Политика обработки и защиты персональных данных
Политика ООО «Эстет Клиник» в отношении обработки персональных данных
Общие положения:
Настоящая Политика в отношении обработки персональных данных (далее по тексту – Политика) разработана в соответствии с Федеральным законом «О персональных данных» № 152-ФЗ от 27 июля 2006 года, приказом ООО «Эстет Клиник» № _3 от _01.11.2018 «Об утверждении политики ООО «Эстет Клиник» по обработке и защите персональных данных» и действует в отношении всех персональных данных, обрабатываемых в ООО «Эстет Клиник»
Политика устанавливает:
- цели обработки персональных данных;
- принадлежность персональных данных;
- перечень действий с персональными данными и способы их обработки
- общие принципы обработки персональных данных;
- условия обработки персональных данных и обеспечение их конфиденциальности;
- права субъектов персональных данных и учреждения здравоохранения;
- меры по обеспечению безопасности персональных данных.
Политика определяет принципы, порядок и условия обработки персональных данных пациентов и работников учреждения, с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни.
Положения настоящей Политики являются основой для организации работы по обработке персональных данных, разработки внутренних нормативных документов, регламентирующих порядок обработки персональных данных.
ООО «Эстет Клиник» (далее по тексту — учреждение) является оператором персональных данных, самостоятельно или совместно с другими лицами организующее и осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными, а также обеспечивает защиту прав и свобод субъектов при обработке их персональных данных и принимает меры для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
Настоящая Политика является общедоступной и размещается в открытом доступе (на официальном сайте, стендах информирования и т.п.) или иным образом обеспечивается неограниченный доступ к данной Политике.
1. Основные понятия
В настоящей Политике используются следующие основные понятия:
- персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- специальные категории персональных данных — персональные данные субъектов персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни и судимости;
- субъекты персональных данных — пациенты, работники ООО «Эстет Клиник», сотрудники оператора;
- обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
- распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
- конфиденциальность персональных данных — обязательное для соблюдения оператором требование не раскрывать третьим лицам и не допускать распространения персональных данных без согласия субъектов персональных данных или наличия иного законного основания;
- защита персональных данных — деятельность оператора, направленная на предотвращение утечки защищаемых персональных данных, несанкционированных и непреднамеренных воздействий на защищаемые персональные данные.
2. Основания и цели обработки персональных данных
Учреждение осуществляет обработку персональных данных в соответствии с требованиями следующих документов:
- Конституции Российской Федерации, принята всенародным голосованием 12 декабря 1993 года;
- Гражданского кодекса Российской Федерации от 30 ноября 1994 года № 51-ФЗ;
- Налогового кодекса Российской Федерации от 05 августа 2000 года № 117-ФЗ;
- Трудового кодекса Российской Федерации от 30 декабря 2001 года № 197-ФЗ;
- Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
- Федерального закона от 21 ноября 2011 года № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
- Федерального закона от 29 ноября 2010 года № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
- Федерального закона от 24 июля 2009 года № 212-ФЗ «О страховых взносах в Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования»;
- Приказом № _3 от _01.11.2018 «Об утверждении политики ООО «Эстет Клиник» по обработке и защите персональных данных» и действует в отношении всех персональных данных, обрабатываемых в ООО «Эстет Клиник»;
- Лицензии на осуществление медицинской деятельности.
Обработка персональных данных осуществляется с целью:
- исполнения требований законодательства Российской Федерации;
- защиты законных прав и интересов граждан при оказании медицинской помощи и медицинских услуг, проведении медицинских осмотров и установления медицинского диагноза;
- исполнения договорных обязательств перед учреждениями и организациями, заключившими договора на оказание медицинских услуг своим сотрудникам,
- осуществления и выполнения, возложенных законодательством Российской Федерации, на оператора функций, полномочий и обязанностей по выполнение трудового законодательства, осуществления бухгалтерской и кадровой деятельности.
3. Состав и принадлежность персональных данных
В учреждении обрабатываются следующие персональные данные:
- специальная категория персональных данных, касающейся состояния здоровья субъектов персональных данных, не являющихся сотрудниками оператора;
- иная категория персональных данных сотрудников оператора.
