Политика конфиденциальности

Политика конфиденциальности

ООО «ФЛЕБОКЛИНИКА»
432000, Ульяновская область,
г Ульяновск, пер Пожарный, д. 10
ИНН/КПП 7325146340/ 732501001
ОГРН 1167325062882

УТВЕРЖДАЮ
Генеральный директор
ООО «Флебоклиника»
__А.Ш.Худиева
«» _ 2024 г.
Политика конфиденциальности
при обработке персональных данных

  1. Общие положения

1.1. Настоящая Политика конфиденциальности (далее – «Политика») разработана в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
1.2. В целях настоящей Политики используются следующие термины:
⦁ персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
⦁ Общество (оператор) – Общество с ограниченной ответственностью «Флебоклиника», оказывающее медицинские услуги физическим лицам, самостоятельно организующее и осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
⦁ обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
⦁ конфиденциальность персональных данных – обязанность оператора и иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
⦁ информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.3. Настоящая Политика определяет порядок и условия обработки Обществом персональных данных, полученных при оказании медицинских услуг (заключении и исполнении договоров об оказании медицинских услуг), при оформлении трудовых отношений Общества с его работниками, при заключении договоров с контрагентами Общества, включая порядок передачи персональных данных третьим лицам, особенности автоматизированной и мануальной (неавтоматизированной) обработки персональных данных, порядок доступа к персональным данным, систему защиты персональных данных, порядок организации внутреннего контроля и ответственность сотрудников Общества за нарушения при обработке персональных данных.
1.4. Действие настоящей Политики распространяется на все процессы по сбору, систематизации, накоплению, хранению, уточнению, использованию, распространению (в том числе передачу), обезличиванию, блокированию, уничтожению персональных данных, полученных Обществом.
1.5. Настоящая Политика вступает в силу с момента ее утверждения директором Общества и действует бессрочно, до замены ее новой редакцией Политики. Все изменения в Политику вносятся приказом.
1.6. Администрация Общества, а также все иные работники Общества, имеющие доступ к персональным данным клиентов, сотрудников и контрагентов Общества, должны быть ознакомлены с настоящей Политикой под роспись.

  1. Цели и задачи обработки персональных данных

2.1. Обработка персональных данных Обществом ограничивается достижением конкретных, заранее определенных и законных целей. Обществом не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.2. Обществом не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
2.3. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Обрабатываемые персональные данные (их содержание и объем) не должны быть избыточными по отношению к заявленным целям их обработки.
2.4. Основные цели обработки персональных данных клиентов Общества обусловлены осуществляемой Обществом деятельностью: оказанием медицинских услуг, в т.ч. исполнением обязательных требований федерального законодательства к такой деятельности, и включают в себя:
⦁ заключение договора об оказании медицинских услуг;
⦁ оформление информированного добровольного согласия клиента (пациента) на определенные виды медицинских вмешательств;
⦁ оформление амбулаторной карты клиента (пациента) и другой медицинской документации, предусмотренной действующим законодательством;
⦁ исполнение Обществом обязательств по договору об оказании медицинских услуг.
Дополнительными (вспомогательными) целями обработки персональных данных являются: информирование клиентов об акциях Общества, скидках, новых услугах и пр.
2.5. Основные цели обработки персональных данных сотрудников Общества обусловлены требованиями действующего трудового законодательства и включают в себя:
⦁ заключение трудового договора;
⦁ ведение кадровой документации;
⦁ исполнение Обществом обязательств работодателя по трудовому договору.
2.6. Основные цели обработки персональных данных контрагентов Общества (поставщиков, подрядчиков, исполнителей и др.) обусловлены видами деятельности, осуществляемой Обществом, и включают в себя:
⦁ заключение гражданско-правовых договоров;
⦁ исполнение гражданско-правовых договоров.
2.7. Информационная система персональных данных Общества обеспечивает решение следующих задач:
⦁ идентификация субъекта персональных данных;
⦁ учет, включая хранение сведений о заключенных договорах (договорах об оказании медицинских услуг, трудовых договорах, гражданско-правовых договорах, в т.ч. дополнительных соглашениях), о стадиях их исполнения;
⦁ защита персональных данных субъекта персональных данных от несанкционированного доступа третьих лиц.

