Содержание
1. Основные понятия.
2. Общие положения.
3. Принципы и цели обработки персональных данных.
4. Права субъектов персональных данных.
5. Меры, принимаемые для обеспечения безопасности персональных данных.
6. Заключительные положения.
1. Основные понятия
- Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
- Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
- Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
- Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
- Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
- Специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъекта персональных данных.
- Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.
2. Общие положения
- Настоящая Политика определяет основные принципы организации обработки и обеспечения безопасности персональных данных в Обществе с ограниченной ответственностью «Стоматологическая поликлиника № 3» (далее – Поликлиника), которое является оператором.
- Настоящая Политика разработана с целью выполнения Поликлиникой требования Федерального закона Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Федеральный закон о персональных данных), а также с целью защиты прав и свобод человека и гражданина при обработке Поликлиникой его персональных данных.
- Настоящий документ разработан в соответствии с Федеральным законом о персональных данных и Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утверждёнными постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 (далее – Требования к защите персональных данных).
- Настоящий документ характеризуется следующими признаками:
- разработан в целях реализации требований законодательства Российской Федерации о персональных данных;
- раскрывает способы и принципы обработки персональных данных, права и обязанности Поликлиники при обработке персональных данных, права субъектов персональных данных, а также включает перечень мер, применяемых Поликлиникой в целях обеспечения безопасности персональных данных при их обработке;
- является общедоступным документом.
- Поликлиника до начала обработки персональных данных осуществил уведомление уполномоченного органа по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Поликлиника добросовестно и в соответствующий срок осуществляет актуализацию сведений, указанных в уведомлении.
3. Принципы и цели обработки персональных данных
- Поликлиника осуществляет обработку персональных данных следующих субъектов персональных данных:
- физические лица, состоящие в трудовых отношениях с Поликлиникой (далее – работники Поликлиники);
- физические лица, обратившиеся в Поликлинику с целью получения медицинских услуг (далее – пациенты);
- физические лица, обратившиеся в Поликлинику с целью получения медицинских услуг физическими лицами, законными представителями которых они являются (далее – законные представители пациентов).
- Обработка персональных данных Поликлиникой осуществляется на основе следующих принципов:
- законности и справедливой основы;
- ограничения обработки персональных данных достижением конкретных, заранее определённых и законных целей;
- недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
- недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработки только тех персональных данных, которые отвечают целям их обработки;
- соответствия содержания и объёма обрабатываемых персональных данных заявленным целям обработки;
- недопущения обработки избыточных персональных данных по отношению к заявленным целям их обработки;
- обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;
- уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
- Цели обработки персональных работников Поликлиники:
- соблюдение Поликлиникой требований трудового, налогового, пенсионного законодательства Российской Федерации и законодательства Российской Федерации об обязательном социальном страховании при реализации трудовых отношений между ней и её работником.
- Цели обработки персональных данных пациентов:
- корректное оказание Поликлиникой пациентам медицинских услуг, предусмотренных основными видами деятельности Поликлиники и на оказание которых она имеет законное основание;
- соблюдение Поликлиникой требований Федерального закона Российской Федерации от 29 ноября 2010 г. № 326-ФЗ «Об обязательном медицинском страховании»;
- защита жизни и здоровья пациентов.
- Цели обработки персональных данных законных представителей пациентов:
- защита жизни и здоровья пациентов.
- Используемые Поликлиникой способы обработки персональных данных:
- смешанная обработка персональных данных, включающая в себя автоматизированную обработку персональных данных и обработку персональных данных, осуществляемую без использования средств автоматизации.
- Поликлиникой осуществляется обработка специальных категорий персональных данных.
- Поликлиникой не осуществляется обработка биометрических персональных данных.
4. Права субъектов персональных данных
- Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Поликлиникой.
- Субъект персональных данных вправе требовать от Поликлиники уточнения его персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
- Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с законодательством Российской Федерации, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
- Для реализации и защиты своих прав и законных интересов субъект персональных данных имеет право обратиться в Поликлинику. Поликлиника рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
- Субъект персональных данных вправе обжаловать действия или бездействие Поликлиники путем обращения в уполномоченный орган по защите прав субъектов персональных данных.
- Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
5. Меры, принимаемые для обеспечения безопасности персональных данных
- Поликлиника при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности:
- назначением ответственного за организацию обработки персональных данных;
- изданием локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
- осуществлением внутреннего контроля соответствия обработки персональных данных Федеральному закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, Требованиям к защите персональных данных, настоящей Политике, локальным актам;
- ознакомлением работников Поликлиники, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе Требованиями к защите персональных данных, настоящей Политикой, локальными актами по вопросам обработки персональных данных;
- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных Поликлиники;
- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Поликлиники;
- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- учётом машинных носителей персональных данных;
- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных Поликлиники, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных Поликлиники;
- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных Поликлиники;
- организацией режима обеспечения безопасности помещений, в которых размещены информационные системы персональных данных Поликлиники, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
- обеспечением сохранности носителей персональных данных;
- утверждением руководителем Поликлиники документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
- назначением должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных Поликлиники.
6. Заключительные положения
- Настоящая Политика подлежит изменению и дополнению в случае принятия новых законодательных актов и специальных нормативных документов по организации обработки и обеспечению безопасности персональных данных.
- Доступ к настоящей Политике должен быть неограничен.
- Настоящая Политика подлежит опубликованию на официальном сайте Поликлиники в сети «Интернет».
- Поликлиника и её работники, допущенные к обработке персональных данных или ответственные за организацию их обработки и (или) обеспечение их безопасности, несут персональную ответственность, предусмотренную трудовым, гражданским, административным или уголовным законодательством Российской Федерации, в случае нарушения требований Федерального закона о персональных данных, Требований к защите персональных данных, настоящей Политики и организационно-распорядительных документов Поликлиники по организации обработки и обеспечению безопасности персональных данных, повлекшего причинение какого-либо ущерба (вреда) субъекту персональных данных.