработки персональных данных являются:
– Федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью ООО «НМС»;
– уставные документы ООО «НМС»;
– договоры, заключаемые между ООО «НМС» с клиентами, контрагентами;
– согласие на обработку персональных данных, полученное от субъекта персональных данных.
4 Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
4.1. ООО «НМС» осуществляет обработку следующих персональных данных:
– фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения;
адрес; семейное положение; социальное положение; имущественное положение; образование; профессия; доходы;
– специальные категории персональных данных: сведения о состоянии здоровья и об инвалидности;
– биометрические персональные данные: Фотография;
– прочие персональные данные: IP-адрес компьютера; адрес электронной почты; банковские реквизиты; возраст; гражданство; данные документа, подтверждающего представительство застрахованного лица; данные медицинских документов (выписной эпикриз, листок нетрудоспособности, медицинские справки); данные свидетельств о рождении детей; данные свидетельства (выписки) о регистрации физического лица в качестве ИП; данные свидетельства о браке; данные свидетельства
о расторжении брака; данные свидетельства о рождении детей; данные трудовой книжки; данные, изложенные в резюме; дата и время посещения; дата начала и окончания медицинского обслуживания; должность; идентификационный номер налогоплательщика (ИНН); контактный телефон; место работы (название и адрес организации); модель мобильного устройства; номер домашнего телефона; номер мобильного телефона; рабочий номер телефона; номер страхового полиса; номер страхового свидетельства обязательного пенсионного страхования (СНИЛС); паспортные данные (гражданина
РФ, иностранного гражданина) и/или реквизиты документа, удостоверяющего личность; пол; реквизиты банковского счета; сведения о воинском учете; сведения о выплатах; сведения о заработной плате, иных выплатах; сведения о налогах на доходы; сведения о профессиональном опыте работы; сведения о трудовой деятельности; табельный номер; сведения о разрешении на работу иностранного гражданина; трудовой стаж; запись голоса; сведения о состоянии здоровья (о диагнозе, о назначении лечения, о госпитализации, проведении медицинского вмешательства, о назначении лекарственных препаратов); информация о факте обращения за медицинской помощью; сведения об оказанных медицинских услугах; сведения, содержащиеся в листах нетрудоспособности; степень родства; тип браузера сайта, тип мобильного устройства. тип операционной системы.
4.2. Субъектами персональных данных, обработка которых осуществляется в Обществе, являются:
– клиенты (застрахованные лица) и их представители;
– работники;
– родственники работников;
– кандидаты на трудоустройство;
– контрагенты (партнеры) и их представители;
– пользователи сайта Общества.
4.3. Объем обрабатываемых персональных данных:
– субъекты, сотрудники ООО «НМС» - менее 100 000 человек;
– субъекты, не являющиеся сотрудниками ООО «НМС» - более 100 000 человек.
5 Порядок и условия обработки персональных данных
5.1. ООО «НМС» при осуществлении обработки персональных данных:
– принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации и локальных нормативных актов ООО «НМС» в области персональных данных;
– принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
– назначает лицо, ответственное за организацию обработки персональных данных в ООО «НМС»;
– издает локальные нормативные акты, определяющие политику и вопросы обработки и защиты персональных данных в ООО «НМС»;
– осуществляет ознакомление работников ООО «НМС», непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации и локальных нормативных актов Общества в области персональных данных, в том числе требованиями к защите персональных данных, и обучение указанных работников;
– публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;
– сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Российской Федерации;
– прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Российской Федерации в области персональных данных;
– совершает иные действия, предусмотренные законодательством Российской Федерации в области персональных данных.
5.2. Обработка персональных данных в ООО «НМС» осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных.
5.3. ООО «НМС» осуществляет: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, блокирование, передачу, предоставление доступа, обезличивание, удаление, уничтожение.
5.4. Обработка вышеуказанных персональных данных осуществляется с использованием внутренней сети ООО «НМС» и передачи по сети Интернет с применением средств криптографической защиты информации в соответствии с Законодательством РФ. Трансграничная передача персональных данных не осуществляется.
5.5. Обработка персональных данных в ООО «НМС» осуществляется следующими способами:
– без использования средств вычислительной техники (неавтоматизированная обработка персональных данных);
– автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой.
6 Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
6.1. В случае предоставления субъектом персональных данных фактов о неполных, устаревших, недостоверных или незаконно полученных персональных данных Общество обязано внести необходимые изменения, уничтожить или блокировать их, в срок, не превышающий 7 рабочих дней с даты предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными. О внесенных изменениях и предпринятых мерах Общество обязано уведомить субъекта ПДн или его представителя и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы
6.2. В случае подтверждения факта неточности персональных данных персональные данные подлежат их актуализации обществом, а при неправомерности их обработки такая обработка должна быть прекращена.
6.3. Общество обязано сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего в течение 30 дней с даты получения запроса.