  1. Персональные данные, обрабатываемые в информационной системе

3.1. В информационной системе Общества обрабатываются персональные данные следующих категорий субъектов персональных данных:
⦁ клиенты (пациенты, заказчики, потребители услуг Общества);
⦁ сотрудники Общества;
⦁ контрагенты Общества.
3.2. Данный перечень может пересматриваться по мере необходимости.
3.3. Персональные данные субъектов персональных данных – клиентов Общества, обрабатываемые в информационной системе Общества, включают:
3.3.1. Персональные данные, позволяющие идентифицировать субъекта персональных данных относятся к категории общедоступные:
• фамилия, имя, отчество;
• дата рождения, место рождения;
• пол;
• гражданство;
• адрес регистрации по месту жительства;
• паспортные данные;
• контактные данные..
3.3.2. Персональные данные о состоянии здоровья клиентов (пациентов) Общества относятся к категории специальные:
• сведения, полученные в ходе приема у врачей-специалистов;
• результаты лабораторных и инструментальных исследований;
• информация о диагностированных заболеваниях;
• назначения, рекомендации;
• сведения об оказанных медицинских услугах (вмешательствах, манипуляциях, процедурах).
3.3. Персональные данные субъектов персональных данных – сотрудников Общества, обрабатываемые в информационной системе Общества относятся к категории – общедоступные и включают:
• фамилия, имя, отчество;
• дата (число, месяц, год) и место рождения;
• адрес места проживания (почтовый индекс, страна, республика, край, область, район, город, поселок, деревня, иной населенный пункт, улица, дом, корпус, квартира);
• сведения о регистрации по месту жительства или пребывания;
• номера телефонов (домашний, мобильный, рабочий), адрес электронной почты;
• замещаемая должность;
• идентификационный номер налогоплательщика;
• данные документа, подтверждающего регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;
• данные полиса обязательного медицинского страхования;
• данные паспорта или иного удостоверяющего личность документа;
• сведения об образовании (наименование образовательной организации, дата (число, месяц, год) окончания, специальность и квалификация, ученая степень, звание, реквизиты документа об образовании и о квалификации);
• сведения о получении дополнительного профессионального образования (дата (число, месяц, год), место, программа, реквизиты документов, выданных по результатам);
• сведения, содержащиеся в справках о доходах, расходах, об имуществе и обязательствах имущественного характера
3.4. Персональные данные субъектов персональных данных – контрагентов Общества, обрабатываемые в информационной системе Общества относятся к категории – общедоступные и включают:
• фамилия, имя и отчество (при наличии) физического лица (или наименование юридического лица);
• место жительства физического лица (или место нахождения юридического лица, индивидуального предпринимателя);
• паспортные данные физического лица (или основной государственный регистрационный номер юридического лица, индивидуального предпринимателя);
• банковские реквизиты;
• при необходимости – идентификационный номер налогоплательщика, страховой номер индивидуального лицевого счета, дата рождения физического лица.
3.5. Персональные данные, относящиеся к другим категориям, в информационной системе не обрабатываются. Такие персональные данные подлежат только мануальной обработке уполномоченными сотрудниками Общества.

  1. Доступ к персональным данным

4.1. Сотрудники Общества, которые в силу своих должностных обязанностей постоянно работают с персональными данными, получают допуск к необходимым персональным данным на срок допущения к работе (в соответствии с трудовым договором, должностной инструкцией, приказами / распоряжениями руководителя Общества).
4.2. Список лиц, имеющих доступ к персональным данным в информационной системе, поддерживается Обществом в актуальном состоянии.
4.3. Обществом установлен разрешительный порядок доступа к персональным данным. Сотрудникам Общества предоставляется доступ к работе с персональными данными исключительно в пределах и объеме, необходимых для выполнения ими своих должностных обязанностей, на основании решения руководителя Общества.
4.4. Разовый допуск к работе с персональными данными в связи со служебной необходимостью может быть получен сотрудником Общества по согласованию с руководителем Общества только в исключительных обстоятельствах.
4.5. Доступ к персональным данным третьих лиц, не являющихся сотрудниками Общества, без согласия субъектов персональных данных запрещен, за исключением предусмотренного законом доступа сотрудников органов исполнительной власти, осуществляемого в рамках мероприятий по контролю и надзору за исполнением Обществом законодательства.
4.6. В случае если сотруднику сторонней организации необходим доступ к персональным данным, обрабатываемым Обществом, должно быть получено согласие субъекта персональных данных на предоставление его персональных данных третьим лицам.
Исключение составляют случаи, прямо предусмотренные законом.
4.7. Доступ сотрудника Общества к персональным данным, обрабатываемых Обществом, прекращается с даты прекращения трудовых отношений с Обществом, либо с даты изменения должностных обязанностей сотрудника и/или исключения сотрудника из списка лиц, имеющих право доступа к персональным данным. В случае увольнения сотрудника все носители, содержащие персональные данные, которые в соответствии с должностными обязанностями находились в распоряжении такого сотрудника во время работы, должны быть переданы соответствующему должностному лицу Общества по акту приема-передачи.

