ПОЛИТИКА ОБЩЕСТВА С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ В ОТНОШЕНИИ ОБРАБОТКИ, ХРАНЕНИЯ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «ЦЕНТР КИНЕЗОТЕРАПИИ И РЕАБИЛИТАЦИИ»
(сокращенное наименование ООО «Центр КИР»)
ПРИКАЗ
№ 4-ОД
город Ставрополь «09» января 2020 года
«Об утверждении Политики Общества с ограниченной ответственностью «Центр кинезотерапии и реабилитации» в отношении обработки, хранения и защиты персональных данных»
В связи с необходимостью выполнения требований законодательства Российской Федерации в области обработки, хранения и защиты персональных данных,
п р и к а з ы в а ю :
- Утвердить и ввести в действие с 09.01.2020 Политику Общества с ограниченной ответственностью «Центр кинезотерапии и реабилитации» (далее — ООО «Центр КиР»), в отношении обработки, хранения и защиты персональных данных, согласно Приложению № 1.
- С момента издания настоящего приказа Политика ООО «Центр КиР» в отношении обработки, хранения и защиты персональных данных подлежит размещению на официальном сайте ООО «Центр КиР» в информационно-коммуникационной сети «Интернет».
- Контроль за исполнением настоящего приказа оставляю за собой.
Директор ООО «Центр КиР» Ю.И. Винокурова
УТВЕРЖДЕНО
приказом ООО «Центр КиР»
от «09» января 2020 года № 4-ОД
ПОЛИТИКА
ОБЩЕСТВА С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ
В ОТНОШЕНИИ ОБРАБОТКИ, ХРАНЕНИЯ И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Общие положения
1.1. Настоящая Политика ООО «Центр кинезотерапии и реабилитации» в отношении обработки, хранения и защиты персональных данных (далее — Политика) разработана в целях выполнения требований законодательства Российской Федерации в области обработки, хранения и защиты персональных данных пациентов и работников ООО «Центр кинезотерапии и реабилитации», иных лиц, чьи персональные данные обрабатываются с целью обеспечения защиты прав и свобод человека и гражданина.
Настоящая политика ООО «Центр кинезотерапии и реабилитации», раскрывает основные категории персональных данных, обрабатываемых оператором, цели, задачи, принципы и способы обработки персональных данных, права и обязанности оператора при обработке персональных данных, права субъектов персональных данных, а также перечень мер, применяемых ООО «Центр кинезотерапии и реабилитации» в целях обеспечения безопасности персональных данных при их обработке, хранении и защите.
Настоящая политика ООО «Центр кинезотерапии и реабилитации» устанавливает ответственность должностных лиц Оператора, имеющих доступ к персональным данным, за невыполнение норм, регулирующих обработку и защиту персональных данных.
1.2. Персональные данные являются конфиденциальной, строго охраняемой информацией, и на них распространяются все требования, установленные внутренними документами Оператора к защите конфиденциальной информации.
Политика является общедоступным документом, декларирующим концептуальные основы деятельности оператора при обработке, хранении и защите персональных данных (далее — обработка персональных данных).
1.2. Настоящая Политика является основополагающим внутренним документом ООО «Центр кинезотерапии и реабилитации» (далее — Общество), регулирующим вопросы обработки персональных данных; является информационным ресурсом для субъектов персональных данных, позволяющим определить концептуальные основы деятельности Общества при обработке персональных данных.
1.3. Термины и определения:
персональные данные (далее также ПДн) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, определяемая нормативно-правовыми актами Российской Федерации, перечнем персональных данных, обрабатываемых в ООО «Центр КиР», утвержденным локальными актами ООО «Центр КиР»;
оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
субъект — субъект персональных данных;
обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта ПДн или других лиц либо иным образом затрагивающих права и свободы субъекта ПДн или других лиц;
распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц; блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных; информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
конфиденциальная информация — информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и представляет собой коммерческую, служебную или личную тайны, охраняющиеся её владельцем;
трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
общедоступные персональные данные — ПДн, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта ПДн или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
информация — сведения (сообщения, данные) независимо от формы их представления;
доступ к информации — возможность получения информации и ее использования;
документированная информация — зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
1.4. Правовые основания обработки персональных данных:
— Конституция Российской Федерации;
— Трудовой кодекс Российской Федерации;
— Гражданский кодекс Российской Федерации;
— Налоговый кодекс Российской Федерации;
— Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
— Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
— Федеральный закон от 11 ноября 2011 года № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
— Федеральный закон от 29 ноября 2010 года № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
— Федеральный закон от 24.07.2009 № 212-ФЗ «О страховых взносах в Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования»;
— Федеральный закон от 02 мая 2006 года № 59-ФЗ «О порядке рассмотрения обращений граждан в Российской Федерации»;
— Указ Президента РФ от 06 марта 1997 года № 188 «Об утверждении перечня сведений конфиденциального характера»;
— постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
— постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным Законом «О персональных данных»»;
— Постановление Правительства РФ от 04 октября 2012 года № 1006 «Об утверждении правил предоставления медицинскими организациями платных медицинских услуг»
— приказ ФСТЭК России от 05.02.2010 № 58 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных»; — — согласия на обработку персональных данных.
