Загрузка...
Поручение Лицензиата на обработку персональных данных
Настоящее Поручение Лицензиата на обработку персональных ( адрес на сайте https://bizzup.ru/poruch-opd) (далее – Поручение) к лицензионному договору-оферте, размещенному по адресу https://bizzup.ru/lisence-offerta (далее – Договор), устанавливает для Лицензиара и Лицензиата права и обязанности, связанные с обработкой персональных данных при использовании Интеграционного модуля «MEDUP» (ПО). Поручение является неотъемлемой частью Договора, акцептуя Договор, Лицензиат в полной мере и безоговорочно выдает Поручение.
1. Термины и определения
В рамках настоящего Поручения применяются следующие термины и определения:Оператор (Лицензиат) – юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработчик (Лицензиар) – лицо, осуществляющее обработку персональных данных по поручению Оператора в соответствии с частями 3-5 статьи 6 Федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных» (далее – ФЗ «О персональных данных»).
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, получение, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2. Предмет соглашения
2.1. Оператор поручает, а Обработчик принимает на себя обязательство осуществлять обработку нижеуказанных персональных данных Оператора в соответствии с условиями настоящего Поручения:Цель обработки ПДн | Категория субъектов | Перечень ПДн | Действия с ПДн |
Настройка ПО и обеспечение его функционирования в рамках оказания Лицензиатом медицинской помощи и ведения медицинской документации | Пациенты Оператора | - Ф.И.О.; - номер телефона; - дата и место рождения, пол; - адрес электронной почты; - имя пользователя в мессенджере; - номера амбулаторных карт; - информация о записи на прием (дата и время записи на прием, специалист, к которому выполнена запись (Ф.И.О., должность, специализация), адрес записи (филиал клиники); - состав оказанных медицинских услуг; - стоимость оказанных медицинских услуг; - сведения об оплате медицинских услуг; - планируемые услуги к оказанию; - источник финансирования медицинских услуг (ДМС, ОМС, собственные средства); - дата и время обращения в клинику (звонка, сообщения, заявки). | • запись; • получение; • накопление; • хранение; • уточнение (обновление, изменение); • передача (предоставление, доступ) Оператору; удаление. |
Настройка ПО и обеспечение его функционирования в рамках оказания Лицензиатом медицинской помощи и ведения медицинской документации | Медицинские работники Оператора | - Ф.И.О.; - должность; - дата и место рождения, пол; - специализация; - описание (фото, видео) | • запись; • получение; • накопление; • хранение; • уточнение (обновление, изменение); • передача (предоставление, доступ) Оператору; удаление. |
Настройка ПО и обеспечение его функционирования в рамках оказания Лицензиатом медицинской помощи и ведения медицинской документации | Работники (персонал) Оператора | - Ф.И.О.; - должность; - подразделение; - кадровый статус - телефон - адрес электронной почты | • запись; • получение; • накопление; • хранение; • уточнение (обновление, изменение); • передача (предоставление, доступ) Оператору; удаление |
Исполнение обязательств по Договору | Работники Оператора | - Ф.И.О.; - должность; - телефон - адрес электронной почты | • запись; • получение; • накопление; • хранение; • уточнение (обновление, изменение); передача (предоставление, доступ) Оператору; удаление |
2.2. Передача персональных данных между Оператором и Обработчиком осуществляется по электронным каналам связи через функционал ПО.
2.3. Обработчику запрещено осуществлять передачу персональных данных третьим лицам без предварительного письменного разрешения Оператора и согласий субъектов персональных данных за исключением случаев поручения обработки персональных данных провайдерам сервисов хранения данных, обслуживающей инфраструктуры, при соблюдении ими условий конфиденциальности, а также случаев, предусмотренных законодательством Российской Федерации. После получения соответствующего письменного разрешения Оператора Обработчик может привлекать третье лицо и осуществлять ему передачу персональных данных Оператора только при условии подписания с данным лицом соответствующего договора, в котором на третье лицо возлагаются обязанности по соблюдению конфиденциальности персональных данных, по обеспечению безопасности при обработке персональных данных, какие предусмотрены настоящим Соглашением.
2.4. Обработчик обязуется до момента начала обработки персональных данных ознакомить лиц, допущенных Обработчиком к обработке персональных данных без использования средств автоматизации, о факте обработки указанными лицами персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки персональных данных, установленных применимыми нормативными правовыми актами путем ознакомления таких лиц с соответствующими локальными нормативными актами Обработчика.
2.3. Обработчику запрещено осуществлять передачу персональных данных третьим лицам без предварительного письменного разрешения Оператора и согласий субъектов персональных данных за исключением случаев поручения обработки персональных данных провайдерам сервисов хранения данных, обслуживающей инфраструктуры, при соблюдении ими условий конфиденциальности, а также случаев, предусмотренных законодательством Российской Федерации. После получения соответствующего письменного разрешения Оператора Обработчик может привлекать третье лицо и осуществлять ему передачу персональных данных Оператора только при условии подписания с данным лицом соответствующего договора, в котором на третье лицо возлагаются обязанности по соблюдению конфиденциальности персональных данных, по обеспечению безопасности при обработке персональных данных, какие предусмотрены настоящим Соглашением.
