Улыбка — солнце. Она прогоняет с человеческого лица зиму. В. Гюго

Политика в отношении обработки и обеспечения безопасности персональных данных

Утверждено
приказом генерального директора
ООО «Стоматология «Стандарт»
от 22 июня 2015 года

 

Политика в отношении обработки и обеспечения безопасности персональных данных в ООО «Стоматология «Стандарт»

 

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящий документ определяет политику (далее – «Политика») общества с ограниченной ответственностью «Стоматология «Стандарт» в отношении обработки персональных данных.

1.2. Настоящая Политика разработана и утверждена в соответствии с требованиями статьи 18.1 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных» (далее – “ФЗ-152”) и действует в отношении всех персональных данных, обрабатываемых в ООО «Стоматология «Стандарт».

1.3. Целью настоящей Политики является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, а также интересов ООО «Стоматология «Стандарт».

1.4. Настоящая Политика определяет цели, принципы, порядок и условия обработки  персональных данных пациентов, работников и иных лиц, чьи персональные данные обрабатываются ООО «Стоматология «Стандарт», а также включает перечень мер, применяемых в целях обеспечения безопасности персональных данных при их обработке.

1.5. Политика является общедоступным документом, декларирующим концептуальные основы деятельности ООО «Стоматология «Стандарт» при обработке персональных данных.

2. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Правовой основой настоящей Политики в области обработки персональных данных является ФЗ-152, постановления Правительства Российской Федерации, нормативно-правовые акты Роскомнадзора и иных заинтересованных органов.

2.2. Во исполнение настоящей Политики в ООО «Стоматология «Стандарт» разрабатываются и утверждаются локальные акты, регламентирующие порядок организации обработки и обеспечения безопасности персональных данных.

3. ОСНОВНЫЕ КАТЕГОРИИ, ЦЕЛИ И ПРИНЦИПЫ

ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. ООО «Стоматология «Стандарт» осуществляет обработку персональных данных в следующих целях:

- осуществления основных функций и основной деятельности ООО «Стоматология «Стандарт», предусмотренной действующим законодательством Российской Федерации, Уставом, лицензией на медицинскую деятельность и локальными актами ООО «Стоматология «Стандарт»;

- оформления медицинской документации и оказания медицинской помощи;

- предоставления стоматологических услуг, а также их учета в соответствии с законодательством Российской Федерации;

- выполнения требований трудового законодательства в отношении работников ООО «Стоматология «Стандарт».

3.2. Содержание и объем обрабатываемых категорий персональных данных субъектов персональных данных, перечисленных в разделе 3 настоящей Политики, определяются в соответствии с целями обработки персональных данных. ООО «Стоматология «Стандарт» не обрабатывает персональные данные, которые являются избыточными по отношению к указанным целям обработки или несовместимы с такими целями.

3.3. ООО «Стоматология «Стандарт» в своей деятельности обеспечивает соблюдение принципов и условий обработки персональных данных, указанных в статьях 5 и 6 ФЗ-152.

Обработка персональных данных ООО «Стоматология «Стандарт» осуществляется на основе принципов: 

- законности и справедливости целей и способов обработки персональных данных; 

- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям ООО «Стоматология «Стандарт»; 

- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных; 

- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных; 

- недопустимости объединения несовместимых между собой по целям баз данных, содержащих персональные данные; 

- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки; 

- уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении. 

3.4. ООО «Стоматология «Стандарт» осуществляет обработку персональных данных только при условиях, определенных действующим законодательством Российской Федерации в области персональных данных.

3.5. ООО «Стоматология «Стандарт» не осуществляет обработку биометрических персональных данных (сведений,  которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).

3.6. ООО «Стоматология «Стандарт» не выполняет обработку специальных категорий персональных данных, касающихся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.

3.7. ООО «Стоматология «Стандарт» не производит трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных.