1.5. Информация об Операторе (адрес, по которому может быть направлено заявление об отзыве согласия на обработку персональных данных):
Наименование: Общество с ограниченной ответственностью «Центр кинезотерапии и реабилитации» (сокращенное наименование ООО «Центр КИР»)
ИНН 2634062628
ОГРН 1042600293020
Местонахождение: 355037, город Ставрополь, улица Космонавтов, 12
телефон:8(8652) 77-63-26, 8(8652) 77-63-91, +7(928) 321-29-23
E-mail: 776326@mail.ru
- Цели обработки персональных данных
2.1. В Обществе обрабатываются персональные данные субъектов персональных данных, в целях выполнения целей, задач, функций, полномочий и обязанностей Общества, определенных законодательством Российской Федерации, Уставом Общества.
2.2. Основной целью, на достижение которой направлены все положения настоящей Политики, является защита субъектов информационных отношений Общества от возможного нанесения им материального, физического, морального или иного ущерба, посредством случайного или преднамеренного воздействия на персональные данные, их носители, процессы обработки и передачи.
2.3. Указанная цель достигается посредством обеспечения и постоянного поддержания следующих свойств персональных данных:
— доступности персональных данных для легальных пользователей (устойчивого функционирования информационных систем Общества, при котором пользователи имеют возможность получения необходимых персональных данных и результатов решения задач за приемлемое для них время) (расчет з/п, кадровые документы)
— целостности и аутентичности (подтверждение авторства) персональных данных, хранимых и обрабатываемых в информационных системах Общества и передаваемой по каналам связи; (в пенсионный фонд, воинский учет, налоговая)
— конфиденциальности — сохранения в тайне определенной части персональных данных, хранимых, обрабатываемых и передаваемых по каналам связи.
2.4. Необходимый уровень доступности, целостности и конфиденциальности персональных данных обеспечивается методами и средствами, соответствующими множеству значимых угроз.
- Основные задачи системы обеспечения безопасности персональных данных
3.1 Для достижения основной цели защиты и обеспечения указанных свойств персональных данных система обеспечения информационной безопасности Общества должна обеспечивать эффективное решение следующих задач:
— своевременное выявление, оценка и прогнозирование источников угроз информационной безопасности, причин и условий, способствующих нанесению ущерба заинтересованным субъектам информационных отношений, нарушению нормального функционирования информационных систем Общества;
— создание механизма оперативного реагирования на угрозы безопасности информации и негативные тенденции; — создание условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения безопасности информации;
— защиту от вмешательства в процесс функционирования информационных систем Общества посторонних лиц (доступ к информационным ресурсам должны иметь только в установленном порядке пользователи);
— разграничение доступа пользователей к информационным, аппаратным, программным и иным ресурсам Общества (возможность доступа только к тем ресурсам и выполнения только тех операций с ними, которые необходимы конкретным пользователям для выполнения своих служебных обязанностей), то есть защиту от несанкционированного доступа;
— защиту от несанкционированной модификации используемых в информационных системах Общества программных средств, а также защиту системы от внедрения несанкционированных программ, включая компьютерные вирусы;
— защиту информации ограниченного пользования от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи.
3.2. Поставленные основные цели защиты и решение перечисленных выше задач достигаются:
— строгим учетом всех подлежащих защите ресурсов информационных систем Общества (информации, задач, документов, каналов связи, серверов, автоматизированных рабочих мест);
— полнотой, реальной выполнимостью и непротиворечивостью требований организационно-распорядительных документов Общества по вопросам обеспечения безопасности информации;
— подготовкой должностных лиц (сотрудников), ответственных за организацию и осуществление практических мероприятий по обеспечению безопасности персональных данных и процессов их обработки;
— наделением каждого сотрудника (пользователя) минимально необходимыми для выполнения им своих функциональных обязанностей полномочиями по доступу к информационным ресурсам Общества;
— четким знанием и строгим соблюдением всеми пользователями информационных систем Общества требований организационно-распорядительных документов по вопросам обеспечения безопасности информации;
— персональной ответственностью за свои действия каждого сотрудника, в рамках своих функциональных обязанностей имеющего доступ к информационным ресурсам Общества;
— непрерывным поддержанием необходимого уровня защищенности элементов информационной среды Общества;
— применением физических и технических (программно-аппаратных) средств защиты ресурсов системы и непрерывной административной поддержкой их использования; эффективным контролем над соблюдением пользователями информационных ресурсов Общества требований по обеспечению безопасности информации.
- Основные принципы построения системы безопасности персональных данных
Построение системы обеспечения безопасности персональных данных Общества и ее функционирование должны осуществляться в соответствии с нижеследующими основными принципами.