- Состав персональных данных определяется порядком ведения документации и формами учета, утвержденными законодательством Российской Федерации и иными нормативно правовыми актами, регламентирующими деятельность учреждения здравоохранения.
Персональные данные принадлежат:
- физическим лицам — гражданам Российской Федерации, проходящим медицинские осмотры, обследования, лечение;
- работникам учреждения – гражданам Российской Федерации, состоящим в трудовых отношениях с учреждением здравоохранения.
4. Перечень действий с персональными данными, описание способов обработки персональных данных
Перечень действий, осуществляемых с персональными данными:
- сбор персональных данных;
- запись персональных данных;
- систематизация персональных данных;
- накопление персональных данных;
- хранение персональных данных;
- уточнение (обновление, изменение) персональных данных;
- использование персональных данных;
- распространение персональных данных;
- блокирование персональных данных;
- уничтожение персональных данных.
- Обработка персональных данных осуществляется путем:
- получения информации, содержащей персональные данные, в устной и (или) письменной форме непосредственно от субъектов персональных данных;
- предоставления субъектами персональных данных оригиналов и копий необходимых документов;
- копирования документов;
- получения персональных данных при направлении запросов в органы государственной власти, государственные внебюджетные фонды, иные государственные органы, коммерческие и некоммерческие организации, физическим лицам в случаях и порядке, предусмотренных законодательством Российской Федерации;
- получения (передачи) персональных данных от других (другим) учреждениям здравоохранения;
- фиксации (регистрации) персональных данных в журналах, книгах, реестрах и других учетных формах;
- внесения персональных данных в информационные системы персональных данных;
- использования иных средств и способов фиксации персональных данных, получаемых в рамках осуществляемой деятельности.
Способы обработки персональных данных:
- Обработка персональных данных осуществляется с помощью средств вычислительной техники (автоматизированная обработка) либо при непосредственном участии человека без использования средств вычислительной техники (неавтоматизированная обработка).
- В соответствии с требованиями Федерального закона от 21 ноября 2011 года № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» учреждение здравоохранения имеет право создавать локальные информационные системы, содержащие данные о пациентах и об оказываемых им медицинских услугах, с соблюдением установленных законодательством Российской Федерации требований о защите персональных данных и соблюдением врачебной тайны.
- Автоматизированная обработка персональных данных осуществляется в многопользовательском режиме с разграничением прав доступа, информация доступна лишь для строго определенных сотрудников.
Доступ к обработке персональных данных:
- К обработке персональных данных допускаются только те работники учреждения, доступ которых к персональным данным, необходим для исполнения ими служебных (трудовых) обязанностей. Указанные работники имеют право получать только те персональные данные и в том объеме, которые необходимы им для выполнения своих служебных (трудовых) обязанностей.
- Работники учреждения, допущенные к обработке персональных данных, информируются об условиях и правилах обработки персональных данных, режимах защиты информационных систем персональных данных, порядке хранения материальных носителей персональных данных.
- Работниками учреждения даются письменные обязательства о неразглашении персональных данных и конфиденциальной информации, соблюдении врачебной тайны.
5. Принципы обработки персональных данных
Обработка персональных данных в учреждении осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом «О персональных данных», и учитывает необходимость обеспечения защиты прав и свобод субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайны, а именно:
- законности заранее определенных конкретных целей и способов обработки персональных данных;
- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- обеспечения надлежащей защиты персональных данных;
- недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
- уничтожения по достижении целей обработки персональных данных, если срок хранения персональных данных не установлен законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- обеспечения конфиденциальности обрабатываемых персональных данных.
6. Условия обработки персональных данных
Обработка персональных данных субъектов персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации.
Обработка персональных данных субъектов проходящих медицинские осмотры, медицинские исследования и лечение осуществляется без согласия субъектов персональных данных в следующих случаях:
1. В соответствии с требованиями Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»:
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому, является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
- обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
- обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.
2. В соответствии с требованиями Трудового кодекса Российской Федерации от 30 декабря 2001 года № 197-ФЗ:
- обработка персональных данных осуществляется при проведении обязательных предварительных (при поступлении на работу) и периодических медицинских осмотров (обследований) для определения пригодности работников для выполнения поручаемой работы и предупреждения профессиональных заболеваний.
