Политика обработки персональных данных
1. Общие положения
1.1 Настоящий документ определяет цели, основные принципы и направления действий по обеспечению безопасной обработки персональных данных, основные отношения в области обработки и защиты персональных данных в ООО «Эликсир-Д» и субъектов этих отношений (далее — Политика).
1.2 Политика разработана в соответствии с Федеральным законом РФ «О персональных данных» № 152-ФЗ от 27 июля 2006 года и действует в отношении всех персональных данных (далее — ПД), которые ООО «Эликсир-Д» обрабатывает в ходе своей деятельности.
1.3 Правовую основу обработки и защиты ПД в ООО «Эликсир-Д» составляют следующие документы:
- Конституция РФ;
- Трудовой кодекс РФ;
- Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.06 г. №149-ФЗ;
- Федеральный закон «О персональных данных» от 27.07.06 г. № 152-ФЗ;
- Постановление Правительства РФ от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее – ПП 1119);
- Устав ООО «Эликсир-Д» и др.
2. Термины и определения
Персональные данные (ПД) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПД, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД.
3. Категории субъектов ПД и состав обрабатываемых ПД
3.1 Категории субъектов ПД, в отношении которых производится обработка ПД в ООО «Эликсир-Д» (далее по тексту Общество):
3.1.1 Физические лица, состоящие с Обществом в трудовых отношениях (сотрудники);
3.1.2 Физические лица, являющиеся близкими родственниками работников;
3.1.3 Физические лица, прекратившие трудовые отношения с Обществом;
3.1.4 Физические лица, являющиеся кандидатами на должность работников;
3.1.5 Физические лица, являющиеся стороной по гражданским договорам с Обществом;
3.1.6 Физические лица, обратившиеся за оказанием услуг в Общество;
3.1.7 Иные физические лица, в отношении которых осуществляется обработка ПД во исполнение полномочий Общества.
3.2 Состав обрабатываемых ПД определяется целями обработки и регламентируется Перечнем ПД, подлежащих защите.
4. Цели и принципы обработки и защиты персональных данных
4.1 Основными целями обработки ПД в Обществе являются:
4.1.1 Оказание медицинских, медико-социальных и медико-профилактических услуг;
4.1.2 реализация трудовых отношений с сотрудниками Общества, лицами, занимающими должности;
4.1.3 осуществление гражданско-правовых отношений по договорам, заключаемым Обществом с физическими лицами.
4.2 Основные принципы обработки ПД в Обществе:
4.2.1 ПД субъекта должны быть получены только от субъекта ПД, при этом субъект ПД должен дать письменное согласие на обработку его ПД. Получение ПД от третьей стороны возможно только в случаях и порядке, установленных Трудовым кодексом РФ или федеральными законами;
4.2.2 Обработка ПД ведется с использованием средств автоматизации и без использования средств автоматизации.
4.2.3 Обработка ПД осуществляется только в целях, для которых ПД запрашивались, и не дольше, чем этого требуют цели их обработки и сроки хранения. ПД подлежат уничтожению, обезличиванию, или передаче в архив по достижении целей обработки или в случае утраты необходимости в их достижении.
4.2.4 Общество вправе предоставлять ПД субъекта ПД третьей стороне только с письменного согласия субъекта ПД за исключением случаев, установленных федеральными законами.
4.3 Основными целями защиты ПД в Обществе являются:
4.3.1 обеспечение защиты прав и свобод граждан, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;
4.3.2 обеспечение бесперебойной обработки ПД при предоставлении медицинских услуг.
4.4 Основные принципы защиты ПД в Обществе:
4.4.1 Защита ПД должна носить системный характер и включать в себя комплекс организационно-правовых и технических мероприятий;
4.4.2 Защита ПД должна быть экономически обоснованной и достаточной для обеспечения сохранности ПД и надежного предоставления медицинских услуг, требующих обработки ПД;
4.4.3 Защита ПД должна распространяться на обработку ПД с использованием средств автоматизации и без использования средств автоматизации.