4.1. Законность;
4.2. Системность;
4.3. Непрерывность защиты;
4.4. Своевременность;
4.5. Преемственность и совершенствование;
4.6. Разумная достаточность (экономическая целесообразность);
4.7. Персональная ответственность;
4.8. Минимизация полномочий;
4.9. Исключение конфликта интересов (разделение функций);
4.10. Взаимодействие и сотрудничество;
4.11. Гибкость системы защиты;
4.12. Открытость алгоритмов и механизмов защиты;
4.13. Простота применения средств защиты;
4.14. Обоснованность и техническая реализуемость;
4.15. Специализация и профессионализм;
4.16. Обязательность контроля;
- Меры обеспечения информационной безопасности
5.1. Все меры обеспечения безопасности информационных систем Управления подразделяются на: правовые — действующие в Российской Федерации законы, указы и нормативные правовые акты, регламентирующие правила обращения с персональными данными, закрепляющие права и обязанности участников информационных отношений в процессе их обработки и использования, а также устанавливающие ответственность за нарушения этих правил; организационные (административные) — это меры организационного характера, регламентирующие процессы функционирования системы обработки персональных данных, использование ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации.
- Условия и порядок обработки персональных данных работников, состоящих в трудовых отношениях с Обществом
6.1. Персональные данные работников, состоящих в трудовых отношениях с Обществом, граждан, претендующих на замещение свободных вакансий Общества, обрабатываются в целях обеспечения кадровой работы, в том числе в целях обучения и должностного роста, учета результатов исполнения работниками Общества должностных обязанностей, обеспечения личной безопасности работников.
6.2. Обеспечения работникам Общества, установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, а также в целях противодействия коррупции.
6.3. В целях, указанных в пункте 6.1 настоящей Политики, обрабатываются следующие категории персональных данных работников Общества, а также граждан, претендующих на замещение свободных вакансий Общества: — фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения); — число, месяц, год рождения; — место рождения; — информация о гражданстве (в том числе предыдущие гражданства, иные гражданства); — вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи, код подразделения (при наличии); — адрес места жительства (адрес регистрации, фактического проживания); — номер контактного телефона или сведения о других способах связи; — реквизиты страхового свидетельства государственного пенсионного страхования; — идентификационный номер налогоплательщика; — реквизиты страхового медицинского полиса обязательного медицинского страхования; — реквизиты свидетельств о государственной регистрации актов гражданского состояния; — семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших); — сведения о трудовой деятельности; — сведения о воинском учете и реквизиты документов воинского учета; сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании); — сведения об ученой степени, наградах; — информация о владении иностранными языками, степень владения; — медицинское заключение по установленной форме об отсутствии у гражданина заболевания, препятствующего поступлению на работу; — фотография; размера заработной платы, а также сведения о прежнем месте работы; — информация, содержащаяся в трудовом договоре, дополнительных соглашениях к трудовому договору; — информация о наличии или отсутствии судимости; — информация о воинском звании; — сведения о профессиональной переподготовке и (или) повышении квалификации; — информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения заработной платы; — номер расчетного счета в кредитном учреждении; — номер банковской карты; — иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 6.1 настоящей Политики.
6.4. Обработка персональных данных работников Общества, граждан, претендующих на замещение свободных вакансий Общества, осуществляется при условии получения согласия указанных лиц в следующих случаях: — при передаче (распространении, предоставлении) персональных данных третьим лицам в случаях, не предусмотренных действующим законодательством Российской Федерации; — при принятии решений, порождающих юридические последствия в отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.
6.5. В случаях, предусмотренных пунктом 6.4. настоящей Политики, согласие субъекта персональных данных оформляется в письменной форме согласно приложению №1 и № 3 к настоящей Политике, если иное не установлено Федеральным законом «О персональных данных».
6.6. Обработка персональных данных работников Общества, претендующих на замещение свободных вакансий Общества, осуществляется специалистом по кадрам Общества, и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уничтожение персональных данных.
6.7. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных работников Общества, граждан, претендующих на замещение вакантных должностей Общества, осуществляется путем: — получения оригиналов необходимых документов (заявление, трудовая книжка, автобиография, иные документы, предоставляемые специалисту по кадрам); — копирования оригиналов документов; — внесения сведений в учетные формы (на бумажных и электронных носителях); — формирования персональных данных в ходе кадровой работы; — внесения персональных данных в информационные системы Общества.
6.8. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от работников Общества, граждан, претендующих на замещение вакантных должностей Общества.
6.9. В случае возникновения необходимости получения персональных данных работника Общества у третьей стороны, следует известить об этом работника заранее, получить их письменное согласие согласно приложению № 2 к настоящей Политике и сообщить им о целях, предполагаемых источниках и способах получения персональных данных.
6.10. Запрещается получать, обрабатывать и приобщать к личному делу работника Общества, персональные данные, не предусмотренные пунктом 6.3 настоящей Политики, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
6.11. При сборе персональных данных специалист по кадрам Общества, осуществляющий сбор (получение) персональных данных непосредственно от работников обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные (Приложение № 6 к Политике).
6.12. В Обществе утверждается Перечень должностей работников в структурных подразделениях, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным (Приложение № 4 к настоящей Политике).