  1. Основные требования по защите персональных данных

5.1. При обработке персональных данных в информационной системе Общество обеспечивает:
а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным клиентов, сотрудников и контрагентов Общества и/или передачи их лицам, не имеющим права доступа к такой информации;
б) своевременное обнаружение фактов несанкционированного доступа к персональным данным клиентов, сотрудников и контрагентов Общества;
в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
г) возможность незамедлительного восстановления персональных данных клиентов, сотрудников и контрагентов Общества, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
д) постоянный контроль над обеспечением уровня защищенности персональных данных клиентов, сотрудников и контрагентов Общества.
5.2. Общество принимает необходимые правовые, организационные, технические и другие меры для обеспечения безопасности персональных данных клиентов, сотрудников и контрагентов Общества.
5.3. Для внедрения системы обеспечения безопасности персональных данных Обществом разработана «Модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных» на основе нормативно-методического документа ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных».
5.4. Обществом в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» осуществлена классификация информационной системы Общества.
5.5. Обществом на основании нормативно-методического документа ФСТЭК России «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» разработан и внедрен комплекс мер по защите и обеспечению безопасности персональных данных клиентов, сотрудников и контрагентов Общества в информационной системе.
5.6. Обществом используются технические средства и программное оборудование для обработки и защиты персональных данных клиентов, сотрудников и контрагентов Общества, ведется учет съемных носителей информации. Вышеуказанные технические средства размещаются в офисах Общества.
5.7. Обществом организован процесс обучения сотрудников использованию средств защиты персональных данных, эксплуатируемых Обществом. Обучение по данному направлению обязательно для лиц, имеющих постоянный доступ к персональным данным, и лиц, эксплуатирующих технические и программные средства информационной системы и средств защиты информационной системы. Допуск к работе сотрудников осуществляется только после прохождения соответствующего курса обучения.
5.8. Сотрудники Общества обязаны незамедлительно сообщать соответствующему должностному лицу об утрате или недостаче носителей информации, содержащих персональные данные, а также о причинах и условиях возможной утечки информации. В случае попытки посторонних лиц получить от сотрудника персональные данные, обрабатываемые Обществом, сотрудник обязан незамедлительно известить об этом соответствующее должностное лицо Общества.

  1. Согласие субъекта на обработку персональных данных

6.1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.
В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Обществом.
Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме.
6.2. Для обработки Обществом персональных данных контрагента – физического лица в той мере, в какой это необходимо для исполнения договора, а также для выполнения предусмотренных законодательством обязанностей, не требуется получать согласие субъекта персональных данных.
6.3. Для обработки Обществом персональных данных клиента (пациента) получение письменного согласия не является обязательным в следующих случаях:
⦁ обработка персональных данных осуществляется для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение его согласия невозможно;
⦁ обработка персональных данных производится в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с ⦁ законодательством РФ сохранять врачебную тайну.
6.4. Сотрудники Общества предоставляют последнему письменное согласие на обработку их персональных данных.

  1. Права субъекта в отношении персональных данных, обрабатываемых Обществом

Субъект персональных данных – клиент, сотрудник, контрагент Общества – имеет право:
7.1. На получение информации от Общества, касающейся обработки его персональных данных. Сведения должны быть предоставлены субъекту персональных данных Обществом в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, предусмотренных законом.
7.2. Требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные клиента Общества являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством меры по защите своих прав.
7.3. Заявлять возражения против принятия на основании исключительно автоматизированной обработки его персональных данных решений Обществом, порождающих юридические последствия в отношении субъекта персональных данных, или иным образом затрагивающих его права и законные интересы.
7.4. Обжаловать действия или бездействие Общества в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

  1. Права и обязанности Общества
    при обработке персональных данных в информационной системе

