1. ЗАГАЛЬНІ ПОЛОЖЕННЯ
1.1. Цим Порядком обробки персональних даних (далі - Порядок) визначено загальні вимоги до обробки та захисту персональних даних користувачів, відвідувачів та інших осіб, персональні дані яких були отримані Товариством під час провадження діяльності (далі разом – Користувачі), Програмної продукції Товариства з обмеженою відповідальністю «Здоров’я 24» (далі – «Товариство»), через їх доступ до Програмної продукції та\або веб-сайту https://www.h24.ua (далі – Портал), що обробляються повністю чи частково із застосуванням автоматизованих засобів, а також персональних даних, що містяться у картотеці чи призначені до внесення до картотеки, із застосуванням неавтоматизованих засобів.
1.2. Товариством самостійно визначено порядок обробки персональних даних, враховуючи специфіку обробки персональних даних у різних сферах, відповідно до вимог, визначених Законом України «Про захист персональних даних» та Типовим порядком обробки персональних даних.
2. ВИМОГИ ДО ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ
2.1. Мета та підстави обробки персональних даних
2.1.1. Інформація про Користувача, в тому числі персональні дані, обробляються Товариством виключно з метою забезпечення реалізації господарської діяльності, цивільно-правових, податкових та відносин у сфері бухгалтерського обліку, виконання договірних зобов’язань, для ідентифікації Користувача, з метою надання послуг, обробки платежів, відправки інформації поштою, електронною поштою, проведення розрахункових операцій, надання звітності, ведення бухгалтерського та управлінського обліку, поліпшення якості надання послуг, здійснення маркетингових досліджень Товариства, захисту прав та законних інтересів користувачів та третіх осіб згідно з діючим законодавством України.
2.1.2. З метою ідентифікації фізичної особи Товариство може використовувати ім’я, прізвище, по батькові, адресу електронної пошти, пароль, облікові дані (логін та пароль для доступу у Особистий кабінет), відомості про посаду, спеціалізацію, наявність категорій та атестації (для лікарів), наявність статусу підприємця та його реквізити, наявність ліцензії на провадження медичної практики та інші відомості, в залежності від напрямку діяльності.
2.1.3. Контактна інформація Користувача за його згодою може бути використана у поштових розсилках, наприклад: повідомленнях про новини Порталу, акції або спеціальні пропозиції тощо. Користувач завжди може відмовитися від проведення розсилки по його контактній інформації у письмовому повідомленні або у відповідному розділі Особистого кабінету.
2.1.4. Для здійснення листування з приводу використання Порталу та надання Послуг може використовуватися ім’я, прізвище, по батькові Користувача, реквізити Користувача, контактні телефони, адреса електронної пошти, адреса місцезнаходження Користувача.
2.1.5. У разі зміни визначеної мети обробки персональних даних на нову мету, яка є несумісною з попередньою, для подальшої обробки даних Товариство, окрім випадків, визначених законодавством, повинне отримати згоду Користувача на обробку його даних відповідно до нової мети.
2.1.6. Підставою обробки персональних даних Користувача є його згода на обробку його персональних даних, або інші підстави, у випадках визначених законодавством.
2.1.7. Користувач, шляхом натискання кнопки «Зареєструватися»/оформлюючи онлайн-заявку на Порталі/звертаючись за телефоном до служби підтримки Порталу, підтверджує про своє ознайомлення з цим Порядком та висловлює свою повну згоду з його умовами.
2.2. Категорії суб’єктів персональних даних
Суб’єктами персональних даних, чиї персональні дані обробляються є працівники, контрагенти, користувачі, відвідувачі та усі інші особи, персональні дані яких були отримані Товариством під час провадження діяльності.
2.3. Склад персональних даних, які обробляються
- прізвище, ім’я, по батькові Користувача, його контактні дані (телефон, адреса електронної пошти;
- IP-адреса, тип операційної системи, браузера, час та дату відвідування Сайту (така інформація може бути персональними даними лише якщо вона прямо дозволяє ідентифікувати Користувача;
- облікові дані (логін та пароль для доступу у Особистий кабінет), посада, спеціалізація, наявність категорій та атестації (для лікарів), наявність статусу підприємця та його реквізити, наявність ліцензії на провадження медичної практики;
- файли Cookies для того, щоб визначити браузер Користувача і надати залежні від цього сервіси, наприклад зберігання даних в кошику між відвідуваннями Порталу;
- інформація про порушення Користувачем правил використання Порталу, в тому числі, у разі розміщення Користувачем інформації шкідливого та образливого характеру та іншої некоректної інформації.
