МЕДИЦИНСКИЙ ЦЕНТР
"НОВОСЕЛЬЕ"
Приложение №1
К распоряжению
№ 1 от 01.06.2022
Политика обработки и защиты персональных данных ООО «Медиана»
1. Термины и определения
Информационная безопасность – свойство информации сохранять конфиденциальность, целостность и доступность (в некоторых случаях, также свойство сохранять аутентичность, подотчетность, неотказуемость и надежность).
Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Материальный носитель – бумажные носители (оригиналы документов, содержащие персональные данные; документы в печатной форме, полученные на основе информации, хранимой в информационных системах – выписки, отчеты и т.п.), а также электронные носители информации, в том числе, отчуждаемые (USB flash, CD диски и т.п.).
Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Субъект ПДн – физическое лицо, персональные данные которого обрабатываются в «Медиане».
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2. Общие положения
Политика обработки и защиты персональных данных в ООО «Медиана» (далее – «Политика») определяет принципы, цели и условия обработки персональных данных ( далее – ПДн), а также стратегию их защиты в «Медиане».
Настоящая Политика является основным руководящим внутренним документов «Медианы», определяющим требования, предъявляемые в отношении обработки и обесп5ечения безопасности ПДн.
Внутренние документы ООО «Медиана», регламентирующие вопросы, рассматриваемые в настоящей Политике, должны разрабатываться с учетом положений настоящей Политики и не противоречить им.
Политика разработана в целях реализации положений законодательства Российской Федерации в отношении обработки ПДн, а также требований нормативных и методических документов по защите ПДн.
3. Принципы обработки персональных данных в ООО «Медиана»
Обработка ПДн в ООО «Медиана» осуществляется на основе принципов:
- законности и справедливости целей и способов обработки ПДн;
- соответствия целей обработки ПДн законным целям, заранее определенным и заявленным при сборе ПДн, а также полномочиям «Медиана»
- соответствия объема и содержания обрабатываемых ПДн, способов обработки ПДн целям обработки ПДн;
- точности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн;
- недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих ПДн;
- хранения ПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, или устанавливающих срок хранения федеральный закон, договор, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.
- уничтожения ПДн по достижении целей их обработки, в случае утраты необходимости в достижении целей обработки или по окончании срока хранения ПДн, установленного федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по котором является субъект ПДн.
Обработка ПДн в ООО «Медиана» осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (предоставления, доступа), обезличивания, блокирования, удаления, уничтожения ПДн.
4. Цели и правовые основания обработки персональных данных
«Медиана» осуществляет обработку ПДн в целях:
- принятие решения о трудоустройстве;
- обеспечения соблюдения законов и иных нормативных правовых актов/, содействия сотрудникам в трудоустройстве, получения образования и продвижении по службе, обеспечения личной безопасности сотрудников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
- принятие решения о заключении договора на оказание услуг, заключение и исполнение такого договора.
Правовыми основаниями для обработки ПДн являются, в том числе:
- Федеральный закон Российской Федерации от 30 ноября 1994 г. № 51-ФЗ «Гражданский кодекс Российской Федерации (часть первая»);
- Федеральный закон Российской Федерации от 26 января 1996 г. № 14-ФЗ «Гражданский кодекс Российской Федерации (часть вторая)»;
- Федеральный закон Российской Федерации от 31 июля 1998 года № 146-ФЗ «Налоговый кодекс Российской Федерации»;
- Федеральный закон Российской Федерации от 30 декабря 2001 г. № 197-ФЗ «Трудовой кодекс Российской Федерации»;
- Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации»;
- Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – «ФЗ «О персональных данных»);
- Федеральный закон от 1 апреля 1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
- Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановление правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Устав ООО «Медиана»
ООО «Медиана» обрабатывает ПДн, ставшие известными ему в связи с реализацией задач и целей деятельности, а также в результате, но не ограничиваясь:
- заключения трудовых и гражданско-правовых договоров (договоров об оказании услуг, договор подряда и др.);
- поступления в ООО «Медиана» письменных, в том числе электронных, обращений, запросов, заявлений, жалоб, ходатайств;
- заключения соглашений о сотрудничестве;
- заключения соглашений о конфиденциальности;
- получения учредительных документов юридических лиц, доверенностей, уполномочивающих физических лиц представлять интересы юридического или физического лица в его отношениях с ООО «Медиана», иных документов для последующего заключения с ООО «Медиана» гражданского-правовых договоров и договоров оказания услуг;
- получения любых иных документов от Контрагентов, необходимых для заключения ООО «Медиана» договоров с такими лицами;
- осуществления иных действий, предусмотренных действующих законодательством Российской Федерации или внутренними политиками ООО «Медиана».
5. Обрабатываемые персональные данные
ООО «Медиана» обрабатывает ПДн следующих субъектов ПДн:
- соискатели вакантной должности;
- сотрудник/бывший сотрудник;
- клиент (пациент);
- законный представитель пациента;
- третье лицо, которому пациент/законный представитель пациента предоставил право запроса и получения сведений;
- представитель контрагента.
