Политика ООО «Стоматология для всех» по обработке и защите персональных данных
- Общие положения
- Настоящая Политика в отношении обработки персональных данных (далее – Политика) составлена в соответствии с п. 2 ст. 18.1 Федерального закона 152-ФЗ от 27 июля 2006 года «О персональных данных» и является основополагающим внутренним регулятивным документом Общества с ограниченной ответственностью «Стоматология для всех» (Общество), определяющим ключевые направления его деятельности в области обработки и защиты персональных данных, оператором которых является Общество.
- Политика разработана в целях реализации требований законодательства в области обработки и защиты персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных в Обществе, в том числе защиты прав на неприкосновенность частной жизни, личной, семейной и врачебной тайн.
- В Политике применяются следующие сокращения, термины и определения:
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).Дирекция – аппарат управления ООО «Стоматология для всех». Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. Лечащий врач – врач, на которого возложены функции по организации и непосредственному оказанию пациенту медицинской помощи в период наблюдения за ним и его лечения. Медицинская деятельность – профессиональная деятельность по оказанию медицинской помощи. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.Пациент – физическое лицо, которому оказывается медицинская помощь или которое обратилось за оказанием медицинской помощи независимо от наличия у него заболевания и от его состояния.Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.Работник – физическое лицо, вступившее в трудовые отношения с Обществом.Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.Система защиты персональных данных (СЗПДн) – комплекс мер направленных на защиту персональных данных субъекта персональных данных.Субъект персональных данных – человек, к которому относятся соответствующие персональные данные.Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.Общество – «Фирма Стомадент» (Дирекция), являющееся оператором персональных данных. - Положения Политики распространяются на отношения по обработке и защите ПДн, полученных Обществом как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите ПДн, полученных до ее утверждения.
- Обработка ПДн в Обществе осуществляется в связи с выполнением функций, предусмотренных учредительными документами, и определяемых:
- Федеральным законом от 21 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
- Федеральным законом № 152-ФЗ от 27 июля 2006 года «О персональных данных»;
- Постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановлением Правительства РФ от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- иными нормативными правовыми актами Российской Федерации. Кроме того, обработка ПДн в Обществе осуществляется в ходе трудовых и иных непосредственно связанных с ними отношений, в которых Общество выступает в качестве работодателя (глава 14 Трудового кодекса Российской Федерации), в связи с реализацией Обществом своих прав и обязанностей как юридического лица.
- Общество имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.
- Действующая редакция хранится в месте нахождения Общества по адресу: Россия, Ростовская область, г. Ростов-на-Дону, ул. Большая Садовая , д.128, E-mail: stomlar@mail.ru Электронная версия Политики на сайте www.stomlar.ru
- Принципы обеспечения безопасности персональных данных
- Основной задачей обеспечения безопасности ПДн при их обработке в Обществе является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью блокирования доступа, хищения, разрушения (уничтожения) или искажения ПДн в процессе обработки.
- Для обеспечения безопасности ПДн Общество руководствуется следующими принципами:
- законность: защита ПДн основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты ПДн;
- системность: обработка ПДн в Обществе осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности ПДн;
- комплексность: защита ПДн строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах Общества и других имеющихся в Обществе систем и средств защиты;
- непрерывность: защита ПДн обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки ПДн, в том числе при проведении ремонтных и регламентных работ;
- своевременность: меры, обеспечивающие надлежащий уровень безопасности ПДн, принимаются до начала их обработки;
- преемственность и непрерывность совершенствования: модернизация и наращивание мер и средств защиты ПДн осуществляется на основании результатов анализа практики обработки ПДн в Обществе с учетом выявления новых способов и средств реализации угроз безопасности ПДн, отечественного и зарубежного опыта в сфере защиты информации;
- персональная ответственность: ответственность за обеспечение безопасности ПДн возлагается на Работников в пределах их обязанностей, связанных с обработкой и защитой ПДн;
- минимизация прав доступа: доступ к ПДн предоставляется Работникам только в объеме, необходимом для выполнения их должностных обязанностей;
- гибкость: обеспечение выполнения функций защиты ПДн при изменении характеристик функционирования информационных систем персональных данных Общества, а также объема и состава обрабатываемых ПДн;
- специализация и профессионализм: реализация мер по обеспечению безопасности ПДн осуществляются Работниками, имеющими необходимые для этого квалификацию и опыт;
- эффективность процедур отбора кадров: кадровая политика Общества предусматривает тщательный подбор персонала и мотивацию Работников, позволяющую исключить или минимизировать возможность нарушения ими безопасности ПДн;
- наблюдаемость и прозрачность: меры по обеспечению безопасности ПДн должны быть спланированы так, чтобы результаты их применения были явно наблюдаемы (прозрачны) и могли быть оценены лицами, осуществляющими контроль;
- непрерывность контроля и оценки: устанавливаются процедуры постоянного контроля использования систем обработки и защиты ПДн, а результаты контроля регулярно анализируются.