- Інформація, що підлягає внесенню до медичної інформаційної системи, згідно до вимог чинного законодавства.
- Інформація, що необхідна для виконання вимог законодавства у сфері цивільних, трудових відносин, обліку, взаємодії з державними органами, та виконання інших вимог законодавства.
2.4. Спосіб збору, накопичення персональних даних
2.4.1. Персональні дані, обробка яких здійснюється Товариством, вносяться Користувачами під час реєстрації, розміщення, отримання і передавання інформації та документів, а також отримуються внаслідок використання Програмної продукції Товариства.
Користувач несе відповідальність за достовірність, актуальність даних та зміст інформації, яка оприлюднюється ним на Порталі, в т.ч. після її модерації. Товариство має право здійснювати контроль за інформацією, що розміщується Користувачем, та повідомляти Користувача, що розмістив інформацію неналежного змісту, про такі випадки.
2.4.2. Збір персональних даних також можливий під час звернення Користувачів до call-центру Товариства.
2.4.3. Персональні дані Користувачів, отримує власник Програмної продукції - ТОВ «ЗДОРОВ’Я 24» (ідентифікаційний код 39138976). Персональні дані, внесені контрагентами Товариства до медично-інформаційної системи, зберігаються також в компанії, яка надає послуги хостингу та центральній базі даних.
2.5. Строк та умови зберігання персональних даних
2.5.1. Персональні дані Користувачів зберігаються у базі персональних даних у знеособленому та/або зашифрованому вигляді, що виключає можливість ідентифікувати особу.
2.5.2. Персональні дані зберігаються у базі персональних даних протягом усього часу, коли Користувач використовує сайт або Програмну продукцію Товариства та 5 (п’ять) років після останнього звернення Користувача до таких даних.
2.6. Умови та процедуру зміни, видалення або знищення персональних даних
2.6.1. Користувачі в будь-який момент часу можуть змінити/видалити свої персональні дані.
2.6.2. Користувач має право пред’являти Товариству вмотивовану вимогу щодо заборони обробки своїх персональних даних (їх частини) та/або зміни їх складу/змісту. Така вимога розглядається Товариством згідно до чинного законодавства.
2.6.3. Якщо за результатами розгляду такої вимоги виявлено, що персональні дані Користувача (їх частина) обробляються Товариством, останнє припиняє обробку персональних даних суб’єкта (їх частини) та інформує про це Користувача.
2.6.4. Якщо за результатами розгляду такої вимоги виявлено, що персональні дані Користувача (їх частина) є недостовірними, Товариство припиняє обробку персональних даних (чи їх частини) та/або змінює їх склад/зміст та інформує про це Користувача.
2.6.5. У разі якщо вимога не підлягає задоволенню, Користувачу надається мотивована відповідь щодо відсутності підстав для її задоволення.
2.6.6. Користувач має право відкликати згоду на обробку персональних даних без зазначення мотивів, у разі якщо єдиною підставою для обробки є згода Користувача. З моменту відкликання згоди Товариство зобов’язане припинити обробку персональних даних.
2.6.7. Видалення та знищення персональних даних здійснюється у спосіб, що виключає подальшу можливість поновлення таких персональних даних.
2.6.8. У разі закінчення строку зберігання персональних даних Користувачів, визначеного цим Порядком, видання відповідного припису Уповноваженого або визначених ним посадових осіб секретаріату Уповноваженого, набрання законної сили рішенням суду щодо видалення або знищення персональних даних, персональні дані підлягають видаленню, або знищенню.
2.6.9. У разі виявлення відомостей про особу, які не відповідають дійсності, такі відомості підлягають зміні або знищенню.
2.6.10. Товариство не має права і технічної можливості видалити інформацію, що внесена в реєстри центральної бази даних електронної системи охорони здоров’я, власником якої є Національна служба здоров’я України.
