Додаток 1

до Наказу № 41-о

від 01.12.2021 року

ПОЛОЖЕННЯ

ПРО ПОРЯДОК ТА ПРОЦЕДУРУ ОБРОБКИ ТА ЗАХИСТУ ПЕРСОНАЛЬНИХ

ДАНИХ КЛІЄНТІВ ЦЕНТРУ СІМЕЙНОГО ЗДОРОВ’Я ТА РЕАБІЛІТАЦІЇ «ГЕЛІОС»,

ТОВ «СКАЙ-ВІННЕР»

Центр сімейного здоров’я та реабілітації «Геліос», ТОВ «СКАЙ-ВІННЕР» (далі —  Центр), у відповідності до Закону України «Про захист персональних даних» повідомляє про права суб’єктів персональних даних, обробку персональних даних і порядок захисту персональних даних. Центр забезпечує обробку та захист персональних даних з дотриманням вимог Конституції України, Закону України «Про захист персональних даних» та інших законів та нормативно-правових актів України. Центр здійснює обробку персональних даних своїх клієнтів, контрагентів, співробітників, пов’язаних з ними осіб, а також інших фізичних осіб, дані яких отримуються Центром під час здійснення ним господарської діяльності, надання медичних послуг та здійснення іншої діяльності відповідно до Статуту ТОВ «СКАЙ-ВІННЕР» та законодавства України.

1.Визначення термінів

База персональних даних — іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;

           володілець персональних даних — фізична або юридична особа, яка визначає мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом;

          згода суб’єкта персональних даних — будь-яке добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки;

          персональні дані — відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;

розпорядник персональних даних — фізична чи юридична особа, якій володільцем персональних даних або законом надано право обробляти ці дані від імені володільця. Не є розпорядником бази персональних даних особа, якій володільцем та/або розпорядником бази персональних даних доручено здійснювати роботи технічного характеру з базою персональних даних без доступу до змісту персональних даних;

   суб’єкт персональних даних — фізична особа, персональні дані якої обробляються;

третя особа — будь-яка особа, за винятком суб’єкта персональних даних, володільця чи розпорядника персональних даних та Уповноваженого Верховної Ради України з прав людини, якій володільцем чи розпорядником персональних даних здійснюється передача персональних даних. 

2. Захист персональних даних та контактні дані відповідальних

Порядок захисту персональних даних визначається Центром самостійно відповідно до вимог Закону України «Про захист персональних даних» (далі — закон) та інших нормативних актів, внутрішніх документів Центру з питань захисту персональних даних.

Для отримання доступу до персональних даних, а також з інших питань щодо питань захисту та обробки персональних даних у Центрі, суб’єкту персональних даних необхідно звертатися за адресою: 49000, Дніпропетровська обл., місто Дніпро, вулиця Ламана, будинок 17 до Адміністратора головного. 

3.Мета обробки персональних даних

Центр здійснює обробку персональних даних з метою:

• надання Центром медичних послуг та провадження іншої діяльності, що зазначена у Статуті ТОВ «СКАЙ-ВІННЕР» та передбачена законодавством України;
• виконання умов договорів, що були/будуть укладені Центром;
• направлення діючим та потенційним клієнтам інформаційних, рекламних повідомлень та пропозицій щодо послуг Центра;
• профілювання (здійснення автоматизованої обробки даних клієнтів, інших контрагентів з метою оцінки побудови стратегій розвитку, розробки та пропозиції послуг Центра);
• забезпечення якості обслуговування та безпеки в діяльності Центра;
• захисту законних інтересів Центра або третьої особи, якій Центром передаються персональні дані, крім випадків, коли потреби захисту основоположних прав і свобод фізичних осіб у зв’язку з обробкою їх даних переважають такі інтереси;
• реалізації інших повноважень, виконання функцій, обов’язків Центра, що передбачені законодавством України або не суперечать йому, зокрема для виконання рішень органів державної влади та органів нагляду за діяльністю Центру, судових рішень.

Мета обробки Центром персональних даних суб’єктів персональних даних може змінюватися внаслідок зміни умов укладених з ними договорів або ділових відносин, змісту діяльності Центра, у тому числі у зв’язку із зміною законодавства України.

Обробка персональних даних з метою надання інформації/пропозиції про послуги Центра, зберігання персональних даних з метою виконання вимог законодавства України щодо порядку зберігання документів, не вважається несумісною обробкою та здійснюється Центром за умови забезпечення належного захисту персональних даних.