6.13. Передача (распространение, предоставление) и использование персональных данных работников Общества, граждан, претендующих на замещение вакантных должностей Общества, осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.
6.14. Работники, непосредственно осуществляющие обработку персональных данных в Обществе, дают обязательство о неразглашении информации, содержащей персональные данные (Приложение № 7 к Политике).
6.15. В случае расторжения трудового договора с работником, непосредственно осуществляющим обработку персональных данных в Обществе, с него берется обязательство о прекращении обработки персональных данных, ставших ему известными в связи с исполнением должностных обязанностей (Приложение № 5 к Политике).
6.16. Персональные данные граждан, обратившихся в Общество лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, обрабатываются в целях рассмотрения указанных обращений с последующим уведомлением заявителей о результатах рассмотрения.
В рамках рассмотрения обращений граждан подлежат обработке следующие персональные данные заявителей: — фамилия, имя, отчество (последнее при наличии); — почтовый адрес; — адрес электронной почты; — указанный в обращении контактный телефон; — иные персональные данные, указанные заявителем в обращении (жалобе), а также ставшие известными в ходе личного приема или в процессе рассмотрения поступившего обращения.
6.17. Рассмотрение обращений, указанных в пункте 6.16 настоящей Политики, осуществляется без согласия субъектов персональных данных в соответствии с пунктом 4 части 1 статьи 6 Федерального закона «О персональных данных», «О порядке рассмотрения обращений граждан Российской Федерации».
6.18. Обработка персональных данных, необходимых в связи с рассмотрением обращений, указанных в пункте 6.16 настоящей Политики, осуществляется уполномоченным специалистом Общества, и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Осуществляется путем получения персональных данных непосредственно от субъектов персональных данных (заявителей).
6.19. в ходе рассмотрения обращения Обществом запрещается запрашивать у субъектов персональных данных и третьих лиц, а также обрабатывать персональные данные в случаях, не предусмотренных законодательством Российской Федерации.
6.20. Передача (распространение, предоставление) и использование персональных данных заявителей (субъектов персональных данных) Общества осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.
- Порядок обработки персональных данных субъектов персональных данных в информационных системах
7.1. Обработка персональных данных в Обществе осуществляется, в т.ч. на автоматизированных рабочих местах сотрудников Общества в следующих информационных системах: — 1С: Предприятие; — 1С Зарплата Кадры; — СБИС.
7.2. Для обработки персональных данных используется следующее программное обеспечение: — 1С: Предприятие; — 1 С Зарплата Кадры; — СБИС.
7.3. Работникам, структурных подразделений Общества, имеющие право осуществлять обработку персональных данных в информационных системах Общества, предоставляется уникальный логин и пароль для доступа к соответствующей информационной системе.
7.4. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных Общества, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности: — определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных Общества; — применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Общества, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных; — применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации; — оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных; — учет машинных носителей персональных данных; — обнаружение фактов несанкционированного доступа к персональным данным и принятие мер; — восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним; — установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных Общества, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных Общества; — контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем персональных данных;- постоянный контроль за обеспечением уровня защищенности персональных данных; — знание и соблюдение условий защиты информации; — при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы персональных данных до выявления причин нарушений и устранения этих причин; — разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
7.5. В случае выявления нарушений порядка обработки персональных данных в информационных системах персональных данных Общества уполномоченными должностными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.
- Сроки обработки и хранения персональных данных
8.1. Сроки обработки и хранения персональных данных работников Общества, граждан, претендующих на замещение вакантных должностей Общества, определяются в соответствии с законодательством Российской Федерации. С учетом положений законодательства Российской Федерации, устанавливаются следующие сроки обработки и хранения персональных данных работников:
8.1.1. Персональные данные, содержащиеся в приказах по личному составу работников Управления (о приеме, о переводе, об увольнении, об установлении надбавок), подлежат хранению специалистом по кадрам в течение двух лет, с последующим формированием и передачей указанных документов в архив Общества или государственный архив в порядке, предусмотренном законодательством Российской Федерации, где хранятся в течение 75 лет.
8.1.2. Персональные данные, содержащиеся в личных делах работников Общества, а также личных карточках работников Общества, хранятся специалистом по кадрам в течение десяти лет, с последующим формированием и передачей указанных документов в архив Общества или государственный архив в порядке, предусмотренном законодательством Российской Федерации, где хранятся в течение 75 лет.
8.1.3. Персональные данные, содержащиеся в приказах о поощрениях, материальной помощи работников Общества, подлежат хранению в течение двух лет специалистом по кадрам с последующим формированием и передачей указанных документов в архив Общества или государственный архив в порядке, предусмотренном законодательством Российской Федерации, где хранятся в течение 75 лет.
8.1.4. Персональные данные, содержащиеся в приказах о предоставлении отпусков, о командировках, о дисциплинарных взысканиях работников Общества, подлежат хранению специалистом по кадрам в течение пяти лет с последующим уничтожением.
