Политика конфиденциальности

ПОЛИТИКА
ООО «ОРХИДЕЯ» В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Общие положения

Обеспечение конфиденциальности и безопасности обработки персональных данных в ООО «ОРХИДЕЯ» является одной из приоритетных задач организации.

В ООО «ОРХИДЕЯ» для этих целей введен в действие комплект организационно-распорядительной документации, обязательный к исполнению всеми сотрудниками ООО «ОРХИДЕЯ», допущенными к обработке персональных данных.

Обработка, хранение и обеспечение конфиденциальности и безопасности персональных данных осуществляется в соответствии с действующим законодательством РФ в сфере защиты персональных данных, и в соответствии с локальными актами ООО «ОРХИДЕЯ».

Настоящая Политика определяет принципы, порядок и условия обработки персональных данных работников, соискателей и пациентов и их законных представителей ООО «ОРХИДЕЯ» чьи персональные данные обрабатываются ООО «ОРХИДЕЯ», с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также устанавливает ответственность должностных лиц ООО «ОРХИДЕЯ», имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

Поскольку к настоящей Политике в соответствии с ч. 2 ст. 18.1 Федерального закона № 152-ФЗ «О персональных данных» необходимо обеспечить неограниченный доступ, в ней не публикуется детальная информация о принятых мерах по защите персональных данных в ООО «ОРХИДЕЯ», а также иная информация, использование которой неограниченным кругом лиц может нанести ущерб ООО «ОРХИДЕЯ» или субъектам персональных данных.

Основные понятия, используемые в политике:

• персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
• оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
• обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:
• сбор;
• запись;
• систематизацию;
• накопление;
• хранение;
• уточнение (обновление, изменение);
• использование;
• обезличивание;
• удаление;
• уничтожение.
• автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
• распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
• предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
• блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
• уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
• обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
• информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
• трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

2. Понятие и состав персональных данных

Сведениями, составляющими персональные данные, в ООО «ОРХИДЕЯ» является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Перечень персональных данных, подлежащих защите в ООО «ОРХИДЕЯ» определятся целями их обработки, Федеральным законом № 152-ФЗ «О защите персональных данных», Трудовым кодексом РФ и другими нормативно-правовыми актами.

В ООО «ОРХИДЕЯ» утвержден перечень персональных данных подлежащих защите.

В ООО «ОРХИДЕЯ» обрабатываются следующие персональные данные работников:

фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, семейное положение, доходы, пол, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона ,СНИЛС, ИНН, данные документа, удостоверяющего личность, данные документа, содержащиеся в свидетельстве о рождении, реквизиты банковской карты, номер расчетного счета, номер лицевого счета, профессия, должность, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации),отношение к воинской обязанности, сведения о воинском учете, сведения об образовании.

В ООО «ОРХИДЕЯ» обрабатываются следующие персональные данные соискателей на вакантные должности:

фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, семейное положение, пол, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, СНИЛС, ИНН, данные документа, удостоверяющего личность, профессия, должность, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации),отношение к воинской обязанности, сведения о воинском учете, сведения об образовании.

В ООО «ОРХИДЕЯ» обрабатываются следующие персональные данные пациентов и их законных представителей:

фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, пол, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, СНИЛС, ИНН, данные документа, удостоверяющего личность, данные документа, содержащиеся в свидетельстве о рождении, сведения о состоянии здоровья.

3. Цели сбора персональных данных

ООО «ОРХИДЕЯ» осуществляет обработку персональных данных в следующих целях:

• организация кадрового учета компании, обеспечение соблюдения законов и иных нормативно-правовых актов; ведение кадрового делопроизводства, исполнение требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнение первичной статистической документации, в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных» и других нормативно-правовых актов;
• подбор кандидатов на вакантные должности в ООО «ОРХИДЕЯ»;
• обеспечение соблюдения законодательства РФ в сфере здравоохранения;
• ведения медицинского учета, установления медицинского диагноза и оказания медицинских услуг.

4. Правовые основания обработки персональных данных

Персональные данные ООО «ОРХИДЕЯ» обрабатываются на основании:

• Трудового кодекса Российской Федерации;
• устав ООО «ОРХИДЕЯ»;
• договоры, заключаемые между ООО «ОРХИДЕЯ» и субъектом персональных данных;
• согласие на обработку персональных данных;
• Федеральным законом № 152-ФЗ «О персональных данных»;
• Федеральным законом № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».

5. Сроки обработки персональных данных

            Сроки обработки персональных данных определяются в соответствии со сроком действия договора (соглашением) с субъектом персональных данных, Приказом Минкультуры РФ от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», сроком исковой давности, сроку хранения первичных медицинских документов (медицинской карты) и составляет двадцать пять лет, пять лет – для поликлиники, а также иными требованиями законодательства РФ.

            В ООО «ОРХИДЕЯ» создаются и хранятся документы, содержащие сведения о субъектах персональных данных. Требования к использованию в ООО «ОРХИДЕЯ» данных типовых форм документов установлены Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

6. Права и обязанности

ООО «ОРХИДЕЯ» как оператор персональных данных в праве:

• отстаивать свои интересы в суде;
• предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
• отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;
• использовать персональные данные субъекта без его согласия, в случаях, предусмотренных законодательством.