2.4. Обработчик обязуется до момента начала обработки персональных данных ознакомить лиц, допущенных Обработчиком к обработке персональных данных без использования средств автоматизации, о факте обработки указанными лицами персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки персональных данных, установленных применимыми нормативными правовыми актами путем ознакомления таких лиц с соответствующими локальными нормативными актами Обработчика.
3. Обязанности Сторон при обработке персональных данных
3.1. Оператор обязуется:3.1.1. Обеспечить соответствие целей обработки персональных данных, передаваемых в рамках настоящего Соглашения, целям сбора персональных данных.
3.1.2. Обеспечить наличие правовых оснований для обработки персональных данных и поручения обработки персональных данных Обработчику.
3.1.3. Незамедлительно довести до Обработчика информацию об утрате правовых оснований для обработки персональных данных (в т. ч. в случае отзыва субъектом персональных данных согласия на их обработку).
3.2. Обработчик обязуется:
3.2.1. Соблюдать принципы и правила обработки персональных данных, установленные законодательством о персональных данных.
3.2.2. Ограничить обработку персональных данных достижением целей, определенных в настоящем Соглашении, и не допускать обработку персональных данных, несовместимую с указанными в настоящем Соглашении целями обработки персональных данных.
3.2.3. Обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
3.2.4. Не допускать объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
3.2.5. Не допускать накопления избыточных персональных данных.
3.2.6. Обеспечить точность, актуальность и достаточность персональных данных при осуществлении их обработки.
3.2.7. При получении информации от Оператора о достижении цели обработки персональных данных и/или об утрате необходимости в достижении целей обработки персональных данных, об отзыве субъектом персональных данных согласия на обработку его персональных данных, а также в любом ином случае по запросу Оператора, уничтожить персональные данные, обрабатываемые по поручению, в срок, определенный в запросе Оператором или законодательством Российской Федерации (в случае отсутствия срока, установленного Оператором).
3.2.8. В течение 5 (пяти) рабочих дней с даты уничтожения персональных данных предоставить Оператору письменные доказательства произведенного уничтожения по форме, установленной законодательством Российской Федерации.
3.2.9. Уведомить Оператора в случае установления Обработчиком факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных (далее – инцидент). Уведомление должно включать в себя информацию о времени выявления и характере инцидента (включая информацию о категориях субъектов персональных данных и их приблизительном количестве, предполагаемых причинах инцидента, затрагиваемых категориях персональных данных и их приблизительном количестве), о причинах и возможных последствиях инцидента, о мерах, принимаемых или планируемых Обработчиком для устранения последствий инцидента, предполагаемом вреде, который может быть причинен правам субъектов персональных данных, а также контактные данные лица, которое может предоставить Оператору детальную информацию об инциденте. Форма уведомления приведена в приложении к Поручению.
Первоначальное уведомление направляется Оператору не позднее 12 часов с момента выявления инцидента. Первоначальное уведомление должно содержать информацию о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также сведения о лице, уполномоченном на взаимодействие с Оператором, связанным с выявленным инцидентом.
Дополнительная информация об инциденте, предоставляется Оператору в максимально короткие сроки, но не позднее 48 часов с момента первоначального уведомления об инциденте. Дополнительная информация должна содержать результаты внутреннего расследования выявленного инцидента, а также сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
Обработчик незамедлительно принимает все необходимые меры для устранения угроз безопасности, целостности и конфиденциальности персональных данных, минимизации ущерба, а также для предотвращения любых возможных негативных последствий для субъектов персональных данных, Оператора или максимально возможного сокращения негативных воздействий. По требованию Оператора Обработчик оказывает Оператору необходимую поддержку по минимизации последствий инцидента.
3.2.10. В случае выявления неправомерной обработки, включая неправомерную или случайную передачу (предоставление, распространение, доступ) персональных данных, незамедлительно уведомить об этом Оператора и прекратить обработку неправомерно обрабатываемых данных до получения дальнейших инструкций от Оператора.
3.2.11. Содействовать Оператору при осуществлении уполномоченным органом по защите прав субъектов персональных данных государственного контроля (надзора) за деятельностью Оператора по обработке персональных данных. При этом Обработчик обеспечивает предоставление необходимой для осуществления государственного контроля (надзора) информации в срок, установленный соответствующим запросом Оператора или лица, уполномоченного на осуществление такого контроля (надзора).
3.2.12. Предоставлять по запросу Оператора до начала обработки персональных данных по настоящему Соглашению, а также по запросу Оператора в течение срока действия настоящего Соглашения, в течение 5 (пяти) рабочих дней с даты получения такого запроса, если иной срок не установлен в запросе, документы и/или информацию, подтверждающие принятие мер, направленных на обеспечение выполнения обязанностей, предусмотренных пунктами 2 – 5 настоящего Соглашения.
4. Конфиденциальность
4.1. Обработчик при выполнении настоящего Соглашения обязуется обеспечить конфиденциальность персональных данных, обрабатываемых по поручению Оператора. Обязательство по обеспечению конфиденциальности персональных данных продолжает действовать в течение 5 лет с момента истечения срока действия настоящего Соглашения и / или его досрочного прекращения.
