Директор ООО «Семейный доктор»
Хмелев С.А. « 28» ноября 2015 года
ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ И РЕАЛИЗУЕМЫХ ТРЕБОВАНИЯХ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ.
Настоящая Политика обработки персональных данных и реализуемых требованиях к защите персональных данных (далее — Политика) разработана в соответствии с целями, задачами и принципами обеспечения безопасности персональных данных и действует в отношении всей информации, которую ООО «Семейный доктор» может получить в рамках осуществления своей деятельности. Политика разработана в соответствии Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и предназначена для ознакомления неограниченного круга лиц.
В Политике определены требования к персоналу Оператора, степень ответственности персонала, структура и необходимый уровень защищенности, статус и должностные обязанности сотрудников, ответственных за обеспечение безопасности персональных данных в информационных системах персональных данных (ИСПДн) Оператора.
Целью настоящей Политики является обеспечение безопасности объектов защиты оператора информационной системы от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности ПДн (УБПДн) информационной системы. Целью Положения является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных.
Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
Область действия:
Требования настоящей Политики распространяются на всех работников Оператора (штатных, временных, работающих по контракту и т.п.), а также всех прочих лиц (пациенты, законные представители, подрядчики, аудиторы и т.п.).
ПРАВОВОЕ ОСНОВАНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
«Учреждение» осуществляет обработку персональных данных на основании:
4.1. Трудового кодекса Российской Федерации от 30.12.2001 № 197-ФЗ;
4.2. Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
4.3. Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»; - Конституция РФ от 12.12.1993г. (ст. 2, 17-24, 41);
- Федеральный Закон от 30.03.1999 г. № 52-ФЗ "О санитарно-эпидемиологическом благополучии населения" (ред. от 01.12.2007 г.);
- Федеральный Закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
- Федеральный Закон от 27 июля 2006г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;.
- Федеральный Закон от 02 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;
- Указ Президента РФ от 06.03.1997 г. № 188 (ред. от 23.09.2005г.) "Об утверждении перечня сведений конфиденциального характера" в редакции указов Президента Российской Федерации от 23.09.2005 г. N 1111; от 13.07.2015 г. N 357 .
- Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Регламентирующие документы ФСТЭК России и ФСБ России об обеспечении безопасности персональных данных:
- Приказ ФСТЭК РФ от 05.02.2010г. № 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных" (Зарегистрировано в Минюсте РФ 19.02.2010г. № 16456); - "Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (утв. ФСТЭК РФ 14.02.2008г.);
ОБЩИЕ ПОЛОЖЕНИЯ
Основные понятия, используемые в Положении:
- Оператор – ООО «Семейный доктор»;
- Пациент - субъект персональных данных ,физическое лицо, потребитель услуг, предоставляемых Оператором (или его законный представитель),;
- услуги, предоставляемые Оператором-оказание медицинских услуг, а также иная деятельность, связанная с диагностикой,консультированием,лечением, которая включает в себя основные и дополнительные услуги, предоставляемые Пациенту;
-персональные данные - информация, сохраненная в любом формате, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), которая сама по себе или в сочетании с другой информацией, имеющейся в распоряжении Оператора, позволяет идентифицировать личность Пациента;
- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
-распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- конфиденциальность персональных данных - обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
Настоящим Положением устанавливается порядок обработки персональных данных Пациентов, которым осуществляется оказание медицинских услуг Оператором .
Персональные данные обрабатываются в целях предоставления медицинских услуг, потребителем которых является Пациент. Оператор собирает данные только в объеме, необходимом для достижения названной цели.
Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации.
Настоящее Положение утверждается директором и является обязательным для исполнения всеми сотрудниками, имеющими доступ к персональным данным Пациента.
Получение персональных данных Пациентов
-анкетные данные (фамилия, имя, отчество, число, месяц, год рождения);
-адрес регистрации или адрес места жительства;
- номер контактного телефона;
-адрес электронной почты;
- данные о состоянии здоровья.
. Все персональные данные сотрудники Оператора получают непосредственно от субъекта персональных данных – Пациентов(их законных представителей).
С целью идентификации личности Пациента, перед обработкой персональных данных, уполномоченное лицо Оператора обязано знакомиться с документом,удостоверяющим личность Пациента(его законного представителя).
Перечень действий с персональными данными.
Обработка персональных данных Оператором в интересах Пациентов заключается в получении, систематизации, накоплении, хранении, уточнении (обновлении, изменении), использовании, распространении, обезличивании, блокировании, уничтожении и в защите от несанкционированного доступа персональных данных Пациентов.