В соответствии с положениями Постановления Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» в ООО «Медиана» обрабатываются следующие ПДн:
- специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;
- общедоступные персональные данные – персональные данные, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Закона о персональных данных;
- иные категории персональных данных – персональные данные, не отнесенные к категориям: специальные, биометрические и общедоступные персональные данные.
ООО «Медиана» может разместить в сервисах счетчики, которые используются для анализа cookie файлов, для сбора и обработки статистических данных об использовании сервиса, обеспечения работоспособности сервисов в целом или их отдельных функций в частности.
ООО «Медиана» определяет структуру файла cookie , параметры работы счетчиков и может изменять их без предварительного уведомления Пользователя.
Полный перечень ПДн, обрабатываемых в ООО «Медиана», определяется отдельным документом «Перечень персональных данных», утверждаемым директором ООО «Медиана».
6. Условия обработки персональных данных
Обработка ПДН ООО «Медиана» допускается в следующих случаях:
- обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;
- обработка ПДн необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации;
- обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн;
- обработка ПДн осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания ПДн;
- осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
ООО «Медиана» вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этой стороной договора (поручения на обработку ПДн). Лицо, осуществляющее обработку ПДн по поручению ООО «Медина» обязано соблюдать принципы и правила обработки ПДн, предусмотренные ФЗ «О персональных данных».
В поручении третьему лицу ООО «Медиана» указываются цели обработки и перечень действий (операций) с ПДн, которые могут быть совершены данным лицом, устанавливается его обязанности по обеспечению конфиденциальности и безопасности ПДн при их обработке, а также требования к защите обрабатываемых ПДн в соответствии с ФЗ «О персональных данных».
ООО «Медиана» не осуществляет трансграничную передачу ПДн.
Обработка ПДн прекращается ООО «Медиана» в следующих случаях:
- при выявлении неправомерных действий с ПДн в срок, не превышающий трех рабочих дней с даты такого выявления, ООО «Медиана» устраняет допущенные нарушения. В случае невозможности устранения допущенных нарушений ООО «Медиана» в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с ПДн, уничтожает ПДн. Об устранении допущенных нарушений или об уничтожении ПДн ООО «Медиана» уведомляет субъекта ПДн или его законного представителя, а в случае, если обращение или запрос были направлены в уполномоченный орган по защите прав субъектов ПДн, также этот орган;
- при достижении цели обработки ПДн ООО «Медиана» незамедлительно прекращает обработку ПДн и уничтожает соответствующие ПДн в срок, не превышающий тридцати рабочих дней с даты достижения цели обработки ПД;
- при отзыве субъектом ПДн согласия на обработку своих ПДн ООО «Медиана» прекращает обработку ПДн и уничтожает (за исключением ПДн, которые хранятся в соответствии с действующим законодательством) ПДн в срок, не превышающий тридцати рабочих дней с даты поступления указанного отзыва. Об уничтожении ПДн ООО «Медиана» уведомляет субъекта ПДн.
7. Согласие на обработку персональных данных
Получение и обработка ПДн в случаях, предусмотренных ФЗ «О персональных данных», осуществляется в ООО «Медиана» с согласия субъекта ПДн в том числе в письменной форме.
Письменное согласие субъекта ПДн должно включать:
- фамилию, имя, отчество, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдач и указанного документа и выдавшего его органе;
- наименование и адрес ООО «Медиана»;
- цель обработки ПДн;
- перечень ПДн, на обработку которых дается согласие субъекта ПДн;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению ООО «Медиана», если обработка будет поручена такому лицу;
- перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых в ООО «Медиана» способов обработки ПДн;
- срок, в течение которого действует согласие, а также способ его отзыва;
- подпись субъекта ПДн.
Типовые формы согласий на обработку ПДн утверждаются приказом директора ООО «Медиана».
Субъект ПДн дает ООО «Медиана» согласие на обработку своих ПДн свободно, в своей воле и своем интересе. Согласие на обработку ПДн может быть отозвано субъектом ПДн путем направления в ООО «Медиана» письменного заявления в свободной форме. В этом случае ООО «Медиана» обязуется прекратить обработку, а также уничтожить все имеющиеся в ООО «Медиана» ПДн в сроки, установленные ФЗ «О персональных данных».
Передача ПДн третьим лицам осуществляется ООО «Медиана» с согласия субъекта ПДн в соответствии с требованиями действующего законодательства.
8. Права субъектов персональных данных.
Субъект ПДн имеет право на получение информации, касающейся обработки в ООО «Медиана» его ПДн, в том числе содержащей:
- подтверждение факта обработки ПДн ООО «Медиана»;
- правовые основания и цили обработки ПДн;
- цели и применяемые в ООО «Медиана» способы обработки ПДн;
- наименование и местонахождение ООО «Медиана», сведения о лицах (за исключением сотрудников ООО «Медиана»), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с ООО «Медиана» или на основании федерального закона;
- обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом;
- сроки обработки ПДн, в том числ сроки их хранения;
- порядок осуществления субъектом ПДн прав, предусмотренных ФЗ «О персональных данных»;
- информация об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя отчество и адрес лица, осуществляющего обработку ПДн по поручению ООО «Медиана», если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные ФЗ «О персональных данных» или другими федеральными законами.
