ПОЛИТИКА в отношении обработки персональных данных

Содержание

1. Основные понятия.

2. Общие положения.

3. Принципы и цели обработки персональных данных.

4. Права субъектов персональных данных.

5. Меры, принимаемые для обеспечения безопасности персональных данных.

6. Заключительные положения.

1. Основные понятия

1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
3. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
4. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
5. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
6. Специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъекта персональных данных.
7. Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.

2. Общие положения

1. Настоящая Политика определяет основные принципы организации обработки и обеспечения безопасности персональных данных в Обществе с ограниченной ответственностью «Стоматологическая поликлиника № 3» (далее – Поликлиника), которое является оператором.
2. Настоящая Политика разработана с целью выполнения Поликлиникой требования Федерального закона Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Федеральный закон о персональных данных), а также с целью защиты прав и свобод человека и гражданина при обработке Поликлиникой его персональных данных.
3. Настоящий документ разработан в соответствии с Федеральным законом о персональных данных и Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утверждёнными постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 (далее – Требования к защите персональных данных).
4. Настоящий документ характеризуется следующими признаками:
   1. разработан в целях реализации требований законодательства Российской Федерации о персональных данных;
   2. раскрывает способы и принципы обработки персональных данных, права и обязанности Поликлиники при обработке персональных данных, права субъектов персональных данных, а также включает перечень мер, применяемых Поликлиникой в целях обеспечения безопасности персональных данных при их обработке;
   3. является общедоступным документом.
5. Поликлиника до начала обработки персональных данных осуществил уведомление уполномоченного органа по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Поликлиника добросовестно и в соответствующий срок осуществляет актуализацию сведений, указанных в уведомлении.

3. Принципы и цели обработки персональных данных

1. Поликлиника осуществляет обработку персональных данных следующих субъектов персональных данных:
   1. физические лица, состоящие в трудовых отношениях с Поликлиникой (далее – работники Поликлиники);
   2. физические лица, обратившиеся в Поликлинику с целью получения медицинских услуг (далее – пациенты);
   3. физические лица, обратившиеся в Поликлинику с целью получения медицинских услуг физическими лицами, законными представителями которых они являются (далее – законные представители пациентов).
2. Обработка персональных данных Поликлиникой осуществляется на основе следующих принципов:
   1. законности и справедливой основы;
   2. ограничения обработки персональных данных достижением конкретных, заранее определённых и законных целей;
   3. недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
   4. недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
   5. обработки только тех персональных данных, которые отвечают целям их обработки;
   6. соответствия содержания и объёма обрабатываемых персональных данных заявленным целям обработки;
   7. недопущения обработки избыточных персональных данных по отношению к заявленным целям их обработки;
   8. обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;
   9. уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
   10. Цели обработки персональных работников Поликлиники:
       1. соблюдение Поликлиникой требований трудового, налогового, пенсионного законодательства Российской Федерации и законодательства Российской Федерации об обязательном социальном страховании  при реализации трудовых отношений между ней и её работником.
   11. Цели обработки персональных данных пациентов:
       1. корректное оказание Поликлиникой пациентам медицинских услуг, предусмотренных основными видами деятельности Поликлиники и на оказание которых она имеет законное основание;
       2. соблюдение Поликлиникой требований Федерального закона Российской Федерации от 29 ноября 2010 г. № 326-ФЗ «Об обязательном медицинском страховании»;
       3. защита жизни и здоровья пациентов.
   12. Цели обработки персональных данных законных представителей пациентов:
       1. защита жизни и здоровья пациентов.
   13. Используемые Поликлиникой способы обработки персональных данных:
       1. смешанная обработка персональных данных, включающая в себя автоматизированную обработку персональных данных и обработку персональных данных, осуществляемую без использования средств автоматизации.
   14. Поликлиникой осуществляется обработка специальных категорий персональных данных.
   15. Поликлиникой не осуществляется обработка биометрических персональных данных.

4. Права субъектов персональных данных

1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Поликлиникой.
2. Субъект персональных данных вправе требовать от Поликлиники уточнения его персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с законодательством Российской Федерации, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.
4. Для реализации и защиты своих прав и законных интересов субъект персональных данных имеет право обратиться в Поликлинику. Поликлиника рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
5. Субъект персональных данных вправе обжаловать действия или бездействие Поликлиники путем обращения в уполномоченный орган по защите прав субъектов персональных данных.
6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

5. Меры, принимаемые для обеспечения безопасности персональных данных

1. Поликлиника при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности:
   1. назначением ответственного за организацию обработки персональных данных;
   2. изданием локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
   3. осуществлением внутреннего контроля соответствия обработки персональных данных Федеральному закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, Требованиям к защите персональных данных, настоящей Политике, локальным актам;
   4. ознакомлением работников Поликлиники, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе Требованиями к защите персональных данных, настоящей Политикой, локальными актами по вопросам обработки персональных данных;
   5. определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных Поликлиники;
   6. применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Поликлиники;
   7. применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
   8. учётом машинных носителей персональных данных;
   9. обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
   10. восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
   11. установлением правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных Поликлиники, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных Поликлиники;
   12. контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных Поликлиники;
   13. организацией режима обеспечения безопасности помещений, в которых размещены информационные системы персональных данных Поликлиники, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
   14. обеспечением сохранности носителей персональных данных;
   15. утверждением руководителем Поликлиники документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
   16. назначением должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных Поликлиники.

6. Заключительные положения

1. Настоящая Политика подлежит изменению и дополнению в случае принятия новых законодательных актов и специальных нормативных документов по организации обработки и обеспечению безопасности персональных данных.
2. Доступ к настоящей Политике должен быть неограничен.
3. Настоящая Политика подлежит опубликованию на официальном сайте Поликлиники в сети «Интернет».
4. Поликлиника и её работники, допущенные к обработке персональных данных или ответственные за организацию их обработки и (или) обеспечение их безопасности, несут персональную ответственность, предусмотренную трудовым, гражданским, административным или уголовным законодательством Российской Федерации, в случае нарушения требований Федерального закона о персональных данных, Требований к защите персональных данных, настоящей Политики и организационно-распорядительных документов Поликлиники по организации обработки и обеспечению безопасности персональных данных, повлекшего причинение какого-либо ущерба (вреда) субъекту персональных данных.