8.1. Общество при обработке персональных данных в информационной системе вправе:
8.1.1. Поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.
8.1.2. В случае отзыва субъектом персональных данных согласия на обработку персональных данных продолжить обработку его персональных данных – при наличии оснований, указанных в законодательстве Российской Федерации.
8.1.3. Отказать субъекту персональных данных в выполнении повторного запроса сведений, не соответствующего условиям, предусмотренным законодательством. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Обществе.
8.1.4. Самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей Общества по защите персональных данных, предусмотренных законодательством Российской Федерации.
8.2. Общество при обработке персональных данных в информационной системе обязано:
8.2.1. До начала обработки персональных данных уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных законом.
8.2.2. При получении доступа к персональным данным не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законом.
8.2.3. Представить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия законных оснований обработки персональных данных без такого согласия.
8.2.4. Прекратить по требованию субъекта персональных данных обработку его персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи.
8.2.5. Разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
Общество обязано рассмотреть такое возражение в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах его рассмотрения.
8.2.6. При сборе персональных данных предоставить субъекту персональных данных по его просьбе информацию, предусмотренную законом.
8.2.7. Если персональные данные получены не от субъекта персональных данных, Общество, за исключением случаев, предусмотренных законом, до начала обработки таких персональных данных должно предоставить субъекту персональных данных следующую информацию:
1) наименование Общества;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные законом права субъекта персональных данных;
5) источник получения персональных данных.
8.2.8. Положения п. 8.2.7 настоящей Политики не распространяются на случаи, когда персональные данные третьих лиц предоставляются клиентами, сотрудниками, контрагентами Общества для целей, установленных настоящей Политикой.
8.2.9. Принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей Общества по защите персональных данных, предусмотренных законодательством Российской Федерации.
8.2.10. При осуществлении сбора персональных данных с использованием сети Интернет опубликовать на официальном сайте настоящую Политику, а также обеспечить возможность неограниченного доступа к указанному документу с использованием средств соответствующей информационно- телекоммуникационной сети.
8.2.11. Представить документы и локальные акты, предусмотренные законодательством, и/или иным образом подтвердить принятие мер, необходимых и достаточных для обеспечения выполнения обязанностей Общества по защите персональных данных, по запросу уполномоченного органа по защите прав субъектов персональных данных.
8.2.12. При обработке персональных принимать установленные настоящей Политикой и иными локальными актами Общества меры для защиты персональных данных клиентов, сотрудников и контрагентов Общества от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
8.2.13. Сообщить в порядке, предусмотренном законом, субъекту персональных данных или его представителю информацию безвозмездно о его персональных данных, подвергнутых обработке, а также предоставить возможность ознакомления с этими персональными данными в течение тридцати дней с даты получения запроса.
8.2.14. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных – субъекту персональных данных или его представителю при их обращении – Общество обязано дать в письменной форме мотивированный ответ, содержащий ссылку на положение законодательства, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня обращения субъекта персональных данных или его представителя.
8.2.15. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Общество обязано внести в них необходимые изменения.
8.2.16. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными, или не являются необходимыми для заявленной цели обработки, Общество обязано уничтожить такие персональные данные.
8.2.17. Сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.
8.2.18. В случае выявления неправомерной обработки персональных данных, осуществляемой Обществом, Общество в срок, не превышающий трех рабочих дней, обязано прекратить неправомерную обработку персональных данных. В случае если обеспечить правомерность обработки персональных данных невозможно, Общество в срок, не превышающий десяти рабочих дней, обязано уничтожить такие персональные данные.
8.2.19. В случае достижения цели обработки персональных данных Общество обязано прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, или законом.
8.2.20. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных прекратить их обработку и в случае, если сохранение персональных данных более не требуется, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, или законом.
8.2.21. Назначить лицо, ответственное за организацию обработки персональных данных.

  1. Порядок обработки персональных данных

9.1. При обработке персональных данных клиента Общества в процессе заключения договора об оказании медицинских услуг уполномоченный сотрудник Общества осуществляет сбор следующих персональных данных: фамилия, имя, отчество, дата рождения, место рождения, пол, гражданство, адрес регистрации, название и реквизиты документа, удостоверяющего личность, номера телефонов (мобильного, домашнего, рабочего), адрес электронной почты, наименование и реквизиты работодателя (или учебного заведения).
9.2. Порядок обработки персональных данных клиентов Общества в ходе исполнения договора об оказании медицинских услуг, в части сведений о состоянии здоровья клиентов (пациентов), регламентируется законом и подзаконными нормативными актами о порядке ведения медицинской документации, а также локальными нормативными актами Общества.
9.3. Порядок обработки персональных данных сотрудников Общества устанавливается трудовым законодательством Российской Федерации.
9.4. При обработке персональных данных контрагента Общества в процессе заключения гражданско-правового договора уполномоченный сотрудник Общества осуществляет сбор следующих персональных данных: фамилия, имя, отчество, место жительства, название и реквизиты документа, удостоверяющего личность, номера телефонов (мобильного, домашнего, рабочего), адрес электронной почты, иные сведения (при необходимости).