- В Обществе не производится обработка ПДн, несовместимая с целями их сбора. Если иное не предусмотрено федеральным законом, по окончании обработки ПДн в Обществе, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, обрабатывавшиеся Обществом ПНд уничтожатся или обезличиваются.
- При обработке ПДн обеспечиваются их точность, достаточность, а при необходимости – и актуальность по отношению к целям обработки. Общество принимает необходимые меры по удалению или уточнению неполных или неточных ПДн.
- Обработка персональных данных
- Получение ПДн
- Все ПДн следует получать от самого субъекта персональных данных. Если ПДн субъекта персональных данных можно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом или от него должно быть получено письменное согласие.
- Общество должно сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения ПДн, характере подлежащих получению ПДн, перечне действий с ПДн, сроке, в течение которого действует согласие и порядке его отзыва, а также о последствиях отказа субъекта персональных данных дать письменное согласие на их получение.
- Документы, содержащие ПДн создаются путем:
- копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство и др.);
- внесения сведений в учетные формы;
- получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.).
- Обработка ПДн
- Обработка персональных данных осуществляется:
- с согласия субъекта персональных данных на обработку его персональных данных;
- в случаях, когда обработка персональных данных необходима для осуществления и выполнения, возложенных законодательством Российской Федерации функций, полномочий и обязанностей;
- в случаях, когда осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее – персональные данные, сделанные общедоступными субъектом персональных данных).Доступ Работников к обрабатываемым ПДн осуществляется в соответствии с их должностными обязанностями и требованиями внутренних документами Общества.
Допущенные к обработке ПДн Работники под роспись знакомятся с документами Общества, устанавливающими порядок обработки ПДн, включая документы, устанавливающие права и обязанности конкретных Работников Общества.
Обществом производится устранение выявленных нарушений законодательства об обработке и защите ПДн.
- Цели обработки ПДн:
- обеспечение организации оказания медицинской помощи населению, а также наиболее полного исполнения обязательств и компетенций в соответствии с Федеральными законами от 21 ноября 2011г № 323-ФЗ «Об основах охраны здоровья граждан Российской Федерации», от 12 апреля 2010 г. № 61-ФЗ «Об обращении лекарственных средств», Правилами предоставления медицинскими организациями платных медицинских услуг, утвержденными Постановлением Правительства Российской Федерации от 4 октября 2012 г. № 1006;
- осуществление трудовых отношений;
- осуществление гражданско-правовых отношений.
- Категории субъектов персональных данных
В Обществе обрабатываются ПДн следующих субъектов персональных данных:- физические лица, состоящие с Обществом в трудовых отношениях;
- физические лица, уволившиеся из Общества;
- физические лица, являющиеся кандидатами на работу;
- физические лица, состоящие с Обществом в гражданско-правовых отношениях;
- физические лица, обратившиеся в Общество за медицинской помощью.
- ПДн, обрабатываемые Обществом:
- данные полученные при осуществлении трудовых отношений;
- данные полученные для осуществления отбора кандидатов на работу в Общество;
- данные полученные при осуществлении гражданско-правовых отношений;
- данные полученные при оказании медицинской помощи.
- Полный список конфиденциальной информации, в том числе и ПДн для Дирекции утверждается директором Общества.
- Обработка персональных данных ведется:
- с использованием средств автоматизации.
- без использования средств автоматизации.
- Обработка персональных данных осуществляется:
- Хранение ПДн
- ПДн субъектов персональных данных могут быть получены, проходить дальнейшую обработку и передаваться на хранение, как на бумажных носителях, так и в электронном виде.
- ПДн, зафиксированные на бумажных носителях, хранятся в запираемых шкафах, либо в запираемых помещениях с ограниченным правом доступа.
- ПДн субъектов персональных данных, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных ИСПДн.
