1. Общие положения
1.1 Политика в отношении обработки персональных данных в ООО «Сапфир» (далее – Политика) разработана в соответствии с действующим законодательством Российской Федерации в области персональных данных и целями, задачами, принципами обеспечения безопасности персональных данных в ООО «Сапфир»
1.2 Целью Политики является обеспечение безопасности объектов защиты ООО «Сапфир» от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности персональных данных.
1.3 Политика устанавливает ответственность руководства, а также определяет подход организации к управлению информационной безопасностью.
1.4 В Политике определены требования к сотрудникам учреждения, степень их ответственности, структура и необходимый уровень защищенности информационных систем персональных данных и объектов информатизации, статус и должностные обязанности сотрудников, ответственных за обеспечение безопасности персональных данных в ООО «Сапфир»
1.5 Требования Политики распространяются на всех сотрудников ООО «Сапфир» (штатных, временных и т.п.), а также всех прочих лиц (подрядчики, разработчики информационных систем, ремонтные организации и т.п.).
1.6 Настоящая Политика определяет принципы, порядок и условия обработки персональных данных пациентов и работников учреждения, с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также устанавливает ответственность должностных лиц учреждения, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
2. Основания и цели обработки персональных данных
2.1 ООО «Сапфир» осуществляет обработку персональных данных в соответствии с Конституцией Российской Федерации, Основами законодательства Российской Федерации об охране здоровья граждан (утвержденными ВС РФ 22 июля 1993 года № 5487-1), Федеральным законом Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных», ст. ст. 85-90 Трудового кодекса Российской Федерации, «Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденным Постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119, «Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденным Постановлением Правительства РФ от 15 сентября 2008 года № 687, Лицензией № ЛО-56-01-002460 от 25 марта 2019 года, Уставом ООО «Сапфир».
2.2 Обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинской помощи.
2.3 В ООО «Сапфир» обрабатываются следующие категории персональных данных:
3. Принципы и условия обработки персональных данных
3.1 Обработка персональных данных ООО «Сапфир» осуществляется на основе принципов
3.2 Обработка персональных данных пациентов осуществляется с письменного согласия субъекта персональных данных на обработку его персональных данных, а также если обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных.
3.3 Если получение согласия субъекта персональных данных невозможно, то обработка персональных данных осуществляется, только если она необходима для защиты жизни и здоровья или иных жизненно важных интересов субъекта персональных данных.
3.4 Обработка персональных данных сотрудников осуществляется в соответствии с заключенным трудовым договором.
3.5 Доступ к обрабатываемым персональным данным, предоставляется только тем сотрудникам учреждения, которым он необходим в связи с исполнением ими своих должностных обязанностей и с соблюдением принципов персональной ответственности.
3.6 Прекращение неавтоматизированной обработки персональных данных пациентов и уничтожение документов, содержащих персональные данные, осуществляется по истечению сроков хранения первичных медицинских документов пациента, которые составляют двадцать пять лет с момента оказания последней медицинской услуги.
3.7 Прекращение автоматизированной обработки персональных данных пациентов в информационных подсистемах персональных данных осуществляется:
33.8 Прекращение автоматизированной и неавтоматизированной обработки персональных данных работников, осуществляется в следующих случаях:
3.9 Уничтожение документов, содержащих персональные данные работников, осуществляется по истечению сроков их хранения, которые регламентируются Федеральным законом от 21.11.1996 г. № 129-ФЗ «О бухгалтерском учете», Налоговым кодексом Российской Федерации от 31.07.1998 г. № 146-ФЗ и Перечнем типовых архивных документов, образующихся в научно-технической и производственной деятельности организаций, с указанием сроков хранения, утвержденным Министерством культуры и массовых коммуникаций Российской Федерации 31 июля 2007 года № 1182.
3.10 Передача персональных данных третьим лицам:
3.11 Передача информации, содержащей персональные данные, третьим лицам осуществляется с использованием автоматизированных информационных систем по закрытым средствами криптографической защиты каналам связи и методом физической доставки адресату в распечатанном виде.
4. Обеспечение безопасности персональных данных
4.1 Важнейшим условием реализации целей деятельности ООО «Сапфир» является обеспечение необходимого и достаточного уровня безопасности информационных систем персональных данных, соблюдения конфиденциальности, целостности и доступности обрабатываемых персональных данных и сохранности носителей сведений, содержащих персональные данные на всех этапах работы с ними.
4.2 В ООО «Сапфир» создаются условия и режим защиты информации, отнесенной к персональным данным, позволяющие обеспечить защиту обрабатываемых персональных данных.
4.3 В ООО «Сапфир» в соответствии с действующим законодательством Российской Федерации разрабатывается и вводится в действие комплекс организационно-распорядительных, функциональных и планирующих документов, регламентирующих и обеспечивающих безопасность обрабатываемых персональных данных:
4.4 Разрабатывается перечень персональных данных, подлежащих защите. Выделяются информационные системы персональных данных и проводится их классификация.
4.5 Для формирования обоснованных требований к обеспечению безопасности обрабатываемых персональных данных и проектирования системы защиты персональных данных разрабатываются частные модели угроз безопасности для каждой информационной системы персональных данных.
4.6 Определяется перечень помещений, предназначенных для обработки и хранения персональных данных, перечень средств вычислительной техники, на которых разрешается обрабатывать персональные данные.
4.7 Вводится режим безопасности обработки и обращения с персональными данными, а также режим защиты помещений, в которых осуществляется обработка и хранение носителей персональных данных;
4.8 Назначаются ответственный за организацию и обеспечение безопасности персональных данных, администраторы информационных систем персональных данных и администратор безопасности информационных систем персональных данных, им определяются обязанности и разрабатываются инструкции по обеспечению безопасности информации;
4.9 Определяется круг лиц, имеющих право обработки персональных данных, разрабатываются инструкции пользователям по защите персональных данных, антивирусной защите, действиям в кризисных ситуациях;
4.10 Определяются требования к персоналу, степень их ответственности, за обеспечение безопасности персональных данных.
4.11 Проводится ознакомление работников, осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации по обеспечению безопасности персональных данных и требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных. Проводится периодическое обучение указанных работников правилам обработки персональных данных.
4.12 Предпринимаются необходимые и достаточные технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, , изменения, блокирования доступа и других несанкционированных действий:
4.13 Вводится система разграничения доступа;
4.14 Устанавливается защита от несанкционированного доступа к автоматизированным рабочим местам, информационным сетям и базам персональных данных;
4.15 Устанавливается защита от вредоносного программно-математического воздействия;
4.16 Осуществляется регулярное резервное копированием информации и баз данных;
4.17 Передача информации по сети общего пользования «Интернет» осуществляется с использованием средств криптографической защиты информации.
4.18 Организовывается система контроля за порядком обработки персональных данных и обеспечения их безопасности. Планируются проверки соответствия системы защиты персональных данных, аудит уровня защищенности персональных данных в информационных системах персональных данных, функционирования средств защиты информации, выявления изменений в режиме обработки и защиты персональных данных.
5. Права
5.1 Права ООО «Сапфир»
5.2 Права субъекта персональных данных:
6. Заключительные положения
6.1 Настоящая Политика является общедоступной и подлежит размещению на официальном сайте или иным образом обеспечивается неограниченный доступ к данной Политике.
6.2 Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года.
6.3 Контроль исполнения требований настоящей Политики осуществляется директором ООО «Сапфир»
6.4 Ответственность должностных лиц ООО «Сапфир», имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами ООО «Сапфир».