  1. Порядок защиты персональных данных при их обработке

10.1. Обеспечение конфиденциальности персональных данных, обрабатывающихся Обществом, является обязательным требованием для всех лиц, которым персональные данные стали известны в силу должностных обязанностей.
10.2. Персональные данные субъектов на бумажных носителях, обрабатываемые Обществом, хранятся у сотрудников, имеющих допуск к обработке соответствующих персональных данных. Право допуска сотрудников к мануальной (неавтоматизированной) обработке персональных данных определяется трудовым договором, должностной инструкцией, а также приказами / распоряжениями руководителя Общества.
10.3. Носители персональных данных не должны оставаться без присмотра. При покидании рабочего места сотрудники, осуществляющие обработку персональных данных, должны убирать носители в сейф, запираемый шкаф или иным образом ограничивать несанкционированный доступ к носителям. При утере или порче персональных данных осуществляется по возможности их восстановление.
10.4. Документы, содержащие персональные данные клиентов, сотрудников, контрагентов Общества, носители информации (флеш-карты и т.п.) хранятся в офисах Общества, запираются на ключ.
10.5. При работе с программными средствами информационной системы Общества, реализующей функции просмотра и редактирования персональных данных, запрещается демонстрация экранных форм, содержащих такие данные, лицам, не имеющим соответствующего допуска.
10.6. При получении персональных данных сотрудником Общества, который в соответствии с должностными обязанностями получает персональные данные, в обязательном порядке проводится проверка достоверности персональных данных. Ввод персональных данных, полученных Обществом, в информационную систему осуществляется сотрудниками, имеющими доступ к соответствующим персональным данным. Сотрудники, осуществляющие ввод информации, несут ответственность за достоверность и полноту введенной информации.
10.7. Особенности мануальной обработки персональных данных, содержащихся на бумажных носителях, установлены в соответствии с Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Кроме того, в силу специфики оказываемых услуг (медицинских), конфиденциальность данных при такой обработке регулируется целым рядом других законов и нормативно-правовых актов, устанавливающих обязанность Общества охранять врачебную тайну.
10.8. При мануальной обработке различных категорий персональных данных сотрудниками Общества используются отдельные материальные носители для каждой категории персональных данных.
10.9. При мануальной обработке персональных данных на бумажных носителях:
⦁ не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо не совместимы;
⦁ персональные данные обособляются от иной информации, в частности, путем фиксации их на отдельных бумажных носителях.
10.10. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – типовые формы), Обществом соблюдаются следующие условия:
⦁ типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели мануальной обработки персональных данных, наименование и адрес Общества, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных;
⦁ типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, не нарушая прав и законных интересов иных субъектов персональных данных.
10.11. Хранение персональных данных Обществом осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
10.12. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных (удаление, вымарывание).
10.13. Уточнение персональных данных при осуществлении их мануальной обработки производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
10.14. Уничтожение носителей, содержащих персональные данные клиентов, сотрудников, контрагентов Общества, осуществляется в следующем порядке:
⦁ персональные данные на бумажных носителях уничтожаются путем использования шредеров, установленных в офисе Общества;
⦁ персональные данные, размещенные в памяти персональных компьютеров, уничтожаются путем удаления их из памяти компьютеров;
⦁ персональные данные, размещенные на флеш-карте или ином носителе информации, уничтожаются путем удаления файла с носителя, при необходимости путем нарушения работоспособности флеш-карты или иного носителя.
10.15. Офис, помещения Общества по окончании рабочего дня и при отсутствии сотрудников в помещениях запираются, окна закрываются, включается сигнализация.
10.16. Сетевое оборудование, серверы располагаются в местах, недоступных для посторонних лиц (в специальных помещениях, шкафах, коробах).
10.17. Уборка помещений и обслуживание технических средств информационной системы персональных данных осуществляются под контролем ответственных за данные помещения и технические средства лиц, с соблюдением мер, исключающих несанкционированный доступ к персональным данным, носителям информации, программным и техническим средствам обработки, передачи и защиты информации в информационной системе.
10.18. В обязанности администраторов информационной системы Общества входит управление учетными записями пользователей информационной системы, поддержание штатной работы информационной системы, обеспечение резервного копирования данных, а также установка и конфигурирование аппаратного и программного обеспечения информационной системы, не связанного с обеспечением безопасности персональных данных в информационной системе.
Кроме того, в обязанности администраторов информационной системы входит обеспечение соответствия порядка обработки и обеспечения безопасности персональных данных в информационной системе требованиям по конфиденциальности, целостности и доступности персональных данных, предъявляемых к конкретной информационной системе, и общим требованиям по безопасности персональных данных, установленных федеральным законодательством.
10.19. В обязанности администраторов информационной системы Общества также входит установка, конфигурирование и администрирование аппаратных и программных средств защиты информации в информационной системе, учет и хранение машинных носителей персональных данных, периодический аудит журналов безопасности и анализ защищенности информационной системы, а также участие в служебных расследованиях фактов нарушения установленного порядка обработки и обеспечения безопасности персональных данных.
10.20. В целях обеспечения распределения полномочий, реализации взаимного контроля и недопущения сосредоточения, критичных для безопасности персональных данных, одному лицу (сотруднику) не рекомендуется совмещать роли пользователя информационной системы и администратора информационной системы.
10.21. Квалификационные требования и детальный перечень прав и обязанностей администраторов информационной системы закрепляются в соответствующих должностных инструкциях, с которыми сотрудники Общества, назначаемые на данные должности, знакомятся под роспись.
10.22. Организация внутреннего контроля процесса обработки персональных данных Обществом осуществляется в целях изучения и оценки фактического состояния защищенности персональных данных, своевременного реагирования на нарушения установленного порядка их обработки, а также в целях совершенствования этого порядка и обеспечения его соблюдения.
10.23. Мероприятия по осуществлению внутреннего контроля обработки и обеспечения безопасности персональных данных клиентов, сотрудников и контрагентов Общества направлены на решение следующих задач:
⦁ обеспечение соблюдения сотрудниками Общества требований настоящей Политики и нормативно-правовых актов, регулирующих защиту персональных данных;
⦁ оценка компетентности персонала Общества, задействованного в обработке персональных данных;
⦁ обеспечение работоспособности и эффективности технических средств информационной системы и средств защиты персональных данных, их соответствия требованиям уполномоченных органов исполнительной власти по вопросам безопасности персональных данных;
⦁ выявление нарушений установленного порядка обработки персональных данных и своевременное предотвращение негативных последствий таких нарушений;
⦁ принятие корректирующих мер, направленных на устранение выявленных нарушений, как в порядке обработки персональных данных, так и в работе технических средств информационной системы.
10.24. Результаты контрольных мероприятий оформляются актами и являются основанием для разработки рекомендаций по совершенствованию порядка обработки и обеспечения безопасности персональных данных, по модернизации технических средств информационной системы и средств защиты персональных данных, по обучению и повышению компетентности персонала Общества, задействованного в обработке персональных данных клиентов, сотрудников и контрагентов Общества.