8.1.5. Персональные данные, содержащиеся в документах граждан претендовавших на вакантные должности в Обществе, по завершению конкурсного отбора подлежат уничтожению.
8.2. Порядок, сроки обработки и хранения персональных данных, предоставляемых субъектами персональных данных в Общество в связи с получением медицинских услуг, определяются нормативными правовыми актами, регламентирующими порядок их сбора и обработки.
8.3. Персональные данные граждан, обратившихся в Общество лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, хранятся в течение пяти лет.
8.4. Персональные данные, предоставляемые субъектами на бумажном носителе в связи с обращением в Общество, хранятся на бумажных носителях в структурных подразделениях Общества, к полномочиям которых относится обработка персональных данных в связи с рассмотрением обращения.
8.5. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на разных материальных носителях персональных данных, в специальных разделах и т.д.
8.6. Необходимо обеспечивать раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных Политикой.
8.7. Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляет специалист соответствующего структурного подразделения Общества.
8.8. Срок хранения персональных данных, внесенных в информационные системы персональных данных Общества, должен соответствовать сроку хранения бумажных подлинников документов.
- Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований
9.1. Ответственным по работе с персональными данными Общества осуществляется систематический контроль и выделение документов, содержащих персональные данные, с истекшими сроками хранения, подлежащих уничтожению.
9.2. Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается на заседании комиссии Общества, состав которой подлежит утверждению приказом Общества. По итогам заседания составляются протокол и Акт о выделении к уничтожению документов, опись уничтожаемых дел, проверяется их комплектность, акт подписывается председателем и членами комиссии и утверждается руководителем Общества.
9.3. Уничтожение документов, содержащих персональные данные, осуществляется в порядке, установленном законодательством Российской Федерации.
9.4. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
- Условия и порядок обработки персональных данных субъектов в связи с предоставлением медицинских услуг
10.1. Получение персональных данных преимущественно осуществляется путем представления их пациентом, на основании его письменного согласия, при обращении в Общество.
Обработка персональных данных пациентов осуществляется Обществом в целях установления медицинского диагноза и оказания медицинской помощи на платной основе, создания условий для обеспечения гарантий прав граждан на оказание медицинской помощи надлежащего качества и в соответствующем объеме, профилактики заболеваний, сохранения и укрепления физического и психического здоровья каждого человека (субъекта персональных данных), исполнения обязательств по договору оказания платных медицинских услуг, контролю количества и качества выполняемых работ, обеспечения личной безопасности пациентов и их имущества (обработка видеоизображения субъектов персональных данных (их законных представителей)), рассмотрения жалоб, заявлений и иных обращений или запросов пациентов (их законных представителей), принятия решений по ним, а также информирования данных субъектов персональных данных (их законных представителей) о принятых решениях, в случае когда в информационной систе Общества хранятся и обрабатываются биометрические данные пациента (рост, вес, рентгеновские снимки, изображение (фотография) лица.
10.2. В целях, указанных в пункте 10.1 настоящей Политики, обрабатываются следующие категории персональных данных пациентов Общества: — фамилия, имя, отчество, в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения); — пол, — число, месяц, год рождения; — место рождения; — вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи, код подразделения (при наличии); — место регистрации (адрес регистрации, фактического проживания по желанию); — номер контактного телефона или сведения о других способах связи; — реквизиты страхового свидетельства государственного пенсионного страхования; — — реквизиты страхового медицинского полиса обязательного (добровольного в случае обращения по указанному основанию) медицинского страхования; — наименование страховой медицинской организации; семейное положение; — информация об образовании; — информация о занятости (место работы, должность, либо сведения о провождении военной службы и приравненную к ней службу) — информация об инвалидности; — данные о состоянии здоровья (история болезни или медицинская пациента, получающего медицинскую помощь в амбулаторных условиях).
10.3. Письменное согласие пациента на обработку своих персональных данных должно включать в себя: перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; цель обработки персональных данных;перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Оператором способов обработки персональных данных; срок в течение, которого действует согласие, а также порядок его отзыва.
10.4. В случае недееспособности пациента или не достижении пациентом возраста 15 лет, согласие на обработку персональных данных дает в письменной форме его законный представитель.
10.5. Доступ к персональным данным пациентов имеют работники Общества, допущенные к работе с персональными данными согласно отдельному приказу Общества.
10.6. Обработка персональных данных пациентов осуществляется смешанным путем:
— неавтоматизированным способом обработки персональных данных;
— автоматизированным способом обработки персоенальных данных (с помощью ПЭВМ).
10.7. Персональные данные пациентов хранятся преимущественно на бумажных носителях.
Основным документом, содержащим персональные данные пациента у Общества, является медицинская карта пациента, получающего медицинскую помощь в амбулаторных условиях. Форма карты утверждена приказом Минздрава России от 15.12.2014 № 834н.
Медицинская карта заводится на каждого обратившегося пациента при первом его обращении и хранится в течение 25 лет.
Регламент работы с медицинской документацией утвержден отдельным приказом директора Общества.
