Политика обработки персональных данных
ПОЛИТИКАобработки персональных данных в обществе с ограниченной ответственностью «АВК-Мед»
1. Назначение политики
Настоящий документ (далее – Политика) определяет цели и общие принципы обработки персональных данных, а также реализуемые меры защиты персональных данных в ООО «АВК-Мед» (далее – Оператор). Политика является общедоступным документом Оператора и предусматривает возможность ознакомления с ней любых лиц.
2. Основные понятия
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных;
блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;
несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам;
обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации;
трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных;
уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
3. Правовые основания обработки персональных данных
Политика разработана в соответствии со следующими нормативно-правовыми документами Российской Федерации:
- Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года с поправками, одобренными Комитетом министров Совета Европы 15 июня 1999 года, ратифицированная Федеральным законом Российской Федерации от 19 декабря 2005 года № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» в рамках, определяемых данным Федеральным законом, заявлений;
- Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Кодекс об Административных Правонарушениях Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Уголовный кодекс Российской Федерации;
- Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ);
- Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Перечень сведений конфиденциального характера, утвержденный Указом Президента Российской Федерации от 6 марта 1997 года № 188;
- Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждённое постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687;
- Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119.
Оператор осуществляет обработку персональных данных на законной и справедливой основе. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных:
- Трудовой кодекс Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Федеральный закон от 28.03.1998 г. N 53-ФЗ "О воинской обязанности и военной службе";
- Федеральный закон от 06.12.2011 N 402-ФЗ "О бухгалтерском учете";
- Федеральный закон от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации";
- Федеральный закон от 30.03.1999 N 52-ФЗ "О санитарно-эпидемиологическом благополучии населения";
- Федеральный закон от 29.11.2010 N 326-ФЗ "Об обязательном медицинском страховании в Российской Федерации";
- Федеральный закон от 10.12.1995 N 196-ФЗ "О безопасности дорожного движения";
- Постановление Правительства РФ от 4 октября 2012 г. № 1006 "Об утверждении Правил предоставления медицинскими организациями платных медицинских услуг";
- лицензия на осуществление медицинской деятельности;
- договор на оказание платных медицинских услуг;
- cогласие субъекта ПДн на обработку его ПДн;
- устав ООО "АВК-Мед";
- поручение на обработку ПДн.
Целями обработки персональных данных являются:
- соблюдение трудового законодательства;
- подбор персонала на вакантные должности;
- исполнение договорных обязательств;
- оказание медицинских услуг.
Категории и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Оператор осуществляет обработку персональных данных следующих физических лиц (субъектов ПДн):
- сотрудники;
- ближайшие родственники сотрудника;
- бывшие сотрудники;
- соискатели на вакантные должности;
- контрагенты;
- граждане, обратившиеся за медицинскими услугами.
Все персональные данные субъектов Оператора получает от них самих, либо от их законных представителей, а также от третьих лиц на основании поручения на обработку ПДн.
Обработка персональных данных осуществляется в соответствии с действующим законодательством Российской Федерации на основании согласия субъекта персональных данных, кроме случаев, предусмотренных Федеральным законом № 152-ФЗ. Допускается совмещение формы согласия субъекта с типовыми формами документов, содержащих персональные данные субъекта (например: анкеты, бланки, договора).
Под обработкой персональных данных понимаются действия (операции) с персональными данными, включающие: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Субъект ПДн принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе.
Получение ПДн субъекта у третьих лиц, возможно только при уведомлении субъекта об этом заранее и с его письменного согласия. Допускается совмещение формы согласия субъекта с типовыми формами документов, содержащих персональные данные субъекта (например: анкеты, бланки, договора).
Оператором применяются следующие способы обработки персональных данных: смешанная (автоматизированная и неавтоматизированная) обработка персональных данных с передачей по внутренней сети и сети интернет.
ПДн субъектов Оператора обрабатываются в структурных подразделениях в соответствии с исполняемыми функциями.
Доступ к ПДн, обрабатываемым без использования средств автоматизации, осуществляется в соответствии с утвержденным списком.
Доступ к ПДн, обрабатываемым в информационных системах персональных данных (далее - ИСПДн), осуществляется в соответствии со списком, утверждённым в порядке, определяемом Оператором.
Уполномоченные лица, допущенные к ПДн субъектов Оператора, имеют право получать только те ПДн субъекта, которые необходимы для выполнения конкретных функций, в соответствии с должностной инструкцией уполномоченных лиц.
Обработка ПДн, осуществляемая без использования средств автоматизации, выполняется в соответствии с требованиями «Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.
Персональные данные при такой их обработке, обособляются от иной информации, в частности, путем фиксации их на отдельных материальных носителях ПДн, в специальных разделах или на полях форм (бланков).
Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.
ПДн подлежат уничтожению либо обезличиванию в следующих случаях:
- достигнуты цели обработки или утрачена необходимость в их достижении;
- получен отзыв согласия субъекта ПДн на обработку ПДн;
- представление субъектом ПДн или его законным представителем сведений, подтверждающих, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
- выявление неправомерной обработки ПДн при обращении субъекта ПДн или его законного представителя и невозможности обеспечить правомерную обработку ПДн.
В срок, не превышающий 7 рабочих дней со дня предоставления субъектом ПДн или его законным представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, Оператор вносит в них необходимые изменения, а также уведомляет субъекта о внесенных изменениях.
Уничтожение ПДн осуществляется в срок, не превышающий 30 рабочих дней с момента достижения цели обработки ПДн, если иное не предусмотрено федеральными законами Российской Федерации.
Уничтожение ПДн осуществляется в срок, не превышающий 10 рабочих дней с момента отзыва согласия субъекта ПДн на обработку ПДн.