  1. Ответственность за нарушение настоящей Политики

11.1. Руководство Общества несет ответственность за необеспечение конфиденциальности персональных данных клиентов, сотрудников и контрагентов Общества и несоблюдение соответствующих прав и свобод субъектов персональных данных, в том числе прав на неприкосновенность частной жизни, личную и семейную тайну.
11.2. Сотрудники Общества несут персональную ответственность за несоблюдение
требований по обработке и обеспечению безопасности персональных данных, установленных настоящей Политикой, в соответствии с законодательством Российской Федерации.
11.3. Сотрудник Общества может быть привлечен к ответственности в случаях:
⦁ умышленного или неосторожного раскрытия персональных данных третьим лицам, за исключениями, установленными законом;
⦁ утраты материальных носителей персональных данных;
⦁ нарушения требований настоящей Политики и других нормативных документов Общества в части вопросов доступа к персональным данным и работы с ними.
11.4. В случаях нарушения установленного порядка обработки и обеспечения безопасности персональных данных, несанкционированного доступа к персональным данным, раскрытия персональных данных и нанесения клиентам Общества материального или иного ущерба виновные лица несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.


ЛИСТ ОЗНАКОМЛЕНИЯ
с Политикой конфиденциальности при обработке персональных данных
ООО «Флебоклиника»

№ Фамилия, имя, отчество работника Должность Подпись Дата