Політика обробки і захисту персональних даних
Товариства з обмеженою відповідальністю «Центр Ефективної Медицини»
1. Загальні положення
1.3. зміна Політики
2. Терміни та прийняті скорочення
Персональні дані (ПД) - будь-яка інформація, що стосується прямо або побічно певного або визначається фізичній особі (суб'єкту персональних даних);
Обробка персональних даних - будь-яка дія (операція) або сукупність дій (операцій), що здійснюються з використанням засобів автоматизації або без використання таких засобів з персональними даними, включаючи збір, запис, систематизацію, накопичення, зберігання, уточнення (оновлення, зміна), витяг, використання, передачу (поширення, надання, доступ), знеособлення, блокування, видалення, знищення персональних даних;
Автоматизована обробка персональних даних - обробка персональних даних за допомогою засобів обчислювальної техніки;
Інформаційна система персональних даних (ІСПД) - сукупність містяться в базах даних персональних даних і забезпечують їх обробку інформаційних технологій і технічних засобів;
Персональні дані, зроблені загальнодоступними суб'єктом персональних даних - ПД, доступ необмеженого кола осіб до яких надано суб'єктом персональних даних або на його прохання;
Блокування персональних даних - тимчасове припинення обробки персональних даних (за винятком випадків, якщо обробка необхідна для уточнення персональних даних);
Оператор - організація, обробна персональні дані
3.Обработка персональних даних
3.1. Отримання ПД.
3.1.1. Все ПД слід отримувати від самого суб'єкта. Якщо ПД суб'єкта можна отримати тільки в третьої сторони, то Суб'єкт повинен бути повідомлений про це або від нього повинно бути отримано згоду.
3.1.2. Оператор повинен повідомити Суб'єкту про цілі, передбачуваних джерелах і способи отримання ПД, характер підлягають отриманню ПД, переліку дій з ПД, термін, протягом якого діє згоду і порядку його відкликання, а також про наслідки відмови Суб'єкта дати письмову згоду на їх отримання.
3.1.3. Документи, що містять ПД створюються шляхом:
- копіювання оригіналів документів (паспорт, документ про освіту, свідоцтво ІПН, пенсійне свідоцтво та ін.);
- внесення відомостей до облікові форми;
- отримання оригіналів необхідних документів (трудова книжка, медичний висновок, характеристика та ін.).
3.2. Обробка ПД
3.2.1. Обробка ПД здійснюється:
- за згодою суб'єкта персональних даних на обробку його ПД;
- у випадках, коли обробка ПД необхідна для здійснення і виконання покладених законодавством Російської Федерації функцій, повноважень і обов'язків;
- у випадках, коли здійснюється обробка ПД, доступ необмеженого кола осіб до яких надано Суб'єктом персональних даних або на його прохання (далі - персональні дані, зроблені загальнодоступними Суб'єктом персональних даних).
3.2.2 Цілі обробки ПД:
- Здійснення трудових відносин;
- Здійснення цивільно-правових відносин.
Оператором обробляються ПД наступних Суб'єктів персональних даних.
- фізичні особи, які перебувають з Оператором в трудових відносинах;
- фізичні особи, які показують близькими родичами співробітників Оператора;
- фізичні особи, які припинили трудові відносини з Оператором;
- фізичні особи, які є кандидатами на роботу у Оператора;
- фізичні особи, які перебувають з Оператором в цивільно-правових відносинах
- фізичні особи, які звернулися до Оператору за медичною допомогою.
3.2.4. ПД, оброблювані Оператором:
- дані отримані при здійсненні трудових відносин;
- дані отримані для здійснення відбору кандидатів на роботу;
- дані отримані при здійсненні цивільно-правових відносин.
- дані отримані при наданні медичної допомоги.
3.2.5. Обробка ПД ведеться:
- з використанням засобів автоматизації;
- без використання засобів автоматизації.
3.3.1. ПД Суб'єктів можуть бути отримані, проходити подальшу обробку і передаватися на зберігання як на паперових носіях, так і в електронному вигляді.
3.3.2. ПД, зафіксовані на паперових носіях зберігаються в замикаються шафах, або в замикаються приміщеннях з обмеженим правом доступу.
3.3.3. ПД Суб'єктів, оброблювані з використанням засобів автоматизації в різних цілях, зберігаються в різних папках.
3.3.4. Не допускається зберігання і розміщення документів, що містять ПД, у відкритих електронних каталогах (файлообмінниках) в ІСПД.
3.3.5. Зберігання ПД у формі, що дозволяє визначити суб'єкта ПД, здійснюється не довше, ніж цього вимагають цілі їх обробки і вони підлягають знищенню після досягнення цілей обробки або в разі втрати необхідності в їх досягненні.
3.4. знищення ПД
3.4.1. Знищення документів (носіїв), що містять ПД проводиться шляхом дроблення (подрібнення). Для знищення паперових документів допускається застосування шредера.
3.4.2. ПД на електронних носіях знищуються шляхом стирання або форматування носія.
