Политика оператора в отношении обработки персональных данных




Политика оператора в отношении обработки персональных данных

Вы доверяете — мы помогаем!

Политика оператора в отношении обработки

персональных данных.

1.ВВЕДЕНИЕ

Настоящее Положение определяет политику ООО «Резонанс-Мед» (далее — Компания) как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.

1.1 Политика в отношении обработки персональных данных (далее – Политика) разработана в соответствии с требованиями Федерального закона от 27.07.2006 152 — ФЗ «О персональных данных», постановления Правительства Российской Федерации от 1.11.2012 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановления Правительства Российской Федерации от 15.09.2008 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

1.2 Политика разработана в целях обеспечения реализации требований законодательства Российской Федерации в области обработки персональных данных, направленного на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, в частности в целях защиты от несанкционированного доступа и неправомерного распространения персональных данных, обрабатываемых в информационных системах Компании.
span>

1.3. В настоящей Политике используются следующие термины и определения:

· оператор — юридическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

· персональные данные – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных);

· обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

· автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

· распространение персональных данных — действия, направленные на раскрытие персональных данных неопределённому кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

· предоставление персональных данных – действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц;

· блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

· уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители персональных данных;

· обезличивание персональных данных- действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных;

· информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств;

1.4
span> Политика действует в отношении информации, которую Компания получает о субъекте персональных данных в процессе предоставления услуг или исполнения договорных обязательств.

1.4 Настоящая Политика раскрывает состав субъектов персональных данных, принципы, порядок и условия обработки персональных данных работников Компании и иных лиц, чьи персональные данные обрабатываются Компанией с применением средств автоматизации и без применения таких средств.

1.5. Персональные данные являются конфиденциальной, строго охраняемой информацией и на них распространяются все требования, установленные внутренними документами Компании по защите конфиденциальной информации.

2. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1 Перечень персональных данных, подлежащих защите в Компании, формируется в соответствии с федеральным законодательством о персональных данных.

2.2 Сведениями, составляющими персональные данные, является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

2.3 В зависимости от субъекта персональных данных, Компания обрабатывает персональные данные следующих категорий субъектов персональных данных:

— персональные данные работника Компании — информация, необходимая Компании в связи с трудовыми отношениями и касающиеся конкретного работника;

— персональные данные руководителя или сотрудника юридического лица,

являющегося контрагентом Компании , необходимые Компании для выполнения своих обязательств в рамках договорных отношений с контрагентом и для выполнения требований законодательства Российской Федерации;

— граждан, обращающихся в Компанию для получения медицинских услуг ( в порядке записи при личном обращении, по телефону или по форме обратной связи на сайте Компании www.rezmed.ru) в соответствии с лицензией на осуществление Медицинской деятельности № ЛО-74-01-002878 от 16 октября 2014 года.

3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1 осуществляет обработку персональных данных в следующих целях:

— осуществления деятельности, предусмотренной лицензией на осуществление Медицинской деятельности № ЛО-74-01-002878 от 16 октября 2014 года;

— для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

— организации кадрового учета Компании, обеспечения соблюдения законов и иных нормативно-правовых актов, заключения и исполнения обязательств по трудовым и гражданско-правовым договорам; ведения кадрового делопроизводства, содействия сотрудникам в трудоустройстве, обучении и продвижении по службе, пользования различного вида льготами, исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации, в соответствии с Трудовым кодексом РФ,
Налоговым кодексом РФ, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных»;

— работой с обращениями граждан в соответствии с Регламентом.

4. СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Сроки обработки персональных данных определяются в соответствии со сроком действия договора с субъектом персональных данных, Приказом Минкультуры РФ от 25.08.2010 No 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», а также иными требованиями законодательства РФ и нормативными документами.

4.2. В Компании создаются и хранятся документы, содержащие сведения о субъектах персональных данных. Требования к использованию в Компании данных типовых форм документов установлены Постановлением Правительства РФ от 15.09.2008 No687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

5. ПРАВА

5.1. Компания как оператор персональных данных, вправе:

— отстаивать свои интересы в суде;

— предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);

— отказывать в предоставлении персональных данных в случаях предусмотренных законодательством;

— использовать персональные данные субъекта без его согласия, в случаях предусмотренных законодательством.