5. Основные направления действий по обеспечению защиты персональных данных
5.1 Основными направлениями действий по обеспечению защиты ПД являются:
5.1.1 правовая защита;
5.1.2 организационная защита;
5.1.3 техническая защита;
5.2 Правовая защита включает в себя утверждение и исполнение комплекса организационно-распорядительных и нормативных документов, обеспечивающих создание и функционирование системы защиты ПД, систему ответственности за неправомерную обработку ПД;
5.3 Организационная защита заключается в формировании системы организационного управления процессами обработки и защиты ПД, документировании деятельности в области обработки и защиты ПД, организации контролируемого доступа к информации и обмена информацией, включающей ПД, формировании системы отношений Учреждения с субъектами ПД, контрольно-надзорными органами, третьими лицами, получающими ПД или передающими ПД, организации аналитической работы в области обработки и защиты ПД;
5.4 Техническая защита включает в себя формирование контролируемой зоны, организацию контрольно-пропускного и внутриобъектового режимов, организацию надежного хранения носителей информации, в том числе, выполнение мер пожарной безопасности; использование технических средств охраны, внедрение комплекса программных и программно-аппаратных средств защиты информации в информационных системах и каналах передачи данных.
6. Права и обязанности субъектов отношений в области обработки и защиты ПД в ООО «Эликсир-Д»
6.1 В соответствии с законодательством субъект ПД имеет право на:
6.1.1 полную информацию о составе и содержании обработки его ПД;
6.1.2 свободный бесплатный доступ к своим ПД, включая право на получение копий любой записи, содержащей его ПД, за исключением случаев, предусмотренных федеральным законом;
6.1.3 определение своих представителей для защиты своих ПД;
6.1.4 требование об исключении или исправлении неверных или неполных ПД, а также данных, обработанных с нарушением требований законодательства;
6.1.5 требование об извещении Общества всех лиц, которым ранее были сообщены неверные или неполные ПД субъекта ПД, обо всех произведенных в них исключениях, исправлениях или дополнениях;
6.1.6 обращение в контрольно-надзорные органы, обжалование в суде любых неправомерных действий или бездействия Общества при обработке и защите его ПД.
6.2 Обязанности субъекта ПД при обработке его ПД.
6.2.1 Субъект ПД обязан предоставить Обществу для обработки полные и достоверные сведения, необходимые для исполнения возложенных на Общество обязанностей.
6.2.2 Сообщать Обществу об изменениях своих ПД.
6.3 В соответствии с законодательством РФ Общество является оператором ПД в отношении субъектов ПД, перечисленных в п. 3.1;
6.4 При обработке ПД Общество имеет право:
6.4.1 проверять достоверность обрабатываемых ПД субъектов ПД законными способами;
6.4.2 требовать от работников выполнения положений нормативных документов по обработке и защите ПД;
6.4.3 осуществлять контроля выполнения требований по обработке и защите ПД;
6.4.4 привлекать к ответственности работников Общества, пациентов и иных лиц, нарушающих требования законодательства по обработке и защите ПД.
6.5 Обязанности Общества при обработке ПД:
6.5.1 осуществлять обработку ПД субъекта ПД исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов;
6.5.2 при определении объёма и содержания обрабатываемых ПД субъекта ПД руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом «О персональных данных» от 27.07.06 г. № 152 и иными федеральными законами;
6.5.3 получать все ПД субъекта ПД у него самого. Возможно получение ПД у третьей стороны в случаях и порядке, установленных Трудовым кодексом Российской Федерации, иными федеральными законами;
6.5.4 обеспечить защиту ПД субъектов ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий;
6.5.5 совместно с субъектами ПД и их представителями вырабатывать меры защиты ПД субъектов ПД.
6.6 Контрольно-надзорные функции осуществляют:
6.6.1 Роскомнадзор (Управление Роскомнадзора) – в части соблюдения прав граждан в части обработки и защиты их ПД;
6.6.2 ФСТЭК РФ – в части выполнения требований законодательства РФ по обеспечению технической защиты информации;
6.6.3 ФСБ РФ – в части выполнения требований законодательства РФ по использованию средств криптографической защиты информации.