Уничтожение ПДн осуществляется в срок, не превышающий 10 рабочих дней с момента представления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки.
В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, Оператор в срок, не превышающий 3 рабочих дней с даты этого выявления, прекращает неправомерную обработку персональных данных или обеспечивает прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожает таких персональные данные или обеспечивает их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор уведомляет субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
Уничтожение ПДн осуществляет комиссия в составе сотрудников Оператора.
Способ уничтожения материальных носителей ПДн определяется комиссией. Допускается применение следующих способов:
- сжигание;
- шредирование (измельчение);
- передача на специализированные полигоны (свалки);
- химическая обработка.
При этом составляется акт, подписываемый председателем комиссии, проводившей уничтожение материальных носителей персональных данных.
При необходимости уничтожения большого количества материальных носителей или применения специальных способов уничтожения допускается привлечение специализированных организаций. В этом случае члены комиссии по уничтожению ПДн должны присутствовать при уничтожении материальных носителей ПДн. При этом к акту уничтожения необходимо приложить накладную на передачу материальных носителей ПДн подлежащих уничтожению, в специализированную организацию.
Уничтожение полей баз данных Оператора, содержащих ПДн субъекта, выполняется в следующих случаях:
- достигнуты цели обработки или утрачена необходимость в их достижении;
- получен отзыв согласия субъекта ПДн на обработку ПДн;
- представление субъектом ПДн или его законным представителем сведений, подтверждающих, что ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
- выявление неправомерной обработки ПДн при обращении субъекта ПДн или его законного представителя и невозможности обеспечить правомерную обработку ПДн.
Уничтожение осуществляет комиссия, в состав которой входит ответственный за организацию обработки ПДн.
Уничтожение достигается путем затирания информации на носителях информации (в том числе и резервных копиях). При этом составляется акт, утверждаемый ответственным за организацию обработки ПДн.
Уничтожение архивов электронных документов и протоколов электронного взаимодействия может не производиться, если ведение и сохранность их в течение определенного срока предусмотрены соответствующими нормативными и (или) договорными документами.
При отсутствии технической возможности осуществить уничтожение ПДн, содержащихся в базах данных, допускается проведение обезличивания путем перезаписи полей баз данных. Перезапись должна быть осуществлена таким образом, чтобы дальнейшая идентификация субъекта ПДн была не возможна.
Решение, порождающее юридические последствия в отношении субъекта ПДн или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его ПДн только при наличии согласия в письменной форме субъекта ПДн.
Защиту ПДн субъектов от неправомерного их использования или утраты Оператор обеспечивает за счет собственных средств в порядке, установленном законодательством Российской Федерации.
Обеспечение безопасности персональных данных Оператором достигается, в частности следующими мерами:
- оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения закона «О персональных данных», соотношение указанного вреда и принимаемых защитных мер;
- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных закону «О персональных данных» и внутренним документам Оператора по вопросам обработки персональных данных;
- ознакомление сотрудников, осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, политикой Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных сотрудников;
- издание политики Оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных;
- учет машинных носителей персональных данных;
- назначение Ответственного за организацию обработки персональных данных;
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
Базы персональных данных Оператора находятся полностью в пределах территории Российской Федерации.
7. Регламент реагирования на запросы обращения субъектов персональных данных и их представителей
При обращении, запросе в письменной или электронной форме субъекта персональных данных или его законного представителя, на доступ к своим персональным данным Оператор руководствуется требованиями статей 14, 18 и 20 Федерального закона № 152-ФЗ.
Субъект или его законный представитель может воспользоваться формами запросов, указанными в приложениях 1-3 к данной Политике.
Доступ субъекта персональных данных или его законного представителя к своим персональным данным Оператор предоставляет только под контролем ответственного за организацию обработки персональных данных Оператора.
Обращение субъекта персональных данных или его законного представителя фиксируются в журнале учета обращений граждан (субъектов персональных данных) по вопросам обработки персональных данных.
Запрос в письменной или электронной форме субъекта персональных данных или его законного представителя фиксируются в журнале регистрации письменных запросов граждан на доступ к своим персональным данным.
Ответственный за организацию обработки персональных данных принимает решение о предоставлении доступа субъекта к персональным данным.
В случае, если данных предоставленных субъектом недостаточно для установления его личности или предоставление персональных данных нарушает конституционные права и свободы других лиц ответственный за организацию обработки персональных данных подготавливает мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона № 152-ФЗ или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо от даты получения запроса субъекта персональных данных или его законного представителя.
Для предоставления доступа субъекта персональных данных или его законного представителя к персональным данным субъекта ответственный за организацию обработки персональных данных привлекает сотрудника (сотрудников) структурного подразделения, обрабатывающего персональные данные субъекта.
Сведения о наличии персональных данных Оператор предоставляет субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных. Контроль предоставления сведений субъекту или его законному представителю осуществляет ответственный за организацию обработки персональных данных.
Сведения о наличии персональных данных предоставляются субъекту при ответе на запрос в течение 10 дней от даты получения запроса субъекта персональных данных или его законного представителя.
8. Регламент реагирования на запросы обращения уполномоченных органов
В соответствии с частью 4 статьи 20 Федерального закона № 152-ФЗ Оператор сообщает в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение 10 дней с даты получения такого запроса.
Сбор сведений для составления мотивированного ответа на запрос надзорных органов осуществляет ответственный за организацию обработки персональных данных при необходимости с привлечением сотрудников Оператора.
В течение установленного срока ответственный за организацию обработки персональных данных подготавливает и направляет в уполномоченный орган мотивированный ответ и другие необходимые документы.