5.2. Субъект персональных данных имеет право:

— требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

— требовать перечень своих персональных данных, обрабатываемых Компанией и источник их получения;

— получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;

— требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;

— обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;

— на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

6. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Обработка персональных данных Компанией осуществляется на

основе принципов:

— законности и справедливости целей и способов обработки персональных данных;

— соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Компании;

— соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

— достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

— недопустимости объединения, созданных для несовместимых между собой

целей баз данных, содержащих персональные данные; хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;

· уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Компанией допущенных нарушений персональных данных, если иное не предусмотрено федеральным законом.

6.2. Компания обрабатывает персональные данные только при наличии хотя бы одного из следующих условий:

· обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

· обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

· обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

· обработка персональных данных необходима для осуществления прав и законных интересов Компании или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

· осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;

· осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

6.3. Обработка Компанией специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, допускается в случаях, если:

· субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

· персональные данные сделаны общедоступными субъектом персональных данных;

· обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;

· обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;

· обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о противодействии терроризму, о противодействии коррупции, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;

· обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.

Обработка специальных категорий персональных данных должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась их обработка, если иное не установлено федеральным законом.

7. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Компания предпринимает необходимые правовые, организационные, технические и программные меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.

7.2. Для целенаправленного создания в Компании неблагоприятных условий и труднопреодолимых препятствий для нарушителей, пытающихся осуществить несанкционированный доступ к персональным данным в целях овладения ими, их видоизменения, уничтожения, заражения вредоносной компьютерной программой, подмены и совершения иных несанкционированных действий Компанией применяются следующие организационно-технические меры:

· назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;

· ограничение и регламентация состава работников, имеющих доступ к персональным данным;

· ознакомление работников с требованиями федерального законодательства и нормативных документов Компании по обработке и защите персональных данных;

· обеспечение учёта и хранения материальных носителей информации и их обращения, исключающего хищение, подмену, несанкционированное копирование и уничтожение;

· проверка готовности и эффективности использования средств защиты информации;

· реализация разрешительной системы доступа пользователей к информационным ресурсам, программно-аппаратным средствам обработки и защиты информации;

· регистрация и учёт действий пользователей информационных систем персональных данных;

· парольная защита доступа пользователей к информационной системе персональных данных;

· применение средств контроля доступа к коммуникационным портам, устройствам ввода-вывода информации, съёмным машинным носителям и внешним накопителям информации;

· осуществление антивирусного контроля, предотвращение внедрения в корпоративную сеть вредоносных программ (программ-вирусов) и программных закладок;

· обнаружение вторжений в корпоративную сеть Компании, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;

· централизованное управление системой защиты персональных данных;

· резервное копирование информации;

· обеспечение восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

· обучение работников, использующих средства защиты информации, применяемые в информационных системах персональных данных, правилам работы с ними;

· учёт применяемых средств защиты информации, эксплуатационной и технической документации к ним;

· проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения требований безопасности персональных данных;

· поддержание технических средств охраны, сигнализации помещений в состоянии постоянной готовности.

8. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Политика Оператора в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами РФ:

8.1.1. Конституцией Российской Федерации.

8.1.2. Трудовым кодексом Российской Федерации.

8.1.3. Гражданским кодексом Российской Федерации.
8.1.4. Федеральным законом от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».

8.1.
5. Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

8.1.6. Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

8.1.7. Федеральный закон от 21.11.2011 N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;

8.1.8. Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

8.1.9. Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

8.1.10. Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

8.2. Во исполнение настоящей Политики Оператором утверждены следующие локальные нормативные правовые акты:

8.2.1. Приказ о назначении ответственных лиц за работу с персональными данными сотрудников, за компьютерную обработку персональных данных пациентов, за обеспечением информационной безопасности.

8.2.2. Порядок доступа работников Оператора к сведениям конфиденциального характера.

8.2.3. Перечень обрабатываемых персональных данных.

8.2.4. Перечень должностей, работников, допущенных к обработке персональных данных.

8.2.5. Регламенты взаимодействия с субъектами персональных данных (запросы).

8.2.6. Модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных

9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

9.1.Настоящая Политика является внутренним документом Компании, общедоступной и подлежит размещению на официальном сайте Компании.

9.2.Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее размещения, если иное не предусмотрено новой редакцией Политики. Действующая редакция всегда находится на странице по адресу: http://www.rezmed.ru

9.3. Контроль исполнения требований настоящей Политики осуществляется ответственным лицом за обеспечение безопасности персональных данных Компании.

9.4. Ответственность должностных лиц Компании, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Компании.