4. ПОРЯДОК, УСЛОВИЯ И СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. ООО «Стоматология «Стандарт» обрабатывает персональные данные пациентов и своих работников, а также иных лиц, давших согласие на обработку персональных данных, во исполнение заключенных договоров или с целью их заключения, во исполнение обязательств, предусмотренных федеральным законодательством и иными нормативными правовыми актами, а также в иных целях в соответствии с требованиями ФЗ-152.

4.2. Обработка персональных данных прекращается по истечении срока, предусмотренного законом, иным нормативным правовым актом Российской Федерации, договором, или согласием субъекта персональных данных на обработку его персональных данных. При отзыве субъектом персональных данных согласия на обработку его персональных данных такая обработка осуществляется только в пределах, необходимых для исполнения заключенных с ним договоров и в целях, предусмотренных законодательством Российской Федерации.

4.3. В ООО «Стоматология «Стандарт» обеспечивается защита персональных данных в рамках единого комплекса организационно-технических и правовых мероприятий по охране информации, составляющей персональные данные. При обеспечении защиты персональных данных учитываются требования ФЗ-152, принятых в соответствии с ним нормативных правовых актов и Трудового кодекса Российской Федерации. Система информационной безопасности ООО «Стоматология «Стандарт» постоянно развивается и совершенствуется на базе требований национальных стандартов информационной безопасности.

4.4. В ООО «Стоматология «Стандарт» в предусмотренных локальными актами случаях проводится аттестация информационных систем на соответствие требованиям по защите информации. 

4.5. Сроки обработки и архивного хранения персональных данных определяются в соответствии с требованиями действующего законодательства Российской Федерации (Гражданским кодексом РФ, Трудовым кодексом РФ, Налоговым кодексом РФ, ФЗ-152, а также иными нормативно-правовыми актами) и локальными актами ООО «Стоматология «Стандарт».

4.6. ООО «Стоматология «Стандарт» прекращает обработку персональных данных в следующих случаях:

- при достижении цели обработки персональных данных;

- при изменении, признании утратившими силу нормативно-правовых актов Российской Федерации, устанавливающих правовые основания обработки персональных данных;

- при выявлении неправомерной обработки персональных данных, осуществляемой ООО «Стоматология «Стандарт»;

- при отзыве субъектом персональных данных согласия на обработку его персональных данных, если в соответствии с ФЗ-152 обработка персональных данных допускается только с согласия субъекта персональных данных.

4.7. Уничтожение ООО «Стоматология «Стандарт» персональных данных осуществляется в порядке и сроки, предусмотренные законодательством Российской Федерации.

5. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

ООО «Стоматология «Стандарт» обрабатывает персональные данные следующих категорий субъектов персональных данных:

- пациенты ООО «Стоматология «Стандарт» и их законные представители; 

- работники ООО «Стоматология «Стандарт»;

- исполнители по гражданско-правовым договорам.

6. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. ООО «Стоматология «Стандарт» не предоставляет и не раскрывает сведения, содержащие персональные данные субъектов персональных данных, третьей стороне без согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральными законодательством.

6.2. ООО «Стоматология «Стандарт» передает обрабатываемые персональные данные в уполномоченные организации, государственные органы, государственные внебюджетные фонды только на основаниях и в случаях, предусмотренных законодательством Российской Федерации,

6.3. По мотивированному запросу, исключительно для выполнения возложенных законодательством функций и полномочий, персональные данные субъекта персональных данных без его согласия могут быть переданы в  судебные органы, в органы государственной безопасности, прокуратуры, полиции, следственные органы – в случаях, установленных нормативно-правовыми актами, обязательными для исполнения.

7. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ 

7.1. ООО «Стоматология «Стандарт» при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

7.2. Во исполнение норм действующего законодательства Российской Федерации, а также в соответствии с настоящей Политикой в ООО «Стоматология «Стандарт» принимаются следующие меры:

- назначаются ответственные за организацию обработки персональных данных;

- разрабатываются и внедряются локальные акты, определяющие правила обработки персональных данных, а также процедуры, направленные на выявление и предотвращение нарушения таких правил;

- применяются правовые, организационные и технические меры по обеспечению безопасности  персональных данных в соответствии со статьей 19 ФЗ-152;

- осуществляется внутренний контроль соответствия обработки  персональных данных требованиям нормативных актов с целью выявления нарушений установленных процедур по обработке  персональных данных и устранение последствий таких нарушений;

- с работниками  ООО «Стоматология «Стандарт», непосредственно осуществляющими обработку персональных данных, связанными с вопросами защиты информации проводится обучение правилам обработки и защиты персональных данных (в том числе мероприятия по ознакомлению с положениями законодательства Российской Федерации в области персональных данных, с требованиями к защите персональных данных, документами, определяющими политику ООО «Стоматология «Стандарт» в отношении обработки персональных данных, локальными актами ООО «Стоматология «Стандарт» по вопросам обработки персональных данных);

- осуществляется оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ-152;

7.3. В целях обеспечения безопасности персональных данных проводятся следующие мероприятия:

- определяются угрозы безопасности при обработке персональных данных;

- применяются организационные и технические меры по обеспечению безопасности персональных данных при их обработке;

- определяются уровни защищенности персональных данных;

- применяются надлежащие средства защиты информации;

- проводится оценка эффективности принимаемых мер по обеспечению безопасности персональных данных;

- осуществляется учет машинных носителей персональных данных;

- принимаются процедуры, направленные на выявление фактов несанкционированного доступа к персональным данным и принятием соответствующих мер;

- производится восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- устанавливаются правила доступа к персональным данным, а также обеспечивается регистрация и учет всех действий, совершаемых с персональными данными;

- осуществляется постоянный контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем их защищенности.

7.4. Обязанности должностных лиц, осуществляющих обработку и защиту персональных данных, а также их ответственность, определяются  локальными актами ООО «Стоматология «Стандарт» по вопросам обработки и обеспечения безопасности персональных данных.

8. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ 

В соответствии с главой 3 ФЗ-152 субъект персональных данных имеет право:

8.1. Требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

8.2. Требовать перечень своих персональных данных, обрабатываемых ООО «Стоматология «Стандарт» и источник их получения. 

8.3. Получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения.

8.4. Требовать извещения ООО «Стоматология «Стандарт» всех лиц, которым в рамках действующего законодательства Российской Федерации ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.

8.5. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных. 

8.6. На защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;

8.7. Отозвать свое согласие на обработку персональных данных. 

9. ОБЯЗАННОСТИ ООО «Стоматология «Стандарт»

И КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. ООО «Стоматология «Стандарт» обязана осуществить самостоятельно или обеспечить (если обработка персональных данных осуществляется другим лицом)  конфиденциальность, блокирование, уточнение, прекращение обработки, уничтожение персональных данных субъекта персональных данных в соответствии с требованиями статьи 21 ФЗ-152.

9.2.  Персональные данные, обрабатываемые в ООО «Стоматология «Стандарт», относятся к информации конфиденциального характера.

9.3. Работники ООО «Стоматология «Стандарт», доступ которых к обрабатываемым персональным данным необходим для выполнения ими служебных (трудовых) обязанностей, обязаны соблюдать конфиденциальность обрабатываемых персональных данных и информируются о том, что в соответствии со статьей 24 ФЗ-152 лица, виновные в нарушении требований закона, несут гражданскую, уголовную, административную, дисциплинарную и иную ответственность, предусмотренную законодательством Российской Федерации.

9.4. Работники ООО «Стоматология «Стандарт» подписывают обязательство о неразглашении персональных данных.

10. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

10.1. Настоящая Политика является общедоступным  документом и подлежит размещению на интернет - сайте ООО «Стоматология «Стандарт».

10.2. Настоящая Политика подлежит пересмотру в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите  персональных данных, но не реже одного раза в три года.

10.3. Контроль за исполнением требований настоящей Политики осуществляется ответственным лицом ООО «Стоматология «Стандарт», назначаемым в установленном порядке локальным актом.

10.4. Ответственность должностных лиц ООО «Стоматология «Стандарт», имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с действующим законодательством Российской Федерации в области персональных данных и локальными актами ООО «Стоматология «Стандарт».