ООО «Медиана» предоставляет указанную информацию на основании соответствующего письменного заявления субъекта ПДн (далее – Заявление), поданного по адресу места нахождения ООО «Медиана»: Ленинградская область, ГП Новоселье, Адмиралтейская улица, д.1 или, направленного на почтовый адрес ООО «Медиана»: 188507, Ленинградская область, ГП Новоселье, Адмиралтейская улица, д.1 помещ. 27-Н. Заявление должно содержать номер основного документа, удостоверяющего личность субъекта ПДн, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с ООО «Медиана» (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн в ООО «Медиана», подпись субъекта ПДн. ООО «Медиана» обязуется сообщить субъекту ПДн информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн в течение тридцати дней с даты получения Заявления субъекта ПДн.
Субъект ПДн вправе требовать от ООО «Медиана» уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Если субъект ПДн считает, что ООО «Медиана» осуществляет обработку его ПДн с нарушением требований ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие ООО «Медиана» в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке.
Право субъекта ПДн на доступ его ПДн может быть ограничено в соответствии с федеральными законами Российской Федерации.
9. Обеспечение безопасности персональных данных
ООО «Медиана» не несет ответственности, если ПДн стали известны неограниченному кругу лиц по вине самого субъекта ПДн.
Для обеспечения безопасности ПДн в ООО «Медиана» принимаются организационные и технические меры, включающие в том числе:
- назначение лица, ответственного за организацию обработки ПДн, определение его функций и полномочий;
- назначение лица, ответственного за обеспечение безопасности ПДн, определение его функций и полномочий;
- разработка и поддержание актуальности комплекта внутренних нормативных документов в отношении обработки и защиты ПДн;
- проведение оценки вреда, который может быть причинен субъектам ПДн в случае нарушения ФЗ «О персональных данных», а также соотношение указанного вреда с принимаемыми мерами по безопасности ПДн;
- ознакомление сотрудников ООО «Медиана», непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации и внутренних нормативных документов ООО «Медиана» в отношении обработки и защиты ПДн, периодическое обучение вопросам обработки и защиты ПДн;
- определение угроз безопасности ПДн при их обработке в ИСПДН;
- учет сотрудников, допущенных к обработке ПДн;
- учет материальных носителей ПДн;
- применение технических средств защиты информации;
- периодический внутренний контроль, а также внешний аудит соответствия обработки ПДн требованиям ФЗ «О персональных данных» и принятым в соответствии с ним нормативно-правовым актам;
- обнаружение фактов несанкционированного доступа к ПДн и принятием мер;
- восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установление правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечение регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
- контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.
Комплекс мероприятий и технических средств по обеспечению безопасности ПДн в ООО «Медиана» формулируется с учетом результатов оценки возможного вреда субъекту ПДн, который может быть нанесен в случае нарушения безопасности его ПДн, актуальности угроз безопасности ПДн, а также установления уровня защищенности ПДн.
10. Контроль за соблюдением законодательства РФ и локальных нормативным актов ООО «Медиана» в области персональных данных.
Контроль за соблюдением подразделениями ООО «Медиана» локальных нормативных актов ООО «Медиана» в области ПДн осуществляется с целью проверки соответствия процессов обработки и защиты ПДн требованиям законодательства РФ в области Пдн, а также выявления возможных каналов утечки и несанкционированного доступ к ПДн.
Внутренний контроль за соблюдением подразделениями ООО «Медиана» требований законодательства РФ и локальных нормативных актов ООО «Медиана» в области ПДн осуществляется лицами, ответственными за обработки и защиту ПДн в ООО «Медиана».
Сотрудники ООО «Медиана» , виновные в нарушении норм, регулирующих обработки и защиту ПДн, установленных в ООО «медиана», могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной или уголовной ответственности в соответствии с законодательством РФ.
11. Заключительные положения.
Настоящая Политика является публичным, равнодоступным документом и представляется для ознакомления неограниченному круги лиц на сайте ООО «Медиана»: _______________________
Внесение изменений в настоящую Политику может вызвано изменениями в законодательстве Российской Федерации, внутренних документах ООО «Медиана», информационных системах ПДн, системе защиты ПДн.
Все изменения и дополнения, внесенные в настоящую Политику, утверждаются в порядке, предусмотренном в ООО «Медиана».
Все сотрудники ООО «Медиана» подлежат обязательному ознакомлению с настоящей Политикой и несут предусмотренную законодательством Российской Федерации ответственность за нарушение ее положений.
Вопросы толкования настоящей Политики необходимо адресовать в ООО «Медиана»