- Не допускается хранение и размещение документов, содержащих ПДн, открытых информационных ресурсах (электронных каталогах, файлообменниках, файловых хранилищах, на общедоступных сайтах и т.п.).
- Хранение ПДн в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
- Уничтожение ПДн
- Уничтожение документов (носителей), содержащих ПДн производится путем сожжения, дробления (измельчения), химического разложения, превращения бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
- ПДн на электронных носителях уничтожаются путем стирания или форматирования носителя.
- ПДн в ИСПДн уничтожаются путем удаления записей субъекта персональных данных.
- Уничтожение производится комиссией по информационной безопасности. Факт уничтожения ПДн подтверждается документально актом об уничтожении носителей, подписанным членами комиссии.
- Передача ПДн
- Общество передает ПДн третьим лицам в следующих случаях:
- Субъект персональных данных выразил свое согласие на такие действия;
- передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры.
- Общество передает ПДн третьим лицам в следующих случаях:
- Перечень лиц, которым передаются ПДн
Третьи лица, которым передаются ПДн:- Пенсионный фонд РФ для учета (на законных основаниях);
- Налоговые органы РФ (на законных основаниях);
- Фонд социального страхования (на законных основаниях);
- Территориальный фонд обязательного медицинского страхования (на законных основаниях);
- банки для начисления заработной платы (на основании договора);
- судебные и правоохранительные органы в случаях, установленных законодательством;
- бюро кредитных историй (с согласия субъекта персональных данных);
- юридические фирмы, работающие в рамках законодательства РФ, при неисполнении обязательств по договору займа (с согласия субъекта персональных данных).
- Получение ПДн
- Обработка персональных данных
- В соответствии с требованиями нормативных документов Обществом создана система защиты персональных данных (СЗПДн), состоящая из подсистем правовой, организационной и технической защиты.
- Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПДн.
- Подсистема организационной защиты включает в себя организацию структуры управления СЗПДн, разрешительной системы, защиты информации при работе с Работниками, партнерами и сторонними лицами, защиты информации в открытой печати, публикаторской и рекламной деятельности, аналитической работы.
- Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПДн.
- Основными мерами защиты ПДн, используемыми Центром, являются:
- Назначение лица ответственного за организацию обработки и обеспечения безопасности ПДн;
- Назначение администратора информационной безопасности ИСПДн, который осуществляет обучение и инструктаж, внутренний контроль над соблюдением Обществом и его Работниками требований к защите ПДн;
- Определение актуальных угроз безопасности ПДн при их обработке в ИСПДн, и разработка мер и мероприятий по защите ПДн;
- Разработка политики в отношении обработки персональных данных;
- Установление правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечения регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
- Установление индивидуальных паролей доступа Работников Общества в информационную систему в соответствии с их производственными обязанностями;
- Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, учет машинных носителей ПДн, обеспечение их сохранности;
- Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами;
- Сертифицированное программное средство защиты информации от несанкционированного доступа;
- Сертифицированные межсетевой экран и средство обнаружения
- Соблюдение условий, обеспечивающих сохранность ПДн и исключающие несанкционированный к ним доступ, оценка эффективности принимаемых и реализованных мер по обеспечению безопасности ПДн
- Установление правил доступа к обрабатываемым ПДн, обеспечение регистрации и учета действий, совершаемых с ПДн, а также обнаружение фактов несанкционированного доступа к персональным данным и принятия мер;
- Восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- Инструктаж Работников, непосредственно осуществляющих обработку персональных данных, положениям законодательства Российской Федерации о персональных данных, в том числе требованиям к защите персональных данных, документами, определяющими политику Общества в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных;
- Осуществление внутреннего контроля и аудита.
- Основные права субъекта персональных данных и обязанности Общества, как оператора персональных данных
- Основные права субъекта персональных данных
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:- подтверждение факта обработки персональных данных Обществом;
- правовые основания и цели обработки персональных данных;
- цели и применяемые оператором способы обработки персональных данных;
- наименование и место нахождения Общества, сведения о лицах (за исключением Работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.Субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
- Обязанности Общества
Общество обязано:- при сборе ПДн предоставить информацию об обработке персональных данных субъекта персональных данных;
- при отказе в предоставлении ПДн субъекту персональных данных разъясняются последствия такого отказа;
- опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн;
- принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн а также от иных неправомерных действий в отношении ПДн;
- давать ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных.
- Основные права субъекта персональных данных