1.1. Положення про порядок обробки персональних даних в Медичній мережі «Добробут» (далі – Положення) розроблено відповідно до законодавства України в частині забезпечення захисту персональних даних із врахуванням вимог:
1.2. Положення визначає вимоги Медичної мережі «Добробут» (далі – Компанія) до обробки та порядку забезпечення захисту персональних даних суб’єктів персональних даних на всіх етапах їх обробки, у тому числі за допомогою організаційних і технічних заходів.
1.3. Положення розповсюджується на невизначене коло осіб – суб’єктів персональних даних, які вступають або можуть вступати у будь – які відносини з Компанією.
1.4. Положення публікується на офіційному веб - сайті Компанії (https://www.dobrobut.com/) в мережі Інтернет з метою ознайомлення суб’єктів персональних даних, дані яких обробляються Компанією під час здійснення нею своєї статутної діяльності.
1.5. Положення визначає перелік заходів, спрямованих на безпеку персональних даних, з урахуванням вимог законодавства у сферах захисту персональних даних, інформаційної безпеки.
2.1. База персональних даних – іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних.
2.2. Володілець персональних даних – фізична або юридична особа, яка визначає мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом.
2.3. Згода суб’єкта персональних даних – добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди.
2.4. Знеособлення персональних даних – вилучення відомостей, які дають змогу прямо чи опосередковано ідентифікувати особу.
2.5. Інформаційна система (далі - ІС) – прикладна система, сервіси, засоби інформаційних технологій або інші компоненти для оброблення інформації. Прикладами інформаційних систем є: окреме програмне забезпечення, системи корпоративної пошти, системи дистанційного навчання, система резервного копіювання тощо.
2.6. Інформація – будь-які відомості та/або дані, які можуть бути збережені на матеріальних носіях або відображені в електронному вигляді.
2.7. Персональні дані (далі – ПД) – відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.
2.8. Категорії – узагальнені групи персональних даних відповідних суб’єктів.
2.9. Клієнт – суб’єкт персональних даних (фізична особа або представник такої особи), який виступає споживачем медичних послуг, що надаються Компанією та персональні дані якого обробляються Компанією при надані таких послуг.
2.10. Контрагент – суб’єкт персональних даних (фізична особа, фізична особа – підприємець, представник юридичної особи), який діє у цивільно-правових та господарсько-правових відносинах з Компанією.
2.11. Конфіденційна інформація (далі - КІ) – інформація про фізичну особу, а також інформація, доступ до якої обмежено фізичною або юридичною особою, крім суб'єктів владних повноважень, та яка може поширюватися у визначеному ними порядку за їхнім бажанням відповідно до передбачених ними умов. До КІ не відносяться таємна та службова інформація.
2.12. Користувач - працівник Компанії, який відповідно до своїх професійних, службових або трудових обов’язків, використовує інформаційні ресурси ІС Компанії або особа, що залучається Компанією для виконання відповідних функцій.
2.13. Обробка персональних даних – будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем.
2.14. Правочин – будь – який договір, стороною якого є Компанія, не залежно від його форми та предмету, в тому числі додатки, доповнення до них, угоди про внесення змін до них, документи, що підтверджують дії, спрямовані на укладення, виконання, зміну та припинення будь – яких з цих правочинів.
2.15. Працівник – особа, яка згідно Кодексу законів про працю України має чинні трудові відносини з Компанією.
2.16. Розпорядник персональних даних – фізична чи юридична особа, якій володільцем персональних даних або законом надано право обробляти ці дані від імені володільця.
2.17. Суб’єкт персональних даних – фізична особа, персональні дані якої обробляються.
2.18. Строк обробки персональних даних – строк, протягом якого Компанія здійснює обробку персональних даних суб’єкта персональних даних, який обчислюється з моменту отримання Компанією персональних даних та згоди на обробку персональних даних та не перевищує строк, необхідний для реалізації мети обробки та строк, визначений законодавством України у сфері архівної справи та діловодства.