ООО «ОРХИДЕЯ» как оператор персональных данных обязан:

• обеспечить каждому субъекту персональных данных возможность ознакомления с документами и материалами, содержащими их персональные данные, если иное не предусмотрено законом;
• внести необходимые изменения, уничтожить или блокировать персональные данные в случае предоставления субъектом неполных, устаревших, недостоверных или незаконно полученных персональных данных, а также уведомить о своих действиях субъекта персональных данных;
• выполнять требования законодательства Российской Федерации.

Субъект персональных данных имеет право:

• требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
• требовать перечень своих персональных данных, обрабатываемых ООО «ОРХИДЕЯ» и источник их получения;
• получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
• требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
• обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных.

Субъект персональных данных обязан:

• передавать достоверные, необходимые для достижения целей обработки, персональные данные, а также подтверждать достоверность персональных данных предъявлением оригиналов документов;
• в случае изменения персональных данных, необходимых для достижения целей обработки, сообщить ООО «ОРХИДЕЯ» уточненные персональные данные и подтвердить изменения оригиналами документов;
• выполнять требования законодательства Российской Федерации.

7. Порядок и условия обработки персональных данных

ООО «ОРХИДЕЯ» осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.

Под обработкой персональных данных в ООО «ОРХИДЕЯ» понимается сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Персональные данные работников и соискателей не передаются третьим лицам, за исключением случаев, предусмотренных законодательством Российской Федерации.

Персональные данные пациентов и законных представителей передаются в объеме, необходимом для выполнения медицинской организацией обязанности, предусмотренной п. 16 ст. 79 ФЗ «Об основах охраны здоровья граждан в Российской Федерации», а именно: осуществляется выгрузка персональных данных и сведений о состоянии здоровья граждан в ЕГИСЗ при помощи Иной информационной системы «МИС Медлок», принадлежащей ООО «Медрейтинг» (ИНН: 2311144947).".

Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

Обработка персональных данных в ООО «ОРХИДЕЯ» производится на основе соблюдения принципов:

• законности целей и способов обработки персональных данных;
• соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
• соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
• достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
• недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
• хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
• уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.

Отказ пациента и их законного представителя, соискателя или работника ООО «ОРХИДЕЯ» от предоставления согласия на обработку его персональных данных влечет за собой невозможность достижения целей обработки.

8. Обеспечение безопасности персональных данных

ООО «ОРХИДЕЯ» предпринимает необходимые организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.

            В ООО «ОРХИДЕЯ» для обеспечения безопасности персональных данных приняты следующие меры:

• назначено лицо, ответственное за организацию обработки персональных данных;
• назначен администратор безопасности информационной системы персональных данных;
• утверждены документы, определяющие политику ООО «ОРХИДЕЯ» в отношении обработки персональных данных и устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства. К таким документам в частности относятся: план мероприятий по обеспечению безопасности персональных данных в ИСПДн; перечень персональных данных, подлежащих защите; положение о разграничении прав доступа к персональным данным; приказ об утверждении перечня лиц, допущенных к обработке персональных данных; положение о защите и обработке персональных данных; политика в отношении обработки персональных данных; правила обработки персональных данных без использования средств автоматизации; приказ об утверждении мест хранения персональных данных и лицах, ответственных за соблюдение конфиденциальности персональных данных при их хранении, инструкция администратора безопасности ИСПДн, инструкция пользователя ИСПДн, инструкция ответственного за организацию обработки персональных данных, приказ о назначении группы реагирования на инциденты информационной безопасности;
• устранение последствий нарушений законодательства РФ производится в соответствии с действующим законодательством РФ, в соответствии с положением об обработке и защите персональных данных, а также в соответствии с инструкцией администратору безопасности персональных данных;
• внутренний контроль соответствия обработки персональных данных законодательству РФ в данной сфере производится в соответствии с планом внутренних проверок, инструкцией администратора безопасности и положением об обработке и защите персональных данных;
• для информационной системы персональных данных разработана модель угроз безопасности персональных данных, в которой при определении опасности угроз проводится оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства;
• для информационной системы персональных данных разработано техническое задание на создание системы защиты информации;
• проведена оценка эффективности принимаемых мер по обеспечению безопасности персональных данных;
• правила доступа к персональным данным утверждены в соответствующем положении, технически реализуются с помощью средств защиты информации;
• сотрудники, допущенные к обработке персональных данных, проходят инструктажи по информационной безопасности, подписывают соглашение о неразглашении персональных данных, знакомятся с документами по защите персональных данных под роспись.

9. Заключительные положения

К настоящей Политике обеспечивается неограниченный доступ.

Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года.

Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных ООО «ОРХИДЕЯ».

Ответственность должностных лиц ООО «ОРХИДЕЯ», имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами ООО «ОРХИДЕЯ».

Скан-копия документа - ПОЛИТИКА ООО «ОРХИДЕЯ» В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