Обработка персональных данных Пациентов ведется без использования средств автоматизации.
Персональные данные Пациентов в электронном виде хранятся на серверах и системах хранения данных Оператора, в электронных папках и файлах в персональных компьютерах директора и сотрудников, допущенных к обработке персональных данных Пациентов.
Оператор может поручить обработку персональных данных третьим лицам в случаях, если:
-субъект дал согласие на осуществление таких действий (при наличии условий в договоре с третьим лицом о соблюдении им принципов и правил обработки персональных данных, предусмотренных Федеральным законом «О персональных данных»);
- в других случаях, предусмотренных законодательством Российской Федерации.
Использование и передача персональных данных Пациентов
Использование персональных данных Пациентов осуществляется Оператором исключительно для достижения целей, определенных договором, на основании которого, Оператор оказывает услуги Пациенту (медицинские услуги).
При передаче персональных данных Пациентов Оператор должен соблюдать следующие требования:Предупредить лиц, получающих персональные данные Пациентов о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные Пациентов, обязаны соблюдать режим конфиденциальности. Данное положение не распространяется в случае обезличивания персональных данных и в отношении общедоступных данных. Трансграничная передача персональных данных не осуществляется.
Права и обязанности субъекта
Субъект персональных данных, согласно законодательству Российской Федерации, имеет право:
- получать информацию, касающуюся обработки своих персональных данных;
- требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- требовать прекращения обработки своих персональных данных в случаях, предусмотренных законодательством Российской Федерации;
- обжаловать действия или бездействие Оператора в судебном порядке.
Пациент имеет право на доступ к информации:
- о самом себе, в том числе содержащей информацию подтверждения факта обработки персональных данных, а также цель такой обработки; способы обработки персональных данных, применяемые Оператором;
- сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ; перечень обрабатываемых персональных данных и источник их получения, сроки обработки персональных данных, в том числе сроки их хранения; сведения о том, какие юридические последствия для Пациента может повлечь за собой обработка его персональных данных;
Пациент обязан предоставлять достоверную информацию в целях исполнения договора на оказание медицинских услуг.
Конфиденциальность персональных данных Пациентов.
-Сведения о состоянии здоровья,проведенных обследованиях и лечении Пациентов, являются конфиденциальными( Указ Президента РФ о "Перечне конфиденциальных данных,сп.4. "Сведения, связанные с профессиональной деятельностью,доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами ....)
-Оператор обеспечивает конфиденциальность персональных данных и обязан не допускать их распространения третьим лицам без согласия Пациентов либо наличия иного законного основания.
- Лица, имеющие доступ к персональным данным Пациентов, обязаны соблюдать режим конфиденциальности, они должны быть предупреждены о необходимости соблюдения режима секретности. В связи с режимом конфиденциальности информации персонального характера должны предусматриваться соответствующие меры безопасности для защиты данных от случайного или несанкционированного уничтожения, от случайной утраты, от несанкционированного доступа к ним, изменения или распространения.
- Все меры конфиденциальности при сборе, обработке и хранении персональных данных Пациентов распространяются на все носители информации, как на бумажные, так и на автоматизированные. Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др. Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности Оператора.
- Режим конфиденциальности персональных данных снимается в случаях их обезличивания, если иное не определено законом.
Условия прекращения обработки персональных данных
Срок или условие прекращения обработки персональных данных Оператором-
- время,необходимое для исполнения обязательств по договорам;
- отзыв согласия, если иное не предусмотрено Федеральным законодательством,
- по истечению срока хранения документов ,согласно установленным срокам хранения для определенных категорий документов, если иное не предусмотрено Федеральным законодательством.
Меры, применяемые для защиты персональных данных.
Оператор принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных граждан - субъектов персональных данных.
К таким мерам относятся:
- назначение ответственного лица за организацию обработки персональных данных;
- осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону «О персональных данных»;
-разработка документов, определяющих политику Оператора в отношении обработки персональных данных, локальных документов по вопросам обработки персональных данных;
-ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, с требованиями к защите персональных данных, с документами, определяющими политику Оператора в отношении обработки персональных данных, локальными документами по вопросам обработки персональных данных;
-опубликование в сети Интернет документа, определяющего политику Оператора в отношении обработки персональных данных;
-определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
-применение прошедшей в установленном порядке процедуры оценки соответствия средств защиты информации;
-систематическое осуществление оценки эффективности принимаемых мер по обеспечению безопасности персональных данных;
- установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных;
-осуществление контроля над выполнением принимаемых мер по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
К обработке персональных данных Пациентов могут иметь доступ только сотрудники Оператора, допущенные к работе с персональными данными Пациента и подписавшие Соглашение о неразглашении персональных данных Пациента.