2.19. Третя особа – будь-яка особа, за винятком суб’єкта персональних даних, володільця чи розпорядника персональних даних та Уповноваженого Верховної Ради України з прав людини (далі – Уповноважений), якій Компанією чи розпорядником персональних даних здійснюється передача персональних даних.
3.1. Обробка персональних даних в Компанії.
3.1.1. ПД, що обробляються Компанією, відносяться до конфіденційної інформації.
3.1.2. Компанія є володільцем ПД, а у випадках, передбачених чинним законодавством України, та/або на підставі укладених договорів, Компанія є розпорядником ПД.
3.1.3. Компанія обробляє ПД, які акумульовані в бази ПД.
3.1.4. Порядок обробки ПД в Компанії визначається цим Положенням на підставі чинного законодавства України.
3.1.5. Первинними джерелами відомостей про фізичну особу є видані на її ім’я документи, підписані нею документи, відомості, які особа надає про себе.
3.1.6. Процеси (підпроцеси, процедури) обробки ПД є частиною бізнес-процесів Компанії. Процеси обробки ПД можуть бути автоматизованими або неавтоматизованими.
3.1.7. Компанія обробляє ПД, які можуть бути об’єднані в бази ПД.
3.1.8. Компанія може доручити обробку ПД розпоряднику ПД відповідно до договору, укладеного в письмовій формі. Розпорядник ПД може обробляти ПД лише з метою і в обсязі, визначених у договорі.
3.1.9. Компанія не обробляє ПД про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних профспілках, засудження до кримінального покарання.
3.1.10. В усіх випадках, не врегульованих цим Положенням, необхідно керуватися чинним законодавством України.
3.2. Вимоги та підстави для обробки ПД
3.2.1. В основу визначення мети обробки ПД закладено принцип законності їх обробки.
3.2.2. Обробка ПД здійснюється Компанією відкрито і прозоро із застосуванням засобів та у спосіб, що відповідають визначеним цілям такої обробки.
3.2.3. ПД, що обробляються Компанією мають бути точними, достовірними та оновлюватися за потребою, визначеною метою їх обробки.
3.2.4. Склад та зміст ПД, що обробляються Компанією, мають бути відповідними, адекватними та ненадмірними стосовно визначеної мети їх обробки.
3.2.5. Cтрок обробки ПД встановлюється Компанією залежно від категорії суб’єктів ПД, мети обробки ПД та визначається чинним законодавством України.
3.2.6. Підставами для обробки персональних даних є:
3.2.6.1. згода суб’єкта персональних даних на обробку його персональних даних;
3.2.6.2. дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень;
3.2.6.3. укладення та виконання правочину, стороною якого є суб’єкт персональних даних або який укладено на користь суб’єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта персональних даних;
3.2.6.4. захист життєво-важливих інтересів суб’єкта персональних даних;
3.2.6.5. необхідність виконання обов’язку володільця персональних даних, який передбачений законом;
3.2.6.6. необхідність захисту законних інтересів володільця персональних даних або третьої особи, якій передаються персональні дані, крім випадків, коли потреби захисту основоположних прав і свобод суб’єкта персональних даних у зв’язку з обробкою його даних переважають такі інтереси.
3.3. Категорії суб’єктів ПД
3.3.1. Компанія здійснює обробку ПД таких категорій суб’єктів персональних даних:
3.4. Використання ПД
3.4.1. Використання ПД передбачає будь-які дії Компанії щодо обробки цих даних, їх захисту, а також надання часткового або повного права обробки ПД іншим суб’єктам відносин, пов’язаних із ПД, що здійснюються за згодою суб’єкта ПД чи відповідно до Закону України «Про захист персональних даних».
3.4.2. Для належного використання ПД в Компанії створені умови для їх захисту.
3.5. Збирання ПД
3.5.1. Збирання ПД є складовою процесу їх обробки, що передбачає дії з підбору чи впорядкування відомостей про суб’єкта персональних даних.
3.5.2. Суб’єкт персональних даних в спосіб, передбачений цим Положенням, повідомляється про володільця ПД, склад та зміст зібраних ПД, свої права, визначені чинним законодавством України, мету збору ПД та осіб, яким передаються його персональні дані.