4.Права фізичних осіб — суб’єктів персональних даних

Згідно зі статтею 8 Закону України «Про захист персональних даних» суб‘єкт персональних даних має право:

1. Знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження та/або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законодавством України, за умови застосовування до Центра.
2. Отримувати інформацію про умови надання Центром доступу до його персональних даних, зокрема інформацію про третіх осіб, яким Центром передаються його персональні дані.
3. На доступ до своїх персональних даних, які обробляються Центром.
4. Пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних.
5. Отримувати не пізніше, як за тридцять календарних днів з дня надходження до Центру запиту, крім випадків, передбачених законодавством України, відповідь про те, чи обробляються Центром його персональні дані, а також отримувати зміст таких персональних даних.
6. Пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними.
7. На захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи.
8. Звертатися із скаргами на обробку своїх персональних даних до Уповноваженого Верховної Ради України з прав людини, або до суду.
9. Застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних.
10. Вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди.
11. Відкликати згоду на обробку персональних даних.
12. Знати механізм автоматичної обробки персональних даних.

Суб’єкт персональних даних має право на одержання від Центру будь-яких відомостей про себе за умови наявності у Центрі можливості ідентифікувати суб’єкта персональних даних, який звернувся з таким запитом.

Копія персональних даних, що обробляються Центром, надається суб’єкту персональних даних у формі витягу, порядок складання якого визначається Центром. Доступ суб’єкта персональних даних до його персональних даних (у т.ч. надання витягу) здійснюється Центром безоплатно.

5.Підстави для обробки персональних даних

Обробка персональних даних здійснюється Центром з підстав, визначених статтею 11 Закону України «Про захист персональних даних», у тому числі:

• згода суб’єкта персональних даних на обробку його персональних даних;
• дозвіл на обробку персональних даних, що наданий Центру відповідно до закону і виключно для здійснення повноважень;
• необхідність виконання обов’язку Центру, що передбачений законом України;
• укладення та виконання Центром правочину, стороною якого є також суб’єкт персональних даних або який укладено на користь суб’єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта персональних даних;
• захист життєво важливих інтересів суб’єкта персональних даних;
• необхідність захисту законних інтересів Центру або третьої особи, якій Центром передаються персональні дані, крім випадків, коли потреби захисту основоположних прав і свобод фізичних осіб у зв’язку з обробкою його даних переважають такі інтереси.

Центр здійснює обробку персональних даних, які є публічною та/або інформацією у формі відкритих даних (ст. 10¹ ЗУ «Про доступ до публічної інформації»), що отримана із загальнодоступних джерел, без одержання згоди суб’єкта персональних даних. Така інформація може Центром вільно копіюватись, поширюватись та використовуватись іншим чином, в тому числі в комерційних цілях, у поєднанні з іншою інформацією, виключно в обсягах відповідно до вказаної вище мети обробки та з обов’язковим посиланням на джерело отримання цієї інформації.

Звернення фізичної особи до Центру або користування послугами Центру свідчить про дозвіл такої особи на обробку Центром її персональних даних в порядку та обсягах, визначених правилами надання/здійснення Центром відповідних послуг/операцій, в т.ч. умовами укладених договорів.

Згода фізичної особи на обробку Центром її персональних даних є окремою від договору підставою для обробки Центром персональних даних (в разі надання такої згоди фізичною особою).

Обробка Центром окремих категорій персональних даних, обробка яких становить особливий ризик для прав і свобод суб’єктів персональних даних, здійснюється тільки за наявності спеціальних правових підстав, визначених законодавством України, зокрема за умови надання суб’єктом персональних даних однозначної згоди на обробку таких даних.

6.Щодо обов’язковості надання персональних даних до Центру

У межах ділових відносин суб’єкти персональних даних повинні надати Центру всі персональні дані, що є необхідними для прийняття Центром рішення про укладання відповідного договору (вчинення правочину) та для його подальшого виконання, в т.ч. ті персональні дані, які Центр збирає на виконання вимог законодавства України. Якщо суб’єкти персональних даних відмовляються надати Центру запитувані ним дані, Центр відмовляється від укладення договору або припиняє виконувати свої зобов’язання за вже укладеним договором (правочином), або Центр розриває договір, якщо не надання суб’єктом персональних даних запитуваних Центром відомостей позбавляє Центр можливості в подальшому виконувати договір. Суб’єкти персональних даних не зобов’язані надавати Центру свої персональні дані, якщо такі дані не є необхідними для укладення і виконання договору, або не вимагаються законом та внутрішніми документами Центру.

