г. Североуральск "22" марта 2017
ПРИКАЗ №2
Об утверждении политики защиты и обработки персональных данных
В соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных», Федеральным законом от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»,
ПРИКАЗЫВАЮ:
1. Утвердить «Политику защиты и обработки персональных данных ООО «ОЛМЕД-СЕВЕРОУРАЛЬСК» (далее – Политика) (Приложение).
2. Директору ООО «ОЛМЕД-СЕВЕРОУРАЛЬСК» довести настоящий приказ до заместителей директора и руководителей структурных подразделений Учреждения.
3. Начальникам структурных подразделений Учреждения:
3.1 ознакомить работников подразделения с Политикой под роспись;
3.2 осуществлять внутренний контроль над исполнением требований Политики в подразделении.
4. Контроль исполнения настоящего приказа оставляю за собой.
Директор Е.М. Полевая
________________________________________________________________________________________
Приложение
к приказу об утверждении
политики защиты и
обработки персональных данных
ООО «ОЛМЕД-С СЕВЕРОУРАЛЬСК»
от 22 марта2017 года № 5
ПОЛИТИКА ЗАЩИТЫ И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ООО «ОЛМЕД-СЕВЕРОУРАЛЬСК»
1.1. Настоящая Политика защиты и обработки персональных данных (далее также – Политика) разработана ООО «ОЛМЕД-СЕВЕРОУРАЛЬСК» (далее также – Общество, Оператор) в соответствии с требованиями пункта 2 статьи 18.1 Федерального закона № 152-ФЗ от 27 июля 2006 г. «О персональных данных», и основывается на положениях Конституции Российской Федерации, Трудового кодекса Российской Федерации, Гражданского кодекса Российской Федерации, Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона 27 июля 2006 года № 152-ФЗ «О персональных данных», постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», иных нормативных правовых актов Российской Федерации, регулирующих правоотношения в области защиты и обработки персональных данных, и распространяется на все персональные данные, которые Общество получает от субъекта персональных данных, являющегося стороной по гражданско-правовому договору, от пользователя сети Интернет (далее также – Пользователь) во время использования им любого из сайтов, сервисов, служб, программ, продуктов или услуг ООО «ОЛМЕД-СЕВЕРОУРАЛЬСК», а также от субъекта персональных данных, состоящего с Обществом в отношениях, регулируемых трудовым законодательством (далее также – Работник).
1.2. Общество обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями законодательства, действующего на территории Российской Федерации.
1.3. Общество вправе вносить изменения в настоящую Политику.
При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Распространение персональных данных субъектом персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц лицом, к которому эти данные относятся, либо по его просьбе.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Оператор – организация, самостоятельно или совместно с другими лицами организующая обработку персональных данных, а также определяющая цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Оператором, применительно к настоящей Политике является ООО «ОЛМЕД-СЕВЕРОУРАЛЬСК», расположенное по адресу: г. Североуральск, ул. Ленина, 19/1, оф.73.
Персональные данные обрабатываются Оператором в целях:
3.1. Осуществления возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей по обеспечению защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе:
- выполнения требований законодательства Российской Федерации в сфере здравоохранения;
- выполнения требований законодательства Российской Федерации в сфере труда и налогообложения;
- выполнения требований законодательства Российской Федерации в сфере гражданско-правовых отношений;
- ведения текущего бухгалтерского и налогового учёта, формирования, изготовления и своевременной подачи бухгалтерской, налоговой и статистической отчётности;
- выполнения требований законодательства Российской Федерации по определению порядка обработки и защиты персональных данных граждан, являющихся пациентами и/или контрагентами ООО «ОЛМЕД-СЕВЕРОУРАЛЬСК».
3.2. Осуществления прав и законных интересов ООО «ОЛМЕД-СЕВЕРОУРАЛЬСК» и/или третьих лиц в рамках реализации видов деятельности, предусмотренных Уставом и иными локальными нормативными актами ООО «ОЛМЕД-СЕВЕРОУРАЛЬСК», а также достижения иных общественно значимых целей.
3.3. Осуществления связи с пользователем Сайта ООО «ОЛМЕД-СЕВЕРОУРАЛЬСК» при заполнении формы обратной связи на сайте, в том числе при направлении уведомлений, запросов и информации, касающихся использования сайта;
3.4. Получения обезличенных статистических данных, которые передаются третьему лицу для проведения исследований, выполнения работ или оказания услуг по поручению Общества.