3.5.3. Отримання згоди суб’єкта ПД та повідомлення його про обробку ПД не виконуються, якщо ПД були зібрані із загальнодоступних джерел.
3.6. Порядок доступу до ПД суб’єкту відносин, пов’язаних з ПД
3.6.1. Порядок доступу до ПД третіх осіб визначається Статтею 16 Закону України «Про захист персональних даних».
3.6.2. Компанія безоплатно надає суб’єкту ПД інформацію про обробку його ПД, крім випадків, установлених законодавством.
3.6.3. Суб’єкт ПД має право на отримання своїх ПД, які він надав Компанії, в структурованому, загальноприйнятому форматі, що легко зчитується машиною, та має право на передавання таких даних іншому володільцю/розпоряднику.
3.7. Видалення або знищення ПД
3.7.1. ПД видаляються або знищуються в порядку, встановленому відповідно до вимог чинного законодавства.
3.7.2. ПД підлягають видаленню або знищенню у разі:
3.7.3. Персональні дані, які не відповідають дійсності, мають бути негайно змінені або знищені.
3.7.4. Видалення та знищення ПД здійснюється у спосіб, що виключає можливість їх поновлення.
3.8. Поширення ПД
3.8.1. Поширення ПД передбачає дії щодо передачі відомостей про фізичну особу за згодою суб’єкта ПД.
3.8.2. Поширення ПД без згоди суб’єкта ПД або уповноваженої ним особи дозволяється у випадках, визначених законодавством, і лише (якщо це необхідно) в інтересах національної безпеки, економічного добробуту та прав людини.
3.8.3. Виконання вимог встановленого режиму захисту ПД забезпечує сторона, що поширює ці дані.
3.8.4. Сторона, якій передаються ПД, повинна попередньо вжити заходів щодо забезпечення вимог чинного законодавства.
3.8.5. Передача ПД іноземним суб’єктам відносин, пов’язаних із ПД, здійснюється лише за умови забезпечення відповідною державою належного захисту ПД у випадках, встановлених законом або міжнародним договором України.
3.8.6. ПД не можуть поширюватися з іншою метою, ніж та, з якою вони були зібрані.
3.8.7. ПД можуть передаватися іноземним суб’єктам відносин, пов’язаних з ПД, також у разі:
3.9. Передача ПД
3.9.1. Компанія має право передавати ПД суб’єктів ПД, що входять до Категорій «Клієнти», «Контрагенти» та «Працівники» таким третім особам (в тому числі, але не виключно):
3.10. Повідомлення про передачу ПД
3.10.1. Про передачу ПД третій особі Компанія протягом десяти робочих днів повідомляє суб’єкта ПД, окрім наступних випадків:
3.11. Забезпечення захисту ПД
3.11.1. Забезпечення безпеки персональних даних в Компанії ґрунтується на наступних фундаментальних принципах:
3.11.2. Компанія вживає заходів щодо забезпечення захисту ПД на всіх етапах їх обробки за допомогою організаційних та технічних заходів.
3.11.3. Захист ПД передбачає заходи, спрямовані на запобігання їх випадковим втратам або знищенню, незаконній обробці, у тому числі незаконному знищенню чи доступу до ПД.
4.1. У Категорії «Клієнти» Компанія здійснює обробку ПД суб’єктів ПД (фізичних осіб та їх уповноважених представників), які є споживачами медичних послуг, що надаються Компанією.
4.2. ПД суб’єктів Категорії «Клієнти» обробляються для цілей надання медичних послуг Компанією та виконання вимог законодавства України.
4.3. Метою обробки ПД суб’єктів вказаної Категорії є:
4.4. Склад ПД, обробку яких здійснює Компанія в Категорії «Клієнти» (включаючи, але не обмежуючись):
4.5. Застереження про аудіовізуальне спостереження.
4.5.1. При наданні медичних послуг Клієнтам Компанія для реалізації своїх прав та законних інтересів може проводити відео – спостереження на території своїх закладів охорони здоров’я.