Обработка персональных данных работников учреждения осуществляется без их согласия в соответствии с требованиями Трудового кодекса Российской Федерации от 30 декабря 2001 года № 197-ФЗ, в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
7. Обеспечение конфиденциальности персональных данных
В соответствии с требованиями Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», Федерального закона от 21 ноября 2011 года № 323-ФЗ раскрытие и распространение третьим лицам персональных данных, а также сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, осуществляется с согласия субъекта персональных данных, если иное не предусмотрено федеральным законодательством.
В соответствии с требованиями статьи Трудового кодекса Российской Федерации от 30 декабря 2001 года № 197-ФЗ передача персональных данных работника третьей стороне осуществляется с его письменного согласия, если иное не предусмотрено федеральным законодательством.
Передача персональных данных субъектов персональных данных проходящих медицинские осмотры, медицинские исследования и лечение третьим лицам без согласия субъекта персональных данных осуществляется в следующих случаях:
1. В соответствии с требованиями Федерального закона от 29 ноября 2010 № 326 «Об обязательном медицинском страховании в Российской Федерации» и договорами, заключаемыми субъектами (работодателем) со страховыми компаниями, в целях ведения персонифицированного учета сведений о медицинской помощи, оказанной застрахованным лицам, осуществляется передача сведений о субъекте персональных данных в территориальные фонды ОМС, ДМС, негосударственные страховые компании.
2. В соответствии с требованиями Федерального закона от 21 ноября 2011 года № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»:
- в целях проведения медицинского обследования и лечения гражданина, который в результате своего состояния не способен выразить свою волю;
- при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;
- по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органов прокуратуры в связи с осуществлением ими прокурорского надзора, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля за поведением условно осужденного, осужденного, в отношении которого отбывание наказания отсрочено, и лица, освобожденного условно-досрочно;
- в случае оказания медицинской помощи несовершеннолетнему, для информирования одного из его родителей или иного законного представителя;
- в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий;
- в целях проведения военно-врачебной экспертизы по запросам военных комиссариатов, кадровых служб и военно-врачебных (врачебно-летных) комиссий федеральных органов исполнительной власти, в которых федеральным законом предусмотрена военная и приравненная к ней служба;
- в целях расследования несчастного случая на производстве и профессионального заболевания, а также несчастного случая с обучающимся во время пребывания в организации, осуществляющей образовательную деятельность;
- при обмене информацией медицинскими организациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований законодательства Российской Федерации о персональных данных;
- в целях осуществления учета и контроля в системе обязательного социального страхования;
- в целях осуществления контроля качества и безопасности медицинской деятельности в соответствии с настоящим Федеральным законом (в Региональную дирекцию медицинского обеспечения, в Региональную врачебно-экспертную комиссию, в Центральную врачебно-экспертную комиссию).
- в целях представления отчетности по видам, формам, в сроки и в объеме, которые установлены уполномоченным федеральным органом исполнительной власти.
3. В соответствии с требованиями Трудового кодекса Российской Федерации от 30 декабря 2001 года № 197-ФЗ, передача сведений о состоянии здоровья субъекта персональных данных осуществляется в учреждения и организации, в целях организации допуска к исполнению трудовых обязанностей.
Передача персональных данных работников учреждения без их согласия осуществляется в следующих случаях:
- В соответствии с требованиями Трудового кодекса Российской Федерации от 30 декабря 2001 года № 197-ФЗ в случае, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами.
- В соответствии с требованиями Налогового кодекса Российской Федерации от 05 августа 2000 года № 117-ФЗ представляются в налоговый орган по месту своего учета сведения о доходах физических лиц истекшего налогового периода и суммах начисленных, удержанных и перечисленных в бюджетную систему Российской Федерации за этот налоговый период.
- В соответствии с требованиями Федерального закона от 24 июля 2009 года № 212-ФЗ «О страховых взносах в Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования» представляется отчетность в орган контроля за уплатой страховых взносов по месту своего учета.