4.2. Обработчик обязуется раскрывать информацию о персональных данных Оператора своим работникам и иным лицам, привлекаемым к обработке персональных данных, только в тех пределах, которые необходимы для достижения целей обработки персональных данных, определенных в настоящем Соглашении.
4.3. Обработчик гарантирует, что его работники и иные лица, привлекаемые Обработчиком к обработке персональных данных, приняли обязательства по соблюдению конфиденциальности персональных данных.
4.4. Обработчик обязуется не раскрывать информацию о персональных данных, обрабатываемых по поручению Оператора, любым третьим лицам за исключением случаев, предусмотренных законодательством Российской Федерации или настоящим Соглашением.
5. Требования к защите обрабатываемых персональных данных
5.1. Обработчик обязан принимать меры, необходимые и достаточные для обеспечения выполнения Обработчиком обязанностей, предусмотренных законодательством Российской Федерации, включая:
− назначение лица, ответственного за организацию обработки персональных данных;
− издание документов, определяющих политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
− осуществление внутреннего контроля (аудита) соответствия обработки персональных данных Федеральному закону Российской Федерации от 27.07.2006 г. №152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике в отношении обработки персональных данных, локальным актам;
− проведение оценки вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона Российской Федерации от 27.07.2006 г. №152-ФЗ «О персональных данных», соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством о персональных данных;
− ознакомление работников, непосредственно осуществляющих обработку персональных данных, а также и иных лиц, уполномоченных на обработку персональных данных, с положениями законодательства о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
− опубликование или иное обеспечение неограниченного доступа к документу, определяющему политику Обработчика в отношении обработки персональных данных, в том числе в случае сбора персональных данных с использованием информационно-телекоммуникационных сетей – опубликование документа, а также сведений о реализуемых требованиях к защите персональных данных в соответствующей информационно-телекоммуникационной сети на страницах, на которых осуществляется сбор персональных данных и обеспечение возможности доступа к документу с использованием средств информационно-телекоммуникационной сети.
− предоставление документов и локальных актов по вопросам обработки персональных данных и (или) иное подтверждение принятия мер по обеспечению обработчиком обязанностей, предусмотренных 152-ФЗ «О персональных данных», по запросу уполномоченного органа по защите прав субъектов персональных данных или Оператора.
5.2. Обработчик обязан обеспечить безопасность персональных данных в соответствии с требованиями нормативных правовых актов Российской Федерации, предъявляемыми к защите персональных данных, включая:
− определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
− применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
− применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
− оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
− учет машинных носителей персональных данных;
− обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
− восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
− установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
− контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
6. Порядок взаимодействия Оператора и Обработчика при обработке обращений и запросов
6.1. В случае обращения к Обработчику субъекта персональных данных Оператора с запросом на получение информации, касающейся обработки его персональных данных, обрабатываемых Обработчиком по поручению Оператора, Обработчик обязан незамедлительно информировать о полученном запросе Оператора.
6.2. Обязанность по предоставлению сведений по запросу субъекта персональных данных Оператора на получение информации, касающейся обработки его персональных данных в рамках настоящего Соглашения, возлагается на Оператора.
6.3. Обработчик содействует Оператору в выполнении его обязанности реагировать на требования по реализации прав субъекта персональных данных, а также на требования уполномоченного органа по защите прав субъектов персональных данных.
7. Ответственность Сторон
7.1. Оператор несет ответственность перед субъектом персональных данных за действия, осуществляемые Обработчиком при обработке персональных данных.
7.2. Обработчик несет ответственность перед Оператором за действия, осуществляемые при обработке персональных данных по поручению Оператора, в том числе за действия привлекаемых Обработчиком третьих лиц.
7.3. Сторона, не исполнившая или ненадлежащим образом исполнившая обязательства по настоящему Соглашению, обязана возместить другой Стороне любые расходы и / или убытки, возникшие у другой Стороны, в связи с указанным неисполнением или ненадлежащим исполнением обязательств по настоящему Соглашению.
8. Заключительные положения
8.1. Никакие положения настоящего Соглашения не освобождают Стороны от соблюдения законных требований, предъявляемых уполномоченными органами, а также иными лицами, имеющими соответствующие полномочия, или судом. Стороны по мере возможности обсуждают друг с другом ответы на запросы, связанные с истребованием информации со стороны уполномоченных органов, а также иных лиц, имеющих на это соответствующие полномочия, в отношении информации, связанной с исполнением настоящего Соглашения.
8.2. Настоящее Соглашение является неотъемлемой частью лицензионному договору-оферте Условия настоящего Соглашения имеют приоритетное значение перед условиями Договора, относящимися к правоотношениям Сторон, урегулированными настоящим Соглашением.
Во всем остальном, что не предусмотрено настоящим Соглашением, применяются положения Договора и требования законодательства Российской Федерации.
Приложение
к лицензионному договору-оферте,
размещенному по адресу https://bizzup.ru/lisence-offerta