2.6.11. Достатнім повідомленням Користувачу про видалення чи іншої обробки його персональних даних буде лист (інформація), направлений на електронну пошту, вказану Користувачем під час реєстрації на Порталі.
2.7. Умови та процедура передачі персональних даних та перелік третіх осіб, яким можуть передаватися персональні дані
Товариство не передає персональні дані Користувачів третім особам, за винятком випадків, передбачених нижче.
Персональні дані можуть передаватися:
- закладам охорони здоров’я та фізичним особам-підприємцям (лікарям), які отримали ліцензію на провадження господарської діяльності з медичної практики (тобто мають ліцензію від МОЗ) виключно для отримання Вами медичної допомоги або медичних послуг;
- органу, уповноваженому відповідно до чинного законодавства України, на ведення Реєстру пацієнтів, Реєстру медичних записів, записів про направлення та рецептів, Реєстру медичних висновків тощо (якщо інформація має бути передана відповідно до законодавства), а також володільцям інших реєстрів, створених відповідно до законодавства України, якщо інформація про Користувача має бути туди передана та відповідає його призначенню;
- особам, задіяним у процесі обробки персональних даних (зберігання даних у «хмарному» центрі обробки даних), з якими у ТОВ «ЗДОРОВ’Я 24» укладено відповідні договори з умовою забезпечення ними режиму конфіденційності та нерозголошення персональних даних.
Розкриття персональних даних, у тому числі передача таких даних іншим третім особам можлива і буде здійснена виключно за згодою Користувача. Така згода Користувача може бути надана ним під час безпосереднього письмового звернення до Товариства.
У випадках, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини, зокрема, але не обмежуючись за обґрунтованими запитами державних органів, що мають право подавати запити та отримувати такі дані допускається розкриття персональних даних без згоди Користувача або уповноваженої ним особи.
2.8. Порядок доступу до персональних даних осіб, які здійснюють обробку, а також суб’єктів персональних даних
Суб'єкт відносин, пов'язаних з персональними даними, подає Товариству запит щодо доступу (далі - запит) до персональних даних.
У запиті зазначаються:
1) прізвище, ім'я та по батькові, місце проживання (місце перебування) і реквізити документа, що посвідчує фізичну особу, яка подає запит (для фізичної особи - заявника);
2) найменування, місцезнаходження юридичної особи, яка подає запит, посада, прізвище, ім'я та по батькові особи, яка засвідчує запит; підтвердження того, що зміст запиту відповідає повноваженням юридичної особи (для юридичної особи - заявника);
3) прізвище, ім'я та по батькові, а також інші відомості, що дають змогу ідентифікувати фізичну особу, стосовно якої робиться запит;
4) відомості про базу персональних даних, стосовно якої подається запит, чи відомості про володільця чи розпорядника персональних даних;
5) перелік персональних даних, що запитуються;
6) мета та/або правові підстави для запиту.
Строк вивчення запиту на предмет його задоволення не може перевищувати десяти робочих днів з дня його надходження.
Протягом цього строку володілець персональних даних доводить до відома особи, яка подає запит, що запит буде задоволено або відповідні персональні дані не підлягають наданню, із зазначенням підстави, визначеної у відповідному нормативно-правовому акті.
Запит задовольняється протягом тридцяти календарних днів з дня його надходження, якщо інше не передбачено законом.
Суб'єкт персональних даних має право на одержання будь-яких відомостей про себе, пов'язаних з персональними даними, від Товариства, шляхом надання запиту із зазначенням прізвища, ім'я та по батькові, місця проживання (місця перебування) і реквізитів документа, що посвідчує фізичну особу, крім випадків, установлених законом.
2.9. Заходи забезпечення захисту персональних даних
Захист персональних даних забезпечується неможливістю витоку, знищення та блокування інформації, порушення цілісності та режиму доступу до інформації, шифруванням інформації Користувачів для безпечного обміну даними на базі сучасних технологій та протоколів шифрування, наявністю власної комплексної системи захисту інформації, акредитованої на відповідність вимогам Державної служби спецзв’язку та захисту інформації України, а також розміщення усіх користувацьких даних у хмарних дата-центрах з акредитованою КСЗІ, сертифікованих за найвищими українськими та міжнародними стандартами надійності, якості та безпеки зберігання даних (Tier 3, ISO27001 тощо).
3. ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ
3.1. Товариство вживає заходів щодо забезпечення захисту персональних даних на всіх етапах їх обробки, у тому числі за допомогою організаційних та технічних заходів.
3.2. Товариство самостійно визначає перелік і склад заходів, спрямованих на безпеку обробки персональних даних, з урахуванням вимог законодавства у сферах захисту персональних даних, інформаційної безпеки.
3.3. Захист персональних даних передбачає заходи, спрямовані на запобігання їх випадкових втрати або знищення, незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних.
3.4. Організаційні заходи охоплюють:
- визначення порядку доступу до персональних даних працівників Товариства;
- визначення порядку ведення обліку операцій, пов’язаних з обробкою персональних даних Користувача та доступом до них;
- розробку плану дій на випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, виникнення надзвичайних ситуацій;
- регулярне навчання співробітників, які працюють з персональними даними.
3.5. Товариство веде облік працівників, які мають доступ до персональних даних Користувачів. Товариство визначає рівень доступу зазначених працівників до персональних даних Користувачів. Кожен із цих працівників користується доступом лише до тих персональних даних (їх частини) Користувачів, які необхідні йому у зв’язку з виконанням своїх професійних чи службових або трудових обов’язків.
3.6. Усі інші працівники Товариства мають право на повну інформацію лише стосовно власних персональних даних.
3.7. Працівники, які мають доступ до персональних даних, дають письмове зобов’язання про нерозголошення персональних даних, які їм було довірено або які стали їм відомі у зв’язку з виконанням професійних чи службових або трудових обов’язків.
3.8. Датою надання права доступу до персональних даних вважається дата надання зобов’язання відповідним працівником.
Датою позбавлення права доступу до персональних даних вважається дата звільнення працівника, дата переведення на посаду, виконання обов’язків на якій не пов’язане з обробкою персональних даних.
3.9. У разі звільнення працівника, який мав доступ до персональних даних, або переведення його на іншу посаду, що не передбачає роботу з персональними даними Користувачів, вживаються заходи щодо унеможливлення доступу такої особи до персональних даних, а документи та інші носії, що містять персональні дані Користувачів, передаються іншому працівнику.
3.10. Товариство веде облік операцій, пов’язаних з обробкою персональних даних суб’єкта та доступом до них, згідно до вимог чинного законодавства.
3.11. Товариство самостійно визначає процедуру збереження інформації про операції, пов’язані з обробкою персональних даних Користувачів та доступом до них. У випадку обробки персональних даних Користувачів за допомогою автоматизованої системи така система автоматично фіксує вказану інформацію. Ця інформація зберігається Товариством упродовж одного року з моменту закінчення року, в якому було здійснено зазначені операції, якщо інше не передбачено законодавством України.
3.12. Вимоги щодо обліку та збереження інформації про перегляд персональних даних в реєстрі, який є відкритим для населення в цілому, на Товариство не поширюється.
3.13. Персональні дані залежно від способу їх зберігання (паперові, електронні носії) обробляються у такий спосіб, що унеможливлює доступ до них сторонніх осіб.
3.14. З метою забезпечення безпеки обробки персональних даних вживаються спеціальні технічні заходи захисту, у тому числі щодо виключення несанкціонованого доступу до персональних даних, що обробляються та роботі технічного та програмного комплексу, за допомогою якого здійснюється обробка персональних даних.
Повідомлення про права суб’єкта персональних даних
- знати про джерела збирання, місцезнаходження свої персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;
- отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються їх персональні дані;
- на доступ до своїх персональних даних;
- отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються їх персональні дані, а також зміст таких персональних даних;
- пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;
- пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;
- на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
- звертатися із скаргами на обробку своїх персональних даних до Уповноваженого;
- застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;
- вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;
- відкликати згоду на обробку персональних даних, крім випадку обробки персональних даних у зв’язку з виконанням володільцем персональних даних обов’язку, який передбачений законом;
- знати механізм автоматичної обробки їх персональних даних;
- на захист від автоматизованого рішення, яке має для них правові наслідки.
Це положення та всі його редакції публікуються на Сайті Товариства.