- В соответствии с пунктом 5 статьи 19, пункта 1 статьи 21 Федерального закона от 21 ноября 2011 года № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» в целях информационного обеспечения пациентов в учреждении здравоохранения могут создаваться общедоступные источники персональных данных о врачах-специалистах (доска объявлений, информация на сайте и т.п.). В общедоступные источники персональных данных без согласия субъекта персональных данных могут включаться фамилия, имя, отчество, структурное подразделение, должность, сведения о квалификации врача-специалиста, стаж работы.
Трансграничная передача персональных данных может осуществляться в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
- наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;
- предусмотренных международными договорами Российской Федерации;
- предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;
- исполнения договора, стороной которого является субъект персональных данных;
- защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.
Учреждение вправе на основании заключаемого договора поручить обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю с согласия субъектов персональных данных. Юридическое лицо или индивидуальный предприниматель, осуществляющие обработку персональных данных по поручению учреждения здравоохранения, обязаны соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством Российской Федерации в области персональных данных и обеспечения условий конфиденциальности и безопасности персональных данных при их обработке.
8. Прекращение обработки персональных данных
Прекращение автоматизированной обработки персональных данных субъектов персональных данных, проходящих медицинские осмотры, медицинские исследования и лечение в информационных системах персональных данных осуществляется:
- по письменному требованию субъектов персональных данных, немедленно, после завершения производства расчетов за оказанные медицинские и медико-социальные услуги;
- по истечению сроков хранения первичных медицинских документов и составляют от одного года до двадцати пяти лет.
Прекращение неавтоматизированной обработки персональных данных субъектов, проходящих медицинские осмотры, медицинские исследования и лечение, и уничтожение документов, содержащих персональные данные, осуществляется по истечению сроков хранения первичных медицинских документов, которые составляют от одного года до двадцати пяти лет, с момента оказания последней медицинской услуги в соответствии с требованиями приказов Министерства здравоохранения и бухгалтерской отчетности.
Прекращение автоматизированной обработки персональных данных работников учреждения в информационных системах персональных данных осуществляется:
- при прекращении договорных отношений с работниками и физическими лицами;
- по истечению сроков представления бухгалтерской отчетности.
Прекращение неавтоматизированной обработки персональных данных работников учреждения и уничтожение документов, содержащих персональные данные, осуществляется:
- по истечению сроков хранения документов по личному составу и бухгалтерской отчетности, которые составляют до семидесяти пяти лет.
- при ликвидации учреждения.
9. Права и обязанности субъекта персональных данных и учреждения
Субъект персональных данных обязан: предоставить достоверные персональные данные, необходимые для исполнения договора, оказания услуги, идентификации субъекта персональных данных, а также в иных случаях, предусмотренных Федеральным законодательством Российской Федерации.
Субъект персональных данных имеет право:
- получать информацию, касающуюся обработки его персональных данных, в порядке, форме и сроки, установленные Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
- требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для заявленной цели обработки или используются в целях, не заявленных ранее при предоставлении субъектом персональных данных согласия на обработку персональных данных;
- отозвать свое согласие на обработку персональных данных;
- обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных.
Учреждение обязано:
- организовывать и осуществлять медицинскую деятельность в соответствии с законодательными и иными нормативными правовыми актами Российской Федерации, в том числе порядками оказания медицинской помощи, и на основе стандартов медицинской помощи;
- вести медицинскую документацию в установленном порядке и представлять отчетность по видам, формам, в сроки и в объеме, которые установлены уполномоченным федеральным органом исполнительной власти;
- принимать необходимые меры для выполнения обязанностей оператора, предусмотренных законодательством Российской Федерации в сфере обработки и защиты персональных данных;
- разъяснять субъекту персональных данных юридические последствия отказа предоставить персональные данные, если это является обязательным в соответствии с законодательством Российской Федерации;
- осуществлять блокирование неправомерно обрабатываемых персональных данных;
- осуществлять прекращение обработки персональных данных в соответствии с законодательством Российской Федерации;
- уведомлять субъекта персональных данных об устранении допущенных нарушений или уничтожении его персональных данных;
- предоставлять по просьбе субъекта персональных данных или его представителя информацию, касающуюся обработки его персональных данных, в порядке, установленном законодательством Российской Федерации и нормативно-правовыми актами.