10.8. В случае оказания медицинской помощи в рамках добровольного медицинского страхования, передача персональных данных возможна с использованием сети «Интернет», с использованием технических средств защиты, с доступом только для работников Общества, допущенных приказом директора Общества.
10.9. Обработка персональных данных осуществляется с соблюдением порядка, предусмотренного Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и Постановления Правительства от 01.11.2012 № 1119 «Об утверждении требований к защите использования средств автоматизации».
10.10. Для обеспечения хранения персональных данных пациентов определяются следующие оснащенные средства защиты места:
— регистратуры (ресепшен) Общества,
— кабинеты специалистов, куда ограничен доступ, по окончанию работы, кабинеты закрываются на ключ;
— архив;
Здание Общества находится под охраной. Также здание снабжено пожарной сигнализацией.
10.11. Передача персональных данных пациентов третьим лицам осуществляется Обществом только с письменного согласия пациента, за исключением случаев, предусмотренных статьей 13 Федерального закона «Об основах охраны здоровья граждан в Российской Федерации».
10.12. Общество вправе посредством сети «Интернет» с соблюдением положений действующего законодательства РФ передавать персональные данные субъектов (Ф.И.О.; дата рождения, e-mail; номер мобильного телефона; информация о действиях Пациентов, совершенных в рамках использования Сайта) третьим лицам, с целью записи субъектов персональных данных на прием, для предоставления такими третьими лицами (самостоятельно или совместно) субъектам персональных данных предложений, рекламных и информационных материалов по продуктам Общества, с целью подготовки персональных предложений и формирования индивидуальных условий приема субъектов персональных данных, а также с целью проведения маркетинговых исследований и рассылок.
- Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
11.1. Нарушение требований настоящей Политики может повлечь гражданскую, уголовную, административную, дисциплинарную и иную ответственность, предусмотренную законодательством Российской Федерации.
11.2. Руководитель, разрешающий доступ работнику конфиденциальному документу, содержащему персональные данные, несет персональную ответственность за данное разрешение.
Приложение № 1
к Политике
СОГЛАСИЕ
на передачу (предоставление) персональных данных третьим лицам Я ,__________________________________________________________________
зарегистрированн___по адресу:__________________________________, Паспорт серии ___________ № ___________________, выдан______________________________________________________________ _ ____________________________________________________________________
в соответствии со ст., ст.7, 9 Федерального закона от 27 июля 2006 года N 152- ФЗ «О персональных данных» даю согласие оператору — Обществу с ограниченной ответственностью «Центр кинезотерапии и реабилитации», расположенному по адресу: 355037, г. Ставрополь, улица Космонавтов, 12, на передачу моих персональных данных о ____________________________________________________________________ кому_______________________________________________________________ с целью_______________________________________________________________ способом____________________________________________________________.
Настоящее согласие действует со дня его подписания до дня отзыва в письменной форме.
(дата) (подпись) (расшифровка подписи)
Приложение № 2
к Политике
СОГЛАСИЕ
на получение персональных данных у третьих лиц
Я _________________________________________________________________ ,
зарегистрированн___по адресу:_______________________________________ Паспорт серии ____________ № ___________________________ , выдан______________________________________________________________ ____________________________________________________________________
в соответствии со ст., ст.7, 9 Федерального закона от 27 июля 2006 года N 152- ФЗ «О персональных данных» даю согласие оператору — Обществу с ограниченной ответственностью «Центр кинезотерапии и реабилитации», расположенному по адресу: 355037, г. Ставрополь, улица Космонавтов, 12, на получение моих персональных данных о ____________________________________________________________________ от кого______________________________________________________________
с целью___________________________________________________________ способом___________________________________________________________ .
Настоящее согласие действует со дня его подписания до дня отзыва в письменной форме.
(дата) (подпись) (расшифровка подписи)
Приложение № 3
к Политике
СОГЛАСИЕ
на обработку персональных данных
г .____________________ _________ 2 0 _ г.
Я ,________________________________________________________________ ,
(должность, Ф.И.О.) зарегистрированн___по адресу:___________________________________________ Паспорт серии ____________ № ________________________________________ , выдан___________________________________________________________________
_________________________________________________________________________________________________________________________________________________________________________ 5
свободно, своей волей и в своем интересе даю согласие уполномоченным должностным лицам Общества с ограниченной ответственностью «Центр кинезотерапии и реабилитации», на обработку (любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение, следующих персональных данных: — фамилия, имя, отчество; — дата и место рождения; гражданство; — прежние фамилия, имя, отчество, дата, место и причина изменения (в случае изменения); — владение иностранными языками и языками народов Российской Федерации; — образование (когда и какие образовательные учреждения закончил, номера дипломов, направление подготовки или специальность по диплому, квалификация по диплому); послевузовское профессиональное образование (наименование образовательного или научного учреждения, год окончания), ученая степень, ученое звание (когда присвоены, номера дипломов, аттестатов); — выполняемая работа с начала трудовой деятельности (включая военную службу, работу по совместительству, предпринимательскую деятельность); — отношение к воинской обязанности, воинское звание, — государственные награды, иные награды и знаки отличия; — степень родства, фамилии, имена, отчества, даты рождения близких родственников (отца, матери, братьев, сестер и детей), а также мужа (жены); места работы (отца, матери, братьев, сестер и детей), — номер телефона; — отношение к воинской обязанности, сведения по воинскому учету (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу); — идентификационный номер налогоплательщика; номер страхового свидетельства обязательного пенсионного страхования; — наличие (отсутствие) судимости; — наличие (отсутствие) заболевания, препятствующего поступлению на работу, подтвержденного результатами предварительного периодического медицинского осмотра; — результаты обязательных медицинских осмотров (обследований), а также обязательного психиатрического освидетельствования; — сведения о доходах.