6.4. При достижении целей обработки персональных данных, а также в случае истечения срока согласия на обработку персональных данных или отзыва субъектом персональных данных согласия на их обработку, персональные данные подлежат уничтожению, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому, является субъект персональных данных.
7 Конфиденциальность персональных данных и возможность передачи персональных данных третьим лицам
7.1. Доступ к персональным данным ограничивается в соответствии с федеральными законами и локальными нормативными актами Общества.
7.2. Общество не разглашает полученные в результате своей профессиональной деятельности персональные данные.
7.3. Работники Общества, получившие доступ к персональным данным, принимают обязательства по обеспечению конфиденциальности информации, которые определены:
– трудовым договором;
– соглашением о неразглашении конфиденциальной информации;
– должностными инструкциями в части обеспечения безопасности персональных данных.
7.4. Доступ к персональным данным, обрабатываемым в Обществе, на основании и во исполнение нормативных правовых актов Российской Федерации, предоставляется органам государственной власти по запросу в случаях предусмотренных.
7.5. Персональные данные застрахованных лиц могут быть переданы медицинским организациям, партнерам ООО «НМС», находящимся на территории Российской Федерации только при наличии письменного согласия застрахованного лица на передачу его персональных данных в целях медицинского обследования и/или лечения. Список партнеров ООО «НМС» указан на сайте www.nhs.moscow и/или может быть предоставлен по запросу Субъекта ПДн.
7.6. Персональные данные работников Общества могут быть представлены третьим лицам только с письменного согласия работника.

8 Безопасность персональных данных
8.1. Общество предпринимает необходимые технические и организационные меры информационной безопасности для защиты персональных данных от несанкционированного доступа, изменения, раскрытия или уничтожения, в соответствии с принятым в Обществе уровнем защиты - УЗ-2.
8.2. Осуществляется контроль путем внутренних проверок процессов сбора, хранения и обработки данных и мер безопасности.
8.3. Осуществляются меры по обеспечению физической безопасности данных для предотвращения несанкционированного доступа к системам, в которых Общество хранит персональные данные.
9 Права и обязанности субъектов персональных данных
9.1. Общество предпринимает разумные меры для поддержания точности и актуальности имеющихся персональных данных, а также удаления персональных данных в случаях, если они являются устаревшими, недостоверными или излишними, либо если достигнуты цели их обработки. Субъекты персональных данных несут ответственность за предоставление Обществу достоверных сведений, а также за своевременное обновление предоставленных данных в случае каких-либо изменений.
9.2. В случаях если Вы как субъект персональных данных хотите узнать, какими персональными данными о Вас располагает Общество, либо дополнить, исправить или удалить любые неполные, неточные или устаревшие персональные данные, либо хотите прекратить обработку в Обществе Ваших персональных данных, либо имеете другие законные требования, Вы можете в должном порядке и в соответствии с действующим законодательством реализовать такое право, обратившись в Общество по приведенным в пункте 11 контактам. При этом, в некоторых случаях (например, если Вы хотите удалить Ваши персональные данные или прекратить их обработку), такое обращение также может означать, что Общество больше не сможет предоставлять Вам услуги.
9.3. Для выполнения Ваших запросов Общество может потребовать установить Вашу личность (предъявлением оригинала документа, устанавливающего Вашу личность) и запросить дополнительную информацию, подтверждающую Ваше участие в отношениях с Обществом (номер договора, дата заключения договора, номер страхового полиса, условное словесное обозначение и/или иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Обществом. Кроме того, действующее законодательство может устанавливать ограничения и другие
условия, касающиеся упомянутых выше Ваших прав.
10 Сбор персональных данных с использованием сайта
10.1. На сайте Общества https://nhs.moscow/ могут собираться персональные данные клиентов (застрахованных лиц) с целью активации полисов страхования, выданных партнерами Общества.
10.2. В случае направления запроса через форму обратной связи https://nhs.moscow/contacts Общество использует полученные персональные данные только для подготовки и направления ответов заявителю.
10.3. Используя сайт https://nhs.moscow/ и/или предоставляя Обществу свои персональные данные, Вы выражаете согласие на обработку своих персональных данных на условиях, предусмотренных настоящей Политикой.
10.4. Если Вы не согласны с настоящей Политикой, просим Вас не пользоваться этим сайтом и не предоставлять Обществу свои персональные данные.
11 Обратная связь
11.1. Если у Вас есть дополнительные вопросы или предложения относительно этой Политики, Вы можете в любое время связаться с Обществом через сайт https://nhs.moscow/contacts , или написав по следующему адресу: IT@nhs.moscow .
Контакты для обращения субъектов по вопросам обработки персональных данных: 115184,г. Москва, Озерковская Набережная, дом 30,помещение 29 этаж 5
11.2. Лицо, ответственное за организацию обработки персональных данных:
Ведущий специалист по информационной безопасности и системному администрированию
Тел.: +7 495 374 88 24, доб.151 E-mail: Pavlov@nhs.moscow