Политика ООО «ЛОР клиника «Многопрофильный центр слуха и речи» в отношении обработки персональных данных

 Общие положения

Политика ООО «ЛОР клиника «Многопрофильный центр слуха и речи» (далее – Клиника) в отношении обработки персональных данных (далее – Политика) определяет порядок, условия обработки персональных данных и реализацию требований по защите персональных данных.

Законодательной основой настоящей Политики является Конституция Российской Федерации, Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных  данных»,  федеральные законы, Указы Президента Российской Федерации, постановления Правительства Российской Федерации, другие нормативные правовые акты в области обработки и обеспечения безопасности персональных данных, а также руководящие документы ФСТЭК России и ФСБ России.

В настоящей Политике используются основные понятия, определенные в статье 3 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Вопросы деятельности Клиники изложены в Уставе. Персональные данные являются конфиденциальной информацией. Обеспечение необходимого и достаточного уровня безопасности персональных данных и другой конфиденциальной информации является важнейшим условием деятельности Клиники.

Принципы обработки персональных данных

Обработка персональных данных осуществляется Клиникой на законной и справедливой основе.

При обработке персональных данных соблюдаются следующие принципы:

  • обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей; не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
  • не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • обработке подлежат только персональные данные, которые отвечают целям их обработки;
  • содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки; не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
  • при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных; принимаются необходимые меры по удалению или уточнению неполных или неточных данных;
  • хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Сроки хранения документов, в том числе электронных документов, содержащих персональные данные, определены номенклатурой дел Клиники. Порядок уничтожения документов, содержащих персональные данные, установлен Инструкцией по делопроизводству.

Обработка персональных данных и реализация требований по защите персональных данных

С целью осуществления своих полномочий Клиника обрабатывает персональные данные следующих субъектов:

  • работников, заключивших трудовой договор с Клиникой, а также их близких родственников;
  • индивидуальных предпринимателей и физических лиц, заключивших с Клиникой договоры возмездного оказания услуг;
  • граждан, обратившихся в Клинику для получения медицинских и иных услуг;

С целью обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами Клиникой приняты следующие меры:

  • правовые, организационные и технические меры, установленные законодательством Российской Федерации в области персональных данных, по обеспечению безопасности обрабатываемых персональных данных;
  • назначено лицо, ответственное за организацию обработки персональных данных;
  • приказом директора Клиники утверждены следующие документы:
  • правила обработки персональных данных;
  • правила рассмотрения запросов субъектов персональных данных или их представителей;
  • правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами Клиники;
  • правила работы с обезличенными персональными данными;
  • перечень информационных систем персональных данных;
  • перечень персональных данных, обрабатываемых в Клинике в связи с реализацией трудовых отношений, а также в связи с оказанием государственных услуг и осуществлением государственных функций;
  • перечень должностных лиц, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных;
  • перечень должностей, замещение которых предусматривает осуществление обработки персональных данных, либо осуществление доступа к персональным данным;
  • должностная инструкция ответственного за организацию обработки персональных данных в Клинике;
  • типовое обязательство должностного лица, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;
  • типовая форма согласия на обработку персональных данных работников Клиники, иных субъектов персональных данных;
  • порядок доступа работников Клиники в помещения, в которых ведется обработка персональных данных;
  • типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;
  • список работников, ответственных за обеспечение безопасности персональных данных и сохранность носителей персональных данных в служебных помещениях;
  • список работников, допущенных к обработке персональных данных;
  • инструкции ответственному лицу по безопасности информации и пользователям;
  • выполнены требования по обработке персональных данных, осуществляемой без использования средств автоматизации;
  • с целью осуществления внутреннего контроля за соответствием обработки персональных данных обязательным требованиям в Клинике организовано проведение периодических проверок условий обработки персональных данных;
  • работники Клиники, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных.

Разработана частная модель угроз безопасности персональных данных, на основании которой выполнено построение системы защиты персональных данных. При этом использовались следующие основные принципы построения системы безопасности персональных данных:

  • законность;
  • системность,
  • комплексный подход;
  • непрерывность защиты;
  • своевременность;
  • преемственность и совершенствование;
  • разумная достаточность (экономическая целесообразность);
  • минимизация полномочий;
  • персональная ответственность;
  • гибкость системы защиты;
  • применение только сертифицированных средств защиты информации;
  • обоснованность и реализуемость;
  • специализация и профессионализм обслуживающего персонала;
  • обязательность контроля.

Объектами защиты являются:

  • персональные данные, обрабатываемые и хранящиеся на серверах, на автоматизированных рабочих местах пользователей (далее - АРМ), на отчуждаемых (съемных) носителях информации, на выносных терминалах, мониторах, в средствах звукозаписи, звуковоспроизведения;
  • персональные данные, передаваемые по каналам и линиям связи;
  • персональные данные, хранящиеся в документированном виде на бумажных носителях;
  • прикладное и системное программное обеспечение серверов, АРМ, используемых для обработки персональных данных;
  • аппаратные средства программно-технических комплексов, оборудование серверов, АРМ, коммуникационное оборудование;
  • средства защиты информации информационных систем персональных данных;
  • съемные (отчуждаемые) машинные носители информации - накопители на гибких и жестких магнитных дисках, Flash-накопители, оптические диски (CD-R, CD-RW, DVD-R, DVD-RW), аудио-, видеокассеты, магнитные ленты и т.д.

Здание и служебные помещения Клиники находятся под охраной. Доступ посетителей в служебные помещения Клиники, в которых ведется обработка персональных данных, разрешен только после регистрации в книге учета посетителей, находящейся у охранника.

Компоненты информационных систем персональных данных размещаются в помещениях, находящихся под охраной и наблюдением, исключающим возможность бесконтрольного проникновения в помещения посторонних лиц и обеспечивающим физическую сохранность находящихся в помещении защищаемых ресурсов (документов, АРМ и т.д.).  По окончании рабочего дня служебные помещения сдаются под охрану в соответствии с приказом директора Клиники

Заключительные положения

Сведения о Клинике, как об операторе, осуществляющем обработку персональных данных, внесены в Реестр операторов, осуществляющих обработку персональных данных, под регистрационным номером __________, дата внесения записи - ___ ____________201_ года.

Ответственность должностных лиц Клиники, допущенных к обработке персональных данных, за невыполнение обязательных требований определяется в соответствии с законодательством Российской Федерации и локальными актами в области обработки персональных данных.