Вышеуказанные персональные данные предоставляю для обработки в целях обеспечения соблюдения в отношении меня положений законодательства Российской Федерации в сфере отношений, связанных с поступлением на работу, и прекращением трудовых и непосредственно связанных с ними отношений для реализации обязательств, возложенных на ООО «Центр КиР».
ООО «Центр «КиР» я ознакомлен с тем, что: 1) настоящее согласие на обработку персональных данных действует с даты подписания настоящего согласия в течение всего срока осуществления трудовой деятельности в соответствии с трудовым договором, заключенным мною с ООО «Центр КиР»; 2) настоящее согласие на обработку персональных данных может быть отозвано мной на основании письменного заявления в произвольной форме; 3) в случае отзыва согласия на обработку персональных данных, ООО «Центр КиР» вправе продолжить обработку персональных данных без согласия при наличии оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»; 4) после увольнения (прекращения трудовых отношений) персональные данные хранятся в ООО «Центр КиР» в течение срока хранения документов, предусмотренного действующим законодательством Российской Федерации; 5) персональные данные, предоставляемые в отношении меня третьим лицам, будут обрабатываться только в целях осуществления и выполнения, возложенных законодательством Российской Федерации на ООО «Центр КиР» функций, полномочий и обязанностей.
Дата начала обработки персональных данных:______________________________
число, месяц, год
Ф.И.О, подпись
Приложение № 4
к Политике
Перечень должностей работников ООО «Центр КиР», замещение которых предусматривает осуществление обработки персональных данных или доступа к персональным данным.
Настоящим перечнем определены должности ООО «Центр КиР» , исполнение должностных обязанностей по которым предусматривает осуществление обработки персональных данных или доступа к персональным данным:
- Директор ООО «Центр КиР»,
- Главный врач ООО «Центр КиР»,
- Специалист по кадрам,
- Бухгалтер,
- Администратор,
- Врач травматолог,
- Врач ЛФК,
- Врач невролог,
- Инструктор ЛФК,
- Массажист,
Приложение № 5
к Политике
ОБЯЗАТЕЛЬСТВО
Работника, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним трудового договора прекратить обработку персональных данных, ставших известными в связи с исполнением должностных обязанностей
5
Я ,________________________________________________________________
(фамилия, имя, отчество) ______________________________ __ ______ ____________________________________________________________________________________________________________________________________ ?
(должность)
обязуюсь прекратить обработку персональных данных, ставших известными мне в связи с исполнением должностных обязанностей, в случае расторжения со мной трудового (договора), освобождения меня от занимаемой должности и увольнения.
В соответствии со статьей 7 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» я уведомлен(а) о том, что персональные данные являются конфиденциальной информацией и я обязан(а) не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, ставших известными мне в связи с исполнением должностных обязанностей.
Меры ответственности за нарушение условий настоящего обязательства, предусмотренные Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и другими федеральными законами, мне известны и понятны.
(дата) (подпись) (расшифровка подписи)
Приложение № 6
к Политике
ТИПОВАЯ ФОРМА
разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные Мне_________________________________________________________ , (фамилия, имя, отчество) разъяснены юридические последствия отказа предоставить свои персональные данные оператору — Обществу с ограниченной ответственностью «Центр кинезотерапии и реабилитации».
В соответствии с постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Перечень мер направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных», определён перечень персональных данных, которые субъект персональных данных обязан предоставить в целях обеспечения соблюдения Конституции Российской Федерации, трудового законодательства, других законов и иных нормативных правовых актов, содействия работнику в трудоустройстве, обучении и продвижения по работе, обеспечения личной безопасности работника и членов его семьи, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
Я предупрежден(а), что в случае несогласия на обработку моих персональных данных, (далее нужное подчеркнуть) мои права могут быть реализованы не в полном объеме.
Без представления субъектом персональных данных обязательных для заключения трудового договора сведений, трудовой договор не может быть заключен.
(дата) (подпись) (расшифровка подписи)
Приложение № 7
к Политике
ОБЯЗАТЕЛЬСТВО
о неразглашении информации, содержащей персональные данные Я ,_____________________________________________________________________ ,
(фамилия, имя, отчество лица, допущенного к обработке персональных данных) исполняющий(ая) должностные обязанности по должности _____________________________________________________________________________
предупрежден(а) о том, что на период исполнения должностных обязанностей мне будет предоставлен допуск к информации, содержащей персональные данные.