3.5. В иных целях, не противоречащих действующему законодательству.
4.1. Формирование информационной базы персональных данных
4.1.1. Все персональные данные Общество, по общему правилу, получает от самого субъекта.
Персональные данные субъекта могут быть получены от третьего лица в случаях, предусмотренных действующим законодательством, с соблюдением процедуры, установленной соответствующими нормативными правовыми актами.
4.1.2. При получении персональных данных, при даче субъектом согласия на обработку персональных данных, а также в иных, предусмотренных действующим законодательством случаях, Общество сообщает субъекту персональных данных или иному лицу, передающему персональные данные, о целях, источниках и способах получения персональных данных, характере полученных или подлежащих получению персональных данных, перечне действий с персональными данными, сроке, в течение которого действует согласие, и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение.
4.1.3. Информационная база персональных данных Общества формируется путем:
– копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство и др.);
– внесения сведений в учетные формы;
– получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.);
- иными способами, не запрещенными действующим законодательством.
4.2.Обработка персональных данных.
4.2.1. Обработке Обществом подлежат персональные данные следующих субъектов:
- физических лиц, состоящих с Обществом в трудовых правоотношениях;
- физических лиц, уволившихся из Общества;
- физических лиц, являющихся кандидатами для приема на работу;
- физических лиц, состоящих с Обществом в гражданско-правовых отношениях, в том числе пациентов и контрагентов Общества;
- физических лиц, являющихся пользователями сайта Общества, в случаях и порядке, предусмотренных действующим законодательством;
- иных лиц, персональные данные которых полежат обработке при обращении к Обществу, в случаях и порядке, установленных действующим законодательством Российской Федерации.
4.2.2. Необходимый состав персональных данных каждой из перечисленных категорий субъектов определяется в соответствии с действующим законодательством Российской Федерации, а также локальными нормативными правовыми актами Общества, и зависит от целей их получения и обработки.
Соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки обеспечивает Оператор, который, в случае необходимости, самостоятельно принимает меры по устранению их избыточности по отношению к заявленным целям обработки.
4.2.3. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений субъектов персональных данных, в ООО «ОЛМЕД-СЕВЕРОУРАЛЬСК» не осуществляется.
4.2.4. Обработка персональных данных осуществляется:
– с согласия субъекта персональных данных на обработку его персональных данных;
– без согласия субъекта, в случаях, предусмотренных действующим законодательством, в том числе при обработке общедоступных персональных данных, доступ неограниченного круга лиц к которым предоставлен самим субъектом персональных данных, либо по его просьбе.
4.2.5. Обработка персональных данных в ООО «ОЛМЕД- СЕВЕРОУРАЛЬСК» производится следующими способами:
- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
- неавтоматизированная обработка персональных данных;
- смешанная обработка персональных данных.
4.3. Хранение персональных данных.
4.3.1. Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение на бумажных носителях, и/или в электронном виде.
4.3.2. Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.
4.3.3. Персональные данные субъектов, полученные Оператором и обрабатываемые с использованием средств автоматизации, для разных целей, хранятся в разных папках.
4.3.4. Не допускается размещение и хранение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках) информационной системы персональных данных Оператора.
4.3.5. Если сроки обработки и хранения персональных данных не установлены федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных, хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели их обработки.
По достижении целей обработки или в случае утраты необходимости в их достижении, а также в иных, предусмотренных действующим законодательством случаях, в том числе по истечении срока хранения, при переходе исключительно на автоматизированную систему обработки и хранения персональных данных, персональные данные, также и утратившие ценность для Оператора, подлежат уничтожению.
4.4. Уничтожение персональных данных.
4.4.1. Уничтожение документов и/или иных материальных носителей, кроме электронных, содержащих персональные данные, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок.
Для уничтожения бумажных документов допускается применение шредера.
Конкретный способ уничтожения персональных данных определяется соответствующей комиссией и отражается в акте об их уничтожении.
4.4.2. Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.
4.4.3. Факт уничтожения персональных данных документально подтверждается актом об их уничтожении.
4.5. Передача персональных данных.
