Положение об обработке и защите персональных данных субъектов персональных данных

 

1. Общие положения

1.1. Положение об обработке и защите персональных данных субъектов персональных данных (далее - Положение) ООО МРЦ "ВИТА-МЕД" (далее - Оператор) разработано в соответствии с Конституцией РФ, Трудовым кодексом РФ, Гражданским кодексом РФ, Федеральным законом «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ, Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ, Постановлением Правительства Российской Федерации «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15.09.2008 г. № 687 и иными нормативными правовыми актами РФ.

1.2. Положение действует в отношении всех персональных данных, которые обрабатывает Оператор, и обязательно для исполнения всеми работниками Оператора.

1.3. Действие Положения распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения Положения.

1.4. Основные термины и определения, используемые в Положении:

• автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
• блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
• информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
• персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому лицу;
• предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
• Руководитель – единоличный исполнительный орган Оператора;
• обработка персональных данных - любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя в том числе:

сбор;

запись;

систематизацию;

накопление;

хранение;

уточнение (обновление, изменение);

извлечение;

использование;

передачу (предоставление, доступ);

обезличивание;

блокирование;

удаление;

уничтожение.

• обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
• субъект персональных данных — физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных;
• уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2. Категории субъектов персональных данных

2.1. В соответствии с настоящим положением, Оператором обрабатываются персональные данные следующих субъектов персональных данных:

• работники;
• родственники работников;
• уволенные работники;
• контрагенты;
• представители контрагентов;
• пациенты;
• законные представители;
• посетители сайта.

3. Цели обработки персональных данных

3.1. Персональные данные обрабатываются Оператором с целью реализации норм действующего законодательства и достижения целей, предусмотренных учредительными документами, в том числе:

• ведение кадрового и бухгалтерского учета;
• подготовка, заключение и исполнение гражданско-правовых договоров;
• проведение статистического учета;
• оказания медицинских услуг и медицинской помощи;
• добровольное медицинское страхование;
• продвижение товаров, работ, услуг на рынке.

3.2. Оператор обрабатывает следующие категории персональных данных:

• фамилия, имя, отчество;
• год рождения;
• месяц рождения;
• дата рождения;
• место рождения;
• семейное положение;
• доходы;
• пол;
• адрес электронной почты;
• адрес места жительства;
• адрес регистрации;
• номер телефона;
• СНИЛС;
• ИНН;
• гражданство;
• данные документа, удостоверяющего личность;
• данные водительского удостоверения;
• данные документа, удостоверяющего личность за пределами Российской Федерации;
• данные документа, содержащиеся в свидетельстве о рождении;
• реквизиты банковской карты;
• номер расчетного счета;
• номер лицевого счета;
• профессия;
• должность;
• сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации);
• отношение к воинской обязанности, сведения о воинском учете;
• сведения об образовании;
• сведения о состоянии здоровья.

3.3. Оператором может проводится обработка иных персональных данных, содержащихся в документах, представление которых предусмотрено законодательством или которые субъект пожелал сообщить о себе самостоятельно, если обработка этих данных соответствует цели обработки.

3.5. Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных законодательством РФ.

4. Порядок и условия обработки персональных данных

4.1. До начала обработки персональных данных Оператор уведомляет Роскомнадзор о намерении осуществлять обработку персональных данных.

4.2. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:

• Конституция Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
• Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Постановление Правительства РФ от 27.11.2006 № 719 «Об утверждении Положения о воинском учете»;
• Постановление Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.

4.3. Обработка персональных данных осуществляется с соблюдением принципов и условий, предусмотренных законодательством в области персональных данных и Положением.

4.4. Обработка персональных данных Оператором выполняется следующими способами:

• неавтоматизированная обработка персональных данных;
• автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
• смешанная обработка персональных данных.

4.5. Обработка персональных данных Оператором осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено действующим законодательством.

4.6. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от других согласий на обработку персональных данных.

4.7. Обработка биометрических персональных данных допускается только при наличии письменного согласия субъекта персональных данных.

4.8. Оператор не осуществляет трансграничную передачу персональных данных.

4.9. Работа с персональными данными осуществляется Оператором при помощи:

• получения оригиналов документов либо их копий;
• внесения сведений в учетные формы на бумажных и электронных носителях;
• создания документов, содержащих персональные данные, на бумажных и электронных носителях;
• внесения персональных данных в информационные системы персональных данных.

4.10. Оператором используются следующие информационные системы:

• МИС : СБИС, ДИОДОК
• АРМ «ЛПУ»
• 1C: Бухгалтерия;
• Корпоративная почта.

4.11. Передача (предоставление, доступ) персональных данных субъектов персональных данных осуществляется в случаях и в порядке, предусмотренных федеральным законом и настоящим Положением.