Укладення та виконання договору між Центром і суб’єктом персональних даних є самостійною підставою для обробки Центром персональних даних цього суб’єкта, а тому надання суб’єктом персональних даних Центру окремої згоди на обробку персональних даних цього суб’єкта не є обов’язковою умовою для укладення договору між ними.

У тих випадках, коли Центр здійснює обробку персональних даних на підставі згоди суб’єкта персональних даних, суб’єкт персональних даних може відкликати надану ним Центру згоду на обробку персональних даних частково або повністю своїм відповідним зверненням у формі, що дозволяє ідентифікувати цю фізичну особу. Відкликання згоди означає позначення збережених Центром персональних даних з метою припинення їх обробки в майбутньому, але при цьому, Центр продовжує зберігати дані суб’єктів персональних даних протягом визначених законодавством строків, якщо це є необхідним для виконання Центром обов’язку, що встановлений законом (виконання укладеного з суб’єктом персональних даних договору, реалізація прав та виконання обов’язків за таким договором, виконання обов’язків Центру, які передбачені законодавством, захист законних інтересів Центру або третьої особи, якій Центром передаються персональні дані, тощо).

7.Склад та зміст персональних даних, що обробляються, джерела їх надходження

Зміст і обсяг обробки Центром  персональних даних у значній мірі залежить від виду відносин, у яких перебуває Центр та відповідний суб’єкт персональних даних, у тому числі для клієнтів Центру — суб’єктів персональних даних — зміст та обсяг обробки персональних даних залежить від послуг, які клієнти Центру запросили або з якими вони погоджуються.

Зміст персональних даних, що обробляються Центром, відповідає інформації, отриманій від фізичних осіб — суб’єктів цих персональних даних або законно отриманій від їх представників чи третіх осіб, від осіб, представниками яких виступають суб’єкти персональних даних, або отримана Центром із загальнодоступних джерел (наприклад, з Єдиного державного реєстру юридичних осіб, фізичних осіб — підприємців та громадських формувань), а також включає інформацію, що відома/стала відома Центру в зв’язку із реалізацією договірних та інших правовідносин із такими фізичними особами та іншими особами, які є клієнтами/контрагентами Центра в таких відносинах або була отримана із загальнодоступних джерел.

Центр здійснює обробку персональних даних фізичних осіб, отриманих від третіх осіб, якщо це передбачено законодавством України або за умови надання цими третіми особами гарантії, що така передача здійснюється ними з дотриманням вимог законодавства України і не порушує права фізичних осіб, персональні дані яких передаються Центру.

Центром здійснює обробку персональних даних у наступному складі:

— прізвище, ім’я, по батькові;

— вік і стать

— адреса місця проживання;

— стан здоров’я;

— адреси електронної пошти, номерів телефонів.

З метою забезпечення якості і безпеки обслуговування, Центр здійснює аудіозапис/запис телефонних розмов фізичних осіб з працівниками Центру, фото/відео- зйомку фізичних осіб в приміщеннях Центру на магнітний та/або електронний носій та використання результатів записів/зйомок, у т.ч. в якості доказів. Дані з системи відеоспостереження Центру (фото/відео-зйомка в приміщеннях Центру), аудіозапис/запис телефонних розмов з працівниками Центру, можуть бути використані в кожному конкретному випадку, як самим Центром, так і компетентними державними органами, у тому числі судом (як докази у кримінальних провадженнях), правоохоронними органами (з метою безпеки), судами (для забезпечення доказів у цивільних і господарських справах), працівниками Центру, свідками правопорушень, потерпілими від правопорушень (на виконання їхніх вимог), страхування (виключно для врегулювання страхових вимог), адвокатів та інших органів для виконання функцій цілей правоохоронних органів. 

8. Особи/організації, яким надається доступ до персональних даних та/або передаються персональні дані

У межах Центру доступ до персональних даних надається окремим працівникам Центру, для виконання ними своїх функціональних (трудових) обов’язків, що пов’язані з виконанням договірних обов’язків Центром і реалізацією законних інтересів Центру. Кожен працівник Центру підписує зобов’язання щодо нерозголошення інформації, до якої він має доступ під час виконання функціональних (трудових) обов’язків.

Доступ до персональних даних фізичних осіб надається Центром приватним особам та організаціям (у тому числі розпорядникам персональних даних), для забезпечення виконання ними своїх функцій або надання послуг Центром.

Центр передає персональні дані фізичних осіб — клієнтів Центру або надає доступ до цих даних на вимогу державних органів та осіб при настанні визначених законодавством України підстав для розкриття третім особам такої інформації.