4.5.1. Оператор передает персональные данные третьим лицам в случаях и в порядке, прямо предусмотренных действующим законодательством, а также с согласия, либо по прямому указанию субъекта персональных данных;
4.5.2. Примерный перечень лиц, которым персональные данные могут быть переданы Обществом:
– Пенсионный фонд Российской Федерации для учета (на законных основаниях);
– Федеральная налоговая служба и ее отделения (на законных основаниях);
– Фонд социального страхования Российской Федерации (на законных основаниях);
– Территориальный фонд обязательного медицинского страхования Свердловской области (на законных основаниях);
– страховые медицинские организации по обязательному и добровольному медицинскому страхованию (на законных основаниях);
– банки для начисления заработной платы (на основании договора);
– правоохранительные органы в случаях, установленных законодательством Российской Федерации;
– лица, указанные субъектом персональных данных;
- иные лица, в соответствии с действующим законодательством Российской Федерации.
5.1. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152 «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, в том числе, Постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановлением Правительства от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Приказом ФСТЭК от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», и другими нормативными правовыми актами, если иное не предусмотрено действующим законодательством.
5.2. В соответствии с требованиями законодательства, действующего на территории Российской Федерации, Оператором создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.
5.3. Подсистема правовой защиты представляет собой комплекс локальных организационно-распорядительных и нормативных правовых документов, обеспечивающих создание, функционирование и совершенствование СЗПД.
5.4. Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами.
5.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту персональных данных.
5.5. Основными мерами защиты персональных данных, используемыми Оператором, являются:
5.5.1. Назначение лица, ответственного за обработку персональных данных, которое осуществляет организацию обработки персональных данных, инструктаж и внутренний контроль за соблюдением Обществом и его работниками требований, предъявляемых действующим законодательством к защите персональных данных.
5.5.2. Разработка мер профилактики, выявления угроз безопасности и мероприятий по защите персональных данных при их обработке в ИСПД.
5.5.3. Разработка политики Общества в отношении обработки персональных данных и контроль за ее реализацией.
5.5.4. Установление правил доступа к персональным данным, обрабатываемым в Обществе, и контроль за их исполнением.
5.5.5. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.
5.5.6. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
5.5.7. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
5.5.8. Регламентирование и соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним.
5.5.9. Обнаружение фактов попыток несанкционированного доступа к персональным данным и принятие мер по их пресечению и предотвращению.
5.5.10. Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
5.5.11. Ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документам, определяющим политику Оператора в отношении обработки персональных данных, локальным нормативными правовыми актами по вопросам обработки персональных данных и/или обучение указанных сотрудников.
5.5.12. Осуществление внутреннего контроля и аудита за выполнением работниками Общества мероприятий по защите и обработке персональных данных.
6.1. Основные права субъекта персональных данных.
Субъект имеет право на доступ к своим персональным данным, в том числе к информации, содержащей:
– подтверждение факта обработки персональных данных Обществом;
– правовые основания и цели обработки персональных данных;
– цели и применяемые Обществом способы обработки персональных данных;
– наименование и место нахождения Общества, сведения о лицах (за исключением работников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании федерального закона;
– обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
– сроки обработки персональных данных, в том числе сроки их хранения;
– порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
– наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные действующим законодательством Российской Федерации.
6.2. Сведения предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя.
Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
6.3. Оператор вправе мотивированно отказать субъекту персональных данных в выполнении повторного запроса, в случае если он не соответствующего условиям, предусмотренным частями 4 и 5 статьи 14 Федерального закона «О персональных данных».
6.4. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.5. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в орган, уполномоченный по вопросам защиты прав субъектов персональных данных, или в судебном порядке.
6.6. Обязанности Оператора.
Оператор обязан:
– при сборе персональных данных предоставить субъекту информацию об обработке его персональных данных;
– в случаях если персональные данные были получены не от субъекта персональных данных, уведомить об этом субъекта, с соблюдением требований по процедуре такого уведомления, предусмотренных частями 3 и 4 статьи 18 Федерального закона «О защите персональных данных»;
– при отказе субъекта в предоставлении персональных данных Оператору, в случае, если предоставление персональных данных является обязательным в соответствии с федеральным законом, субъекту должны быть разъяснены последствия такого отказа;
– опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;
– принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
– давать ответы на надлежащим образом оформленные запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных в порядке и сроки, предусмотренные действующим законодательством.