5. Порядок хранения персональных данных

5.1. Обработка персональных данных прекращается Оператором в следующих случаях:

• при выявлении факта неправомерной обработки персональных данных. Срок прекращения обработки - в течение трех рабочих дней с даты выявления такого факта;
• при достижении целей их обработки;
• по истечении срока действия или при отзыве субъектом персональных данных согласия на обработку его персональных данных, если в соответствии с действующим законодательством их обработка допускается только с согласия;
• при обращении субъекта персональных данных к Оператору с требованием о прекращении обработки персональных данных, за исключением случаев, предусмотренных действующим законодательством.

5.2. Персональные данные хранятся в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.

5.3. Персональные данные на бумажных носителях хранятся у Оператора в течение сроков хранения документов, для которых эти сроки предусмотрены законодательством об архивном деле в РФ.

5.4. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.

6. Блокирование и уничтожения персональных данных

6.1. Оператор блокирует персональные данные в порядке и на условиях, предусмотренных действующим законодательством.

6.2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются.

6.3. Незаконно полученные персональные данные или персональные данные, которые не являются необходимыми для цели обработки, уничтожаются в течение семи рабочих дней со дня установления подобного факта.

6.4. Персональные данные уничтожаются в течение 30 дней с даты достижения цели обработки, если иное не предусмотрено соглашением с субъектом персональных данных.

6.5. Уничтожение материальных носителей (документы, жесткие диски, флеш-накопители и т.п.) и сведений в информационных системах персональных данных осуществляется в порядке, предусмотренном локальными нормативными актами Оператора.

6.6. Уничтожение персональных данных осуществляет комиссионно и подтверждается актом.

7. Защита персональных данных

7.1. Без письменного согласия субъекта персональных данных Оператор не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено действующим законодательством.

7.2. С целью защиты персональных данных приказом Руководителя Оператора назначаются:

• ответственный за организацию обработки персональных данных;
• администратор информационной безопасности;
• сотрудники, допущенные к обработке персональных данных.

7.3. С целью защиты персональных данных Руководителем Оператора принимаются локальные нормативные акты, регулирующие порядок обработки и защиты персональных данных.

7.4. Работники, занимающие должности, предусматривающие обработку персональных данных, допускаются к ней после подписания обязательства об их неразглашении.

7.5. Материальные носители персональных данных хранятся в шкафах, запирающихся на ключ. Помещения Оператора, в которых они размещаются, оборудуются запирающими устройствами.

7.6. Доступ к персональной информации, содержащейся в информационных системах Оператора, осуществляется по индивидуальным паролям.

7.7. Оператором используется сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.

7.8. Работники Оператора, обрабатывающие персональные данные, проходят обучение по обработке и защите персональных данных, а также ознакамливаются с требованиями действующего законодательства в области персональных данных.

7.9. Работники Оператора, обрабатывающие персональные данные, обязаны незамедлительно сообщать о любых случаях несанкционированного доступа к персональным данным.

7.10. Оператором проводятся внутренние разбирательства в следующих ситуациях:

• при неправомерной или случайной передаче персональных данных;
• при несанкционированном доступе к персональным данным и информационным системам персональных данных;
• в иных случаях, предусмотренных действующим законодательством в области персональных данных.

7.11. В случае инцидента Оператор в течение 24 часов уведомляет Роскомнадзор:

• об инциденте;
• его предполагаемых причинах и вреде;
• принятых мерах по устранению последствий инцидента;
• представителе Оператора, который уполномочен взаимодействовать с Роскомнадзором по вопросам, связанным с инцидентом.

7.12. В течение 72 часов Оператор обязано:

• уведомить Роскомнадзор о результатах внутреннего расследования;
• предоставить сведения о лицах, действия которых стали причиной инцидента.

7.13. В случае предоставления субъектом персональных данных подтвержденной информации о том, что персональные данные являются неполными, неточными или неактуальными, в них вносятся изменения в течение семи рабочих дней. Оператор уведомляет в письменном виде субъекта персональных данных о внесенных изменениях и сообщает о них третьим лицам, которым были переданы персональные данные.

7.14. Оператор уведомляет субъекта персональных данных об устранении нарушений в части неправомерной обработки персональных данных. Уведомляется также Роскомнадзор, если он направил обращение субъекта персональных данных либо сам сделал запрос.

7.15. В случае уничтожения персональных данных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки, Оператор уведомляет субъекта персональных данных о принятых мерах в письменном виде. Оператор уведомляет также третьих лиц, которым были переданы такие персональные данные.

8. Ответственность за нарушение порядка обработки и защиты персональных данных

8.1. Работники, виновные в нарушении положений локальных нормативных актов Оператора и норм действующего законодательства, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ.

8.2. При наличии обоснований работник Оператора может быть привлечен к административной, гражданско-правовой или уголовной ответственности.

8.3. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также несоблюдения требований к их защите, подлежит возмещению в соответствии с действующим законодательством. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

 

25.04.2025 г.

Главный врач ООО МРЦ "ВИТА-МЕД"    _____________/Маслова Е.В.

 

Положение об обработке и защите персональных данных субъектов персональных данных