3.4.3. Знищення проводиться комісією. Факт знищення ПД підтверджується документально актом про знищення носіїв, підписаним членами комісії.
3.5.1. Оператор передає ПД третім особам в наступних випадках:
- Суб'єкт висловив свою згоду на такі дії;
- передача передбачена російським або іншим відповідним законодавством в рамках встановленої законодавством процедури.
3.5.2. Перелік осіб, яким передаються ПД.
Треті особи, яким передаються ПД:
- Пенсійний фонд РФ для обліку (на законних підставах);
- Податкові органи РФ (на законних підставах);
- Територіальний фонд обов'язкового медичного страхування (на законних підставах);
- Страхові медичні організації з обов'язкового і добровільного медичного страхування (на законних підставах);
- Банки для перерахування заробітної плати (на підставі договору);
- Правоохоронні органи у випадках, встановлених законодавством.
4.1. Відповідно до вимог нормативних документів Оператором створена система захисту персональних даних (СЗПД), що складається з підсистем правової, організаційної та технічного захисту.
4.2. Підсистема правового захисту є комплексом правових, організаційно-розпорядчих та нормативних документів, які забезпечують створення, функціонування і вдосконалення СЗПД.
4.3. Підсистема організаційної захисту включає в себе організацію структури управління СЗПД, дозвільної системи, захисту інформації при роботі з співробітниками, партнерами і сторонніми особами.
4.4. Підсистема технічного захисту включає в себе комплекс технічних, програмних, програмно-апаратних засобів, що забезпечують захист ПД.
4.4. Основними заходами захисту ПД, використовуваними Оператором, є:
4.5.1. Призначення особи відповідальної за обробку ПД, яке здійснює організацію обробки ПД, навчання та інструктаж, внутрішній контроль за дотриманням Оператором і його співробітниками вимог до захисту ПД;
4.5.2. Визначення актуальних загроз безпеки ПД при їх обробці в ІСПД, і розробка заходів і заходів щодо захисту ПД;
4.5.3. Розробка політики щодо обробки персональних даних;
4.5.4. Встановлення правил доступу до ПД, оброблюваних в ІСПД, а також забезпечення реєстрації та обліку всіх дій, що здійснюються з ПД в ІСПД;
4.5.5. Встановлення індивідуальних паролів доступу співробітників в інформаційну систему відповідно до їх виробничими обов'язками;
4.5.6. Застосування пройшли в установленому порядку процедуру оцінки відповідності засобів захисту інформації;
4.5.7. Сертифіковане антивірусне програмне забезпечення з регулярно оновлюваними базами;
4.5.8. Сертифіковане програмне засіб захисту інформації від несанкціонованого доступу;
4.5.9. Сертифіковані міжмережевий екран і засіб виявлення вторгнення;
4.5.10. Дотримуються умови, що забезпечують збереження ПД і виключають несанкціонований доступ до них;
4.5.11. Виявлення фактів несанкціонованого доступу до ПД і вжиття заходів;
4.5.12. Відновлення ПД, модифікованих або знищених внаслідок несанкціонованого доступу до них;
4.5.13. Ознайомлення співробітників Оператора, які безпосередньо здійснюють обробку ПД, с.
- положеннями законодавства Російської Федерації про персональні дані, в тому числі вимог до захисту ПД;
- документами, що визначають політику Оператора щодо обробки ПД;
- локальними актами з питань обробки персональних даних;
4.5.14. Здійснення внутрішнього контролю та аудиту.
5. Основні права суб'єкта ПД і обов'язки оператора
5.1. Основні права суб'єкта ПД
Суб'єкт має право на доступ до його персональних даних і наступним відомостями:
- підтвердження факту обробки ПД оператором;
- правові підстави та мети обробки ПД;
- мети і приємним оператором способи обробки ПД;
- найменування та місце знаходження оператора, відомості про осіб (за винятком працівників оператора), які мають доступ до ПД або яким можуть бути розкриті ПД на підставі договору з оператором або на підставі федерального закону;
- терміни обробки ПД, в тому числі терміни їх зберігання;
- порядок здійснення суб'єктом ПД прав, передбачених цим Законом;
- звернення до оператора і напрямку йому запитів;
- оскарження дій або бездіяльності оператора.
5.2. Обов'язки Оператора
- при зборі ПД надати інформацію про обробку ПД;
- у випадках, якщо ПД були отримані не від суб'єкта ПД, повідомити суб'єкта;
- при відмові в наданні ПД суб'єкту роз'яснюються наслідки такої відмови;
- приймати необхідні правові, організаційні та технічні заходи або забезпечувати їх прийняття для захисту ПД від неправомірного або випадкового доступу до них, знищення, перекручення, блокування, копіювання, надання, поширення ПД а також від інших неправомірних дій у відношенні ПД;
- давати відповіді на запити і звернення Суб'єктів ПД, їх представників та уповноваженого органу з захисту прав суб'єктів ПД.