Политика обработки персональных данных

1.         Общие положения

1.1        Настоящий документ определяет цели, основные принципы и направления действий по обеспечению безопасной обработки персональных данных, основные отношения в области обработки и защиты персональных данных в ООО «Эликсир-Д» и субъектов этих отношений (далее — Политика).

1.2        Политика  разработана в соответствии с Федеральным законом РФ «О персональных данных» № 152-ФЗ от 27 июля 2006 года  и действует в отношении всех персональных данных (далее — ПД), которые ООО «Эликсир-Д»  обрабатывает в ходе своей деятельности.

1.3        Правовую основу обработки и защиты ПД в ООО «Эликсир-Д»  составляют следующие документы:

-     Конституция РФ;

-     Трудовой кодекс РФ;

-     Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.06 г. №149-ФЗ;

-     Федеральный закон «О персональных данных» от 27.07.06 г. № 152-ФЗ;

-     Постановление Правительства РФ от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее – ПП 1119);

-     Устав ООО «Эликсир-Д»  и др.

2.         Термины и определения

Персональные данные (ПД) любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).

Обработка персональных данных любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПД, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД.

3.         Категории субъектов ПД и состав обрабатываемых ПД

3.1         Категории субъектов ПД, в отношении которых производится  обработка ПД в  ООО «Эликсир-Д» (далее по тексту Общество):

3.1.1   Физические лица, состоящие с Обществом в трудовых отношениях (сотрудники);

3.1.2   Физические лица, являющиеся близкими родственниками работников;

3.1.3   Физические лица, прекратившие трудовые отношения с Обществом;

3.1.4   Физические лица, являющиеся кандидатами на должность работников;

3.1.5   Физические лица, являющиеся стороной по гражданским договорам с Обществом;

3.1.6   Физические лица, обратившиеся за оказанием услуг в Общество;

3.1.7   Иные физические лица, в отношении которых осуществляется обработка ПД во исполнение полномочий Общества.

3.2        Состав обрабатываемых ПД определяется целями обработки  и регламентируется Перечнем ПД, подлежащих защите.

4.         Цели и принципы обработки и защиты персональных данных

4.1        Основными целями обработки ПД в Обществе являются:

4.1.1    Оказание медицинских, медико-социальных и медико-профилактических услуг;

4.1.2    реализация трудовых отношений с сотрудниками Общества,  лицами, занимающими должности;

4.1.3    осуществление гражданско-правовых отношений по договорам,  заключаемым Обществом с физическими лицами.

4.2         Основные принципы обработки ПД в Обществе:

4.2.1   ПД субъекта должны быть получены только от субъекта  ПД, при этом субъект ПД должен дать письменное согласие на обработку его ПД. Получение ПД от третьей стороны возможно только в случаях и порядке, установленных Трудовым кодексом РФ или федеральными законами;

4.2.2   Обработка ПД ведется с использованием средств автоматизации  и без использования средств автоматизации.

4.2.3   Обработка ПД осуществляется только в целях, для которых ПД запрашивались, и не дольше, чем этого требуют цели их обработки и сроки хранения. ПД подлежат уничтожению, обезличиванию, или передаче в архив по достижении целей обработки или в случае утраты необходимости в их достижении.

4.2.4   Общество вправе предоставлять ПД субъекта ПД третьей стороне только с письменного согласия субъекта ПД за исключением случаев, установленных федеральными законами.

4.3         Основными целями защиты  ПД в Обществе являются:

4.3.1   обеспечение защиты прав и свобод граждан, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;

4.3.2   обеспечение бесперебойной обработки ПД при предоставлении медицинских услуг.

4.4         Основные принципы защиты ПД в Обществе:

4.4.1   Защита ПД должна носить системный характер и включать в себя комплекс организационно-правовых и технических мероприятий;

4.4.2   Защита ПД должна быть экономически обоснованной и достаточной для обеспечения сохранности ПД и надежного предоставления медицинских услуг, требующих обработки ПД;

4.4.3   Защита ПД должна распространяться на обработку ПД с использованием средств автоматизации  и без использования средств автоматизации.