Перечень сотрудников Центра, имеющих доступ к персональным данным Пациентов, определяется приказом директора.
Не допускается отвечать на вопросы, связанные с передачей информации, содержащей персональные данные, по телефону или факсу.
Персональные данные Пациентов на бумажных носителях хранятся в архиве службы регистратуры.
Оператор вправе предоставлять или передавать персональные данные Пациентов третьим лицам в следующих случаях:
-если раскрытие этой информации требуется для соблюдения закона, выполнения судебного акта;
- для оказания содействия в проведении расследований, осуществляемых правоохранительными или иными государственными органами;
- для защиты законных прав Пациентов и Оператора.
Защита персональных данных Пациентов от несанкционированного доступа.
Для эффективной защиты персональных данных Пациентов необходимо:
Соблюдать порядок получения, учета и хранения персональных данных Пациентов;
Документы, содержащие персональные данные Пациентов, должны храниться в помещениях архива службы регистратуры, обеспечивающих защиту от несанкционированного доступа.
Применять технические средства охраны, сигнализации;
Заключить со всеми сотрудниками, связанными с получением, обработкой и защитой персональных данных Пациента, Соглашение о неразглашении персональных данных Пациента.Допуск к персональным данным Пациентов сотрудников, не имеющих надлежащим образом оформленного доступа, запрещается.
Привлекать к дисциплинарной ответственности сотрудников, виновных в нарушении норм, регулирующих получение, обработку и защиту персональных данных Пациента.
Защита доступа к электронным базам данных, содержащим персональные данные Пациентов, обеспечивается:
- использованием лицензионных программных продуктов, предотвращающих несанкционированный доступ третьих лиц к персональным данным Пациентов;
- системой паролей. Пароли устанавливаются системным администратором и сообщаются индивидуально сотрудникам, имеющим доступ к персональным данным Пациентов;
- физической защитой серверов и систем хранения данных от несанкционированного доступа.
Копировать и делать выписки персональных данных Пациента разрешается исключительно в служебных целях с письменного разрешения руководителя.
Обязанности Оператора.
Оператор обязан:
Осуществлять обработку персональных данных Пациентов исключительно в целях оказания законных услуг Пациентам.
Получать персональные данные Пациента непосредственно у него самого. Если персональные данные Пациента возможно получить только у третьей стороны, то Пациент должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Сотрудники Центра должны сообщить Пациентам о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа клиента дать письменное согласие на их получение.
Не получать и не обрабатывать персональные данные Пациента о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, интимной жизни, за исключением случаев, предусмотренных законом.
Предоставлять доступ к своим персональным данным Пациенту или его законному представителю при обращении либо при получении запроса, содержащего номер основного документа, удостоверяющего личность Пациента или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись Пациента или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации. Сведения о наличии персональных данных должны быть предоставлены Пациенту в доступной форме и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
Ограничивать право Пациента на доступ к своим персональным данным, если:
1) обработка персональных данныхосуществляется в целях охраны правопорядка;
2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
3) предоставление персональных данных нарушает конституционные права и свободы других лиц.
Обеспечить хранение и защиту персональных данных Пациента от неправомерного их использования или утраты.
В случае выявления недостоверных персональных данных или неправомерных действий с ними Оператора при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.
В случае подтверждения факта недостоверности персональных данных Оператор на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование.
В случае выявления неправомерных действий с персональными данными Оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений Оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
Ответственность за нарушение норм, регулирующих обработку персональных данных Пациентов.
Оператор несет ответственность за персональную информацию, которая находится в его распоряжении и закрепляет персональную ответственность сотрудников за соблюдением установленного режима конфиденциальности.
Каждый сотрудник, получающий для работы документ, содержащий персональные данные Пациента, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
Любое лицо может обратиться к сотруднику Оператора с жалобой на нарушение данного Положения. Жалобы и заявления по поводу соблюдения требований обработки данных рассматриваются в трехдневный срок со дня поступления.
Сотрудники Оператора обязаны на должном уровне обеспечивать рассмотрение запросов, заявлений и жалоб Пациентов, а также содействовать исполнению требований компетентных органов.
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных Пациентов, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
1.Изменение Политики Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее утверждения и размещения в общедоступном месте, если иное не предусмотрено новой редакцией Политики.
ООО «Семейный доктор»;347923,Ростовская область,
г.Таганрог,ул.Инструментальная,д.19-3;
тел.(8634) 319-320; 8-989-630-22-11