Настоящим добровольно принимаю на себя обязательства: 1. Не передавать и не разглашать третьим лицам информацию, содержащую персональные данные, которая мне доверена (будет доверена) или станет известной в связи с исполнением должностных обязанностей. 2. В случае попытки третьих лиц получить от меня информацию, содержащую персональные данные, сообщать об этом своему непосредственному начальнику. 3. Не использовать информацию, содержащую персональные данные, с целью получения выгоды. 4. Выполнять требования нормативных правовых актов, регламентирующих вопросы защиты персональных данных. 5. В случае расторжения договора и (или) прекращения права на допуск к информации, содержащей персональные данные, не разглашать и не передавать третьим лицам известную мне информацию, содержащую персональные данные.
Я предупрежден(а) о том, что нарушение данного обязательства является основанием для привлечения к дисциплинарной и (или) иной, установленной законом, ответственности, в соответствии с законодательством Российской Федерации.
(дата) (подпись) (расшифровка подписи)
Приложение № 8
к Политике
СОГЛАСИЕ
Пациента на обработку персональных данных
Я,ниже подписавшийся _________________________________________________________________________,
Ф.И.О.
___ ______ ________ года рождения, зарегистрированный (-ая) по адресу: _______________________________________________________________________________________________,
паспорт серия______ номер_____________, выдан ____________________________________________________
____________________________________________пациента___________________________________________________________________
являясь законным представителем (отец, мать, опекун, попечитель) Ф.И.О. полностью
__________________________, ___________________ года рождения, зарегистрированного (-ой) по адре-су:_____________________________________________ , в соответствии с требованиями статьи 9 Федерального закона от 27.07.06 № 152-ФЗ «О персональных данных», подтверждаю свое согласие на обработку ООО «Центр кинезотерапии и реабилитации» (далее — Оператор), расположенному по адресу: г. Ставрополь, ул. Космонавтов, 12 , персональных данных, включающих: фамилию, имя, отчество, пол, дату рождения, паспортные данные, адрес по месту регистрации, контактный телефон (домашний или сотовый), место работы и должность, реквизиты полиса ОМС и ДМС (в случае оказания медицинской помощи в рамках ДМС), страховой номер Индивидуального лицевого счета в Пенсионном фонде России (СНИЛС), финансовые условия договора на оказание услуг, оказанные медицинские услуги, диагноз, сведения и заключения о состоянии здоровья, заболеваниях, случаях обращения за медицинской помощью и др.(далее — ПНД), в медико-профилактических целях, в целях установления медицинского диагноза и оказания медицинских услуг при условии, что их обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну.
В процессе оказания Оператором медицинской помощи я предоставляю право Оператору, передавать ПНД и сведения, составляющие врачебную тайну, другим уполномоченным лицам Оператора в интересах обследования и лечения.
Предоставляю Оператору право осуществлять все действия (операции) с ПНД, включая сбор, систематизацию, накопление, хранение, обновление, изменение, использование, обезличивание, блокирование, уничтожение. Оператор вправе обрабатывать ПНД на бумажных носителях, а также посредством внесения их в электронные базы данных, включения в списки (реестры) и отчетные формы, предусмотренные документами, регламентирующими предоставление отчетных данных (документов) по договорам ДМС, а также по договорам на оказание платных медицинских услуг.
Оператор вправе обрабатывать ПНД, находящиеся в электронной истории болезни.
Оператор имеет право во исполнение своих обязательств по работе по договору ДМС и (или) по договору с Работодателем пациента или иным лицом, производящим оплату за услуги, предоставляемые пациенту на обмен (прием и передачу) ПНД со страховой медицинской организацией, выдавшей медицинский страховой полис и (или) с Работодателем или иным лицом, оплачивающим оказанные медицинские услуги, используя как неавтоматизированный способ, так и с использованием машинных носителей данных или по каналам связи, с соблюдением мер, обеспечивающих их защиту от несанкционированного доступа, при условии, что их прием и обработка будут осуществляться лицом, обязанным сохранять профессиональную тайну.
Срок хранения ПНД соответствует сроку хранения первичных медицинских документов и составляет 25 лет. Если иное не предусмотрено законодательством, передача и распространение ПНД третьим лицам может осуществляться только с письменного согласия.
Настоящее согласие действует в течение 25 лет.
Я оставляю за собой право отозвать согласие посредством составления соответствующего письменного документа, который может быть направлен мной в адрес Оператора в том числе и по почте заказным письмом с уведомлением о вручении либо вручен лично под расписку представителю Оператора.
В случае получения моего письменного заявления об отзыве настоящего согласия на обработку ПНД Оператор обязан прекратить их обработку в течение периода времени, необходимого для завершения взаиморасчетов по оплате, оказанной до этого медицинской помощи.
«__» 201_ г.______________________________________________(законный представитель)
подпись, расшифровка подписи
«__» 201_г.________________________________________________(пациент)
подпись, расшифровка подписи