 

 

5.         Основные направления действий по обеспечению  защиты персональных данных

5.1         Основными направлениями действий по обеспечению защиты ПД являются:

5.1.1   правовая защита;

5.1.2   организационная защита;

5.1.3   техническая защита;

5.2        Правовая защита включает в себя утверждение и исполнение комплекса организационно-распорядительных и нормативных документов, обеспечивающих создание и функционирование системы защиты ПД,  систему ответственности за неправомерную обработку ПД;

5.3        Организационная защита заключается в формировании системы организационного управления процессами обработки и защиты ПД, документировании деятельности в области  обработки и защиты ПД, организации контролируемого  доступа к информации и обмена информацией, включающей ПД, формировании системы отношений Учреждения с субъектами ПД, контрольно-надзорными органами, третьими лицами, получающими ПД или передающими ПД, организации  аналитической работы в области обработки и защиты ПД;

5.4        Техническая защита включает в себя формирование контролируемой зоны, организацию контрольно-пропускного и внутриобъектового режимов, организацию надежного хранения носителей информации, в том числе, выполнение мер  пожарной безопасности; использование технических средств охраны, внедрение комплекса программных и программно-аппаратных средств защиты информации в информационных системах и каналах передачи данных.

6.         Права и обязанности субъектов отношений в области обработки и защиты ПД в ООО «Эликсир-Д»

6.1        В соответствии с законодательством субъект ПД имеет право на:

6.1.1  полную информацию о составе и содержании обработки  его ПД;

6.1.2  свободный бесплатный доступ к своим ПД, включая право на получение копий любой записи, содержащей его ПД, за исключением случаев, предусмотренных федеральным законом;

6.1.3  определение своих представителей для защиты своих ПД;

6.1.4  требование об исключении или исправлении неверных или неполных ПД, а также данных, обработанных с нарушением требований законодательства;

6.1.5  требование об извещении Общества всех лиц, которым ранее были сообщены неверные или неполные ПД субъекта ПД, обо всех произведенных в них исключениях, исправлениях или дополнениях;

6.1.6  обращение в контрольно-надзорные органы, обжалование в суде любых неправомерных действий или бездействия Общества при обработке и защите его ПД.

6.2        Обязанности субъекта ПД при обработке его ПД.

6.2.1  Субъект ПД обязан предоставить Обществу для обработки полные и достоверные сведения, необходимые для исполнения возложенных на Общество обязанностей.

6.2.2  Сообщать Обществу об изменениях своих ПД.

6.3        В соответствии с законодательством РФ Общество является оператором ПД в отношении субъектов ПД, перечисленных в п. 3.1;

6.4        При обработке ПД Общество имеет право:

6.4.1  проверять достоверность обрабатываемых ПД субъектов ПД законными способами;

6.4.2  требовать от работников выполнения положений нормативных документов по обработке и защите ПД;

6.4.3  осуществлять контроля выполнения требований по обработке и защите ПД;

6.4.4  привлекать к ответственности работников Общества, пациентов и иных лиц, нарушающих требования законодательства по обработке и защите ПД.

6.5        Обязанности Общества при обработке ПД:

6.5.1  осуществлять обработку ПД субъекта ПД исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов;

6.5.2  при определении объёма и содержания обрабатываемых ПД субъекта ПД руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом «О персональных данных» от 27.07.06 г.  № 152 и иными федеральными законами;

6.5.3  получать все ПД субъекта ПД у него самого. Возможно получение ПД у третьей стороны в случаях и порядке, установленных Трудовым кодексом Российской Федерации, иными федеральными законами;

6.5.4  обеспечить защиту ПД субъектов ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий;

6.5.5  совместно с субъектами ПД и их представителями вырабатывать меры защиты ПД субъектов ПД.

6.6        Контрольно-надзорные функции осуществляют:

6.6.1  Роскомнадзор (Управление Роскомнадзора) – в части соблюдения прав граждан в части обработки и защиты их ПД;

6.6.2  ФСТЭК РФ – в части выполнения требований законодательства РФ по обеспечению технической защиты информации;

6.6.3  ФСБ РФ – в части выполнения требований законодательства РФ по использованию средств криптографической защиты информации.