9. Порядок доступу до персональних даних

Порядок доступу до персональних даних третіх осіб здійснюється відповідно до вимог закону. Порядок доступу третіх осіб до персональних даних, які перебувають у володінні розпорядника публічної інформації, визначається Законом України «Про доступ до публічної інформації»

Суб’єкт відносин, пов’язаних з персональними даними, має право подати запит щодо доступу (далі — запит) до персональних даних володільцем яких виступає Центр, в якому обов’язково зазначається наступна інформація:

• прізвище, ім’я та по батькові, місце проживання (місце перебування) і реквізити документа, що посвідчує фізичну особу, яка подає запит (для фізичної особи — заявника);
• найменування, місцезнаходження юридичної особи, яка подає запит, посада, прізвище, ім’я та по батькові особи, яка засвідчує запит;
• підтвердження того, що зміст запиту відповідає повноваженням юридичної особи (для юридичної особи — заявника);
• прізвище, ім’я та по батькові, а також інші відомості, що дають змогу ідентифікувати фізичну особу, стосовно якої робиться запит;
• відомості про базу персональних даних, стосовно якої подається запит, чи відомості про володільця чи розпорядника персональних даних;
• перелік персональних даних, що запитуються;
• мета та/або правові підстави для запиту.

Строк вивчення запиту на предмет його задоволення не може перевищувати десяти робочих днів з дня його надходження. Протягом цього строку володілець персональних даних, тобто Центр, доводить до відома особи, яка подає запит, що запит буде задоволено або відповідні персональні дані не підлягають наданню, із зазначенням підстави, визначеної у відповідному нормативно-правовому акті.

Запит задовольняється протягом тридцяти календарних днів з дня його надходження, якщо інше не передбачено законом.

10.Тривалість зберігання персональних даних

Центр здійснює обробку персональних даних протягом всієї тривалості ділових відносин з відповідними суб’єктами персональних даних (починаючи з укладення договору/замовлення послуги, їх виконання та закінчуючи припиненням дії відповідного договору, завершення обслуговування клієнтів Центру), а також до закінчення строків зберігання інформації (документів з такою інформацією), визначених умовами укладених договорів або законодавством України, у тому числі Законом України «Про захист персональних даних».

11. Обробка персональних даних під час використання клієнтами веб-сайту Центру

Зазначені вище умови обробки персональних даних, в тому числі мета використання персональних даних, а також склад персональних даних, що можуть оброблятися у відповідності до Закону України «Про захист персональних даних», поширюється на суб’єктів персональних даних — користувачів веб-сайту Центру.

При відвідуванні користувачем веб-сайту Центру фіксуються всі входи до системи. Центр може збирати дані про статистику відвідування веб-сайту Центру.

Центр може використовувати інформацію, яку збирає про користувачів веб-сайту Центра для наступних цілей:

• реєстрація клієнта Центра в сервісах веб-сайту Центра;
• надання послуг або функцій в сервісах веб-сайту Центра, які клієнт Центра замовив;
• проведення досліджень щодо використання клієнтами сервісів на веб-сайті Центру для поліпшення якості послуг;
• надання клієнту Центра пропозицій, відправки йому рекламних повідомлень;
• проведення опитувань клієнтів щодо послуг Центра;
• інші цілі, пов’язані з провадженням Центром своєї діяльності та з виконанням вимог чинного законодавства України.

У разі зміни визначеної мети обробки персональних даних на нову мету, яка є несумісною з попередньою, для подальшої обробки даних Центр інформує клієнта про змінену мету до початку подальшої обробки цих даних, та повинен отримати згоду на обробку його даних відповідно до зміненої мети, якщо інше не передбачено законом.

У випадку, якщо користувач не погоджуєтесь з будь-якими із вищевикладених умов обробки персональних даних, він може залишити веб-сайт Центра та не користуватись ним в подальшому.

12. Захист персональних даних

Центр обладнаний системними і програмно-технічними засобами та засобами зв’язку та вживає всі необхідні заходи щодо забезпечення захисту персональних даних на всіх етапах їх обробки, у тому числі за допомогою організаційних та технічних заходів, які запобігають втратам, крадіжкам, несанкціонованому знищенню, незаконній обробці чи доступу до персональних даних.

Працівники, які мають доступ до персональних даних, дають письмове зобов’язання про нерозголошення персональних даних, які їм було довірено або які стали їм відомі у зв’язку з виконанням професійних чи службових або трудових обов’язків. Працівники, що мають доступ до персональних даних, у тому числі здійснюють їх обробку, у разі порушення ними вимог Закону несуть відповідальність згідно законодавства України.