Учреждение имеет право:
- обрабатывать персональные данные субъекта персональных данных в соответствии с заявленной целью;
- требовать от субъекта персональных данных предоставления достоверных персональных данных, необходимых для исполнения договора, оказания услуги, идентификации субъекта персональных данных, а также в иных случаях, предусмотренных Федеральным законодательством Российской Федерации;
- обрабатывать персональные данные субъекта, предоставлять персональные данные субъекта третьим лицам без его согласия, если это предусмотрено Федеральным законодательством Российской Федерации;
- поручать обработку персональных данных другим лицам с согласия субъекта персональных данных;
- отказывать в предоставлении персональных данных в случаях предусмотренных законодательством.
10. Обеспечение безопасности персональных данных
Важнейшим условием реализации целей деятельности учреждения здравоохранения, является обеспечение необходимого и достаточного уровня защищенности информационных систем персональных данных, соблюдения конфиденциальности, целостности и доступности обрабатываемых персональных данных, сохранности материальных носителей сведений, содержащих персональные данные, на всех этапах работы с ними.
Обеспечение безопасности обрабатываемых персональных данных осуществляется с применением комплексной системы организационно-технических и правовых мероприятий по защите информации, с учетом требований законодательства Российской Федерации о персональных данных, принятых в соответствии с ним нормативных правовых актов. Система информационной безопасности непрерывно развивается и совершенствуется на базе требований стандартов информационной безопасности.
В целях организации и обеспечения безопасности персональных данных обеспечиваются следующие меры:
- назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;
- определение и оценка угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- принятие локальных нормативных актов, разработка организационно-распорядительных документов по защите персональных данных;
- назначение должностных лиц, ответственных за обеспечение безопасности персональных данных в информационных системах;
- создание необходимых условий для работы с материальными носителями и информационными системами, в которых обрабатываются персональные данные и исключающих несанкционированный доступ к ним;
- ограничение круга должностных лиц, имеющих доступ к персональным данным;
- ознакомление работников с требованиями федерального законодательства и нормативных документов по обработке и защите персональных данных;
- реализация разрешительной системы доступа пользователей к информационным ресурсам, программно-аппаратным средствам обработки и защиты информации;
- регистрация и учёт действий пользователей информационных систем персональных данных;
- применение средств разграничения и контроля доступа к информации, информационным ресурсам, информационным системам, коммуникационным портам, устройствам ввода-вывода информации, съёмным машинным носителям и внешним накопителям информации;
- реализация парольной защиты при осуществлении доступа пользователей к информационной системе персональных данных;
- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- применение средств межсетевого экранирования;
- осуществление антивирусного защиты, предотвращение внедрения вредоносных программ;
- применение средств криптографической защиты информации для обеспечения безопасности персональных данных при передаче по открытым каналам связи;
- установление запрета на передачу персональных данных по открытым каналам связи и сети общего пользования «Интернет»;
- размещение баз данных информации, содержащей персональные данные граждан Российской Федерации на собственных информационных ресурсах, принадлежащих учреждению, на территории Российской Федерации;
- учет и хранение материальных носителей персональных данных в условиях, обеспечивающих их сохранность;
- обеспечение раздельного хранения материальных носителей персональных данных, на которых содержатся персональные данные разных категорий или содержатся персональные данные, обработка которых осуществляется в разных целях;
- резервное копирование информации и восстановления персональных данных;
- централизованное управление системой защиты персональных данных;
- обучение работников, использующих средства защиты информации, применяемые в информационных системах персональных данных, правилам работы с ними;
- оценку эффективности принимаемых мер по обеспечению безопасности персональных данных;
- обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
- размещение технических средств обработки персональных данных, в пределах границ охраняемой территории;
- обеспечение пропускного режима на территорию учреждения;
- обеспечение контроля за порядком обработки персональных данных и обеспечения их безопасности, поддержания установленного уровня защищенности информационных систем персональных данных.
11. Заключительные положения
Положения настоящей Политики являются обязательными для исполнения всеми работниками ООО «Эстет Клиник», имеющими доступ к персональным данным.
ООО «Эстет Клиник», а также его работники в соответствии с законодательством Российской Федерации несут гражданско-правовую, административную и уголовную ответственность за несоблюдение принципов и условий обработки персональных данных, а также за разглашение или незаконное использование персональных данных.