Компанія здійснює відео спостереження за згодою суб’єктів ПД на обробку їх ПД Компанією, що надається суб’єктами шляхом відвідування закладів охорони здоров’я Компанії, в яких зазначається про факт ведення відео спостереження. Компанія здійснює аудіофіксацію розмов з Клієнтами з використанням відповідного телекомунікаційного обладнання за умови повідомлення суб’єктів персональних даних про факт здійснення аудіофіксації шляхом усного застереження.
Відеозаписи, фотографії та записи телефонних розмов з Клієнтами можуть бути використані Компанією для реалізації своїх прав та законних інтересів.
4.5.2. Підписуючи «Договір на надання медичних послуг» суб’єкт персональних даних повідомляється про володільця персональних даних, склад та зміст зібраних персональних даних, свої права, визначені законодавством та цим Положенням, мету збору персональних даних та осіб, яким можуть передаватися його персональні дані.
4.5.3. Підписуючи «Анкету пацієнта» суб’єкт персональних даних надає свою згоду на обробку персональних даних та підтверджує про свою обізнаність щодо обробки його персональних даних у зв’язку з виконанням володільцем персональних даних обов’язку, який передбачений законом.
5.1. У Категорії «Контрагенти» Компанія здійснює обробку ПД суб’єктів ПД, які перебувають у цивільно-правових та господарсько-правових відносинах з Компанією - представники юридичної особи, фізичні особи-підприємці або фізичні особи без статусу суб’єкта господарювання.
5.2. ПД суб’єктів, що входять до Категорії «Контрагенти», обробляються для цілей ефективного виконання умов правочинів, що укладаються Компанією з суб’єктами вказаної Категорії та для дотримання умов чинного законодавства України.
5.3. Метою обробки ПД вказаної Категорії є:
Окремими домовленостями, оформленими Компанією та його Контрагентом в правочинах між ними, може бути передбачена також інша, не зазначена тут, мета обробки.
5.4. Склад ПД, обробку яких здійснює Компанія в Категорії «Контрагенти» (включаючи, але не обмежуючись):
5.5. Укладаючи правочин з Компанією суб’єкт персональних даних повідомляється про володільця персональних даних, склад та зміст зібраних персональних даних, свої права, визначені законодавством та цим Положенням, мету збору персональних даних та осіб, яким передаються його персональні дані.
6.1. У Категорії «Працівники» Компанія здійснює обробку ПД фізичних осіб, які знаходяться у трудових відносинах з Компанією, мають намір вступити в трудові відносини (надають свої персональні дані з метою працевлаштування, в якості відповіді на інформацію Компанії про наявні вакансії).
6.2. ПД суб’єктів Категорії «Працівники» обробляються для врегулювання та оформлення трудових відносин між Працівником та Компанією, інших правовідносин з дотриманням вимог чинного законодавства України.
6.3. Метою обробки ПД вказаної Категорії є:
6.4. Склад ПД, обробку яких здійснює Компанія в Категорії «Працівники» (включаючи, але не обмежуючись):
інші відомості, мета обробки яких співпадає з метою обробки персональних даних, та які будуть надані суб’єктом самостійно або отримані Компанією в процесі ведення Компанією своєї діяльності.
7.1. Компанія повідомляє суб'єктів персональних даних про їх права як суб’єктів персональних даних, що обумовлені ст.8 Закону України «Про захист персональних даних», в тому числі:
8.1. Компанія вживає заходів щодо забезпечення захисту персональних даних на всіх етапах їх обробки.
8.2. Компанія самостійно визначає перелік і склад заходів, спрямованих на безпеку обробки персональних даних, з урахуванням вимог законодавства у сферах захисту персональних даних, інформаційної безпеки.
8.3. Захист персональних даних передбачає заходи, спрямовані на запобігання їх випадкових втрат або знищення, незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних.
8.4. Персональні дані залежно від способу їх зберігання (паперові, електронні носії) мають оброблятися у такий спосіб, щоб унеможливити доступ до них сторонніх осіб.
8.5. Це Положення (його наступні редакції) публікується на офіційному сайті Компанії за адресою: https://www.dobrobut.com/.