Политика в отношении обработки персональных данных

Цель обработки персональных данных:

  1. Медико-профилактические цели, установление медицинского диагноза, оказание медицинских услуг;
  2. Реализации гражданами РФ, закрепленных за ними Конституцией РФ прав на обращение в медицинские организации в установленном порядке;
  3. Обеспечение законов и иных форм нормативно правовых актов в отношении работников, содействия работникам в обучении и продвижении по работе, обеспечении личной безопасности работников, соблюдение основных государственных гарантий по оплате труда работников контроля количества и качества выполняемой работы.

Категории субъектов, персональные данные которых обрабатываются в учреждении

Лица, обратившиеся для оказания медицинских услуг

Категории обрабатываемых персональных данных этой категории субъектов: Ф.И.О., пол и дата рождения, адрес места жительства, биометрические и паспортные данные, контактный(е) телефон(ы), контактный(ые) адрес(а) электронной почты(E-mail), реквизиты полиса ОМС (ДМС), страховой номер индивидуального лицевого счета в Пенсионном фонде России (СНИЛС), данные о состоянии здоровья, заболеваниях, случаях обращения за медицинской помощью — в медико-профилактических целях, в целях установления медицинского диагноза и оказания медицинских услуг, а также в целях улучшения качества обслуживания пациентов и проведения маркетинговых программ, статистических исследований.

Работники (в рамках трудовых отношений)

Категории обрабатываемых персональных данных этой категории субъектов:

Паспортные данные; идентификационный номер налогоплательщика (ИНН); номер страхового свидетельства государственного пенсионного страхования; иностранные языки; стаж работы; состав семьи; паспортные данные; адрес; информация по воинскому учету; трудовой договор; назначения; профессиональная аттестация; повышение квалификации; профессиональная переподготовка; государственные и ведомственные награды, почетные звания; информация об отпусках; командировки; больничные листы; трудовая деятельность до приема на работу в клинику; дата и основание выхода на пенсию; имеющиеся сертификаты; наличие судимостей; наличие загранпаспорта; выезды за границу; заработная плата; номер расчетного счета в банке; фотографии.

Правовое основание для обработки персональных данных:

Политика разработана в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных». Федеральный закон от 24 июля 1998 г. № 125ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний» ; Федеральный закон от 21 ноября 2011 г. N 323ФЗ «Об основах охраны здоровья граждан в Российской Федерации» ; согласие работников на обработку персональных данных; заключенные договоры с контрагентами.

Перечень действий с персональными данными

Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ) в рамках трехстороннего договора, по запросу суда, на основании нормативно правовых документов, обезличивание, блокирование, удаление, уничтожение. Обработка вышеуказанных персональных данных осуществляется с использованием и без использования средств автоматизации.

Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ:

  1. Правовые и организационные меры безопасности персональных данных: В обществах разработаны организационно-распорядительные документы, регламентирующие процесс получения, обработки, хранения, передачи и защиты персональных данных.
    • Доступ к обработке персональных данных предоставлен исключительно тем лицам, которым такой доступ необходим для выполнения должностных обязанностей.
    • Физический доступ в помещения, в которых осуществляется обработка персональных данных (как автоматизированная, так и неавтоматизированная), в том числе, в помещения, в которых располагаются технические средства информационных систем персональных данных, а также осуществляется хранение материальных (бумажных и машинных) носителей персональных данных, ограничен.
    • Разграничение доступа к ресурсам ИСПДн осуществляется в соответствии с разработанной разрешительной системой доступа.
    • В целях обеспечения безопасности персональных данных при их обработке в ИСПДн реализован комплекс организационных и технических мероприятий в рамках системы защиты персональных данных, нейтрализующей угрозы информационной безопасности персональных данных.
    • В целях документирования процессов, связанных с обеспечением безопасности персональных данных для работников разработан комплект организационно-распорядительной документации, в том числе, инструкций пользователям и администраторам ИСПДн.
    • Лица, осуществляющие обработку персональных данных, проинформированы об особенностях и правилах осуществления такой обработки, ознакомлены под роспись с инструкциями по обеспечению информационной безопасности персональных данных.
    • В целях обеспечения функционирования системы защиты персональных данных приказами назначены ответственные лица – администратор ИСПДн и администратор информационной безопасности ИСПДн.
  2. Технические меры по обеспечению безопасности персональных данных при обработке, осуществляемой с использованием средств автоматизации:
    • В качестве механизмов защиты от несанкционированного доступа используются встроенные механизмы операционных систем семейства Microsoft Windows версий 7, 8.1 и 10
    • Службы каталогов Active Directory,
    • Групповые политики в области безопасности,
    • Встроенные средства разграничения доступа специального программного обеспечения, используемого в целях обработки персональных данных,
    • Систем управления базами данных, а также оснасток администрирования используемых средств и систем защиты информации (Kaspersky Endpoint Security, Kerio Control).
    • В качестве средства межсетевого экранирования используется программный комплекс Kerio Control.
    • В качестве средства антивирусной защиты информации используется Kaspersky Endpoint Security 10.
    • Обеспечивается эшелонированная антивирусная защита (Kerio Control/Kaspersky Endpoint Security).
    • С использованием технологии VLAN (port-based, 802.1Q) обеспечено сегментирование ЛВС Общества,
    • Информационные системы персональных данных выделены в отдельные сетевые сегменты.
    • Доступ к специальному программному обеспечению, выполняющему обработку персональных данных, с удаленных площадок осуществляется посредством использования технологии удаленного рабочего стола сервера Microsoft Windows.

При обработке, осуществляемой без использования средств автоматизации:

    • Обособление персональных данных от иной информации путем фиксации их на отдельных материальных носителях;
    • Определение порядка хранения материальных носителей персональных данных и установление перечня лиц, осуществляющих обработку персональных данных, либо имеющих к ним доступ;
    • Ограничение доступа пользователей в помещения, где хранятся носители информации;
    • Размещение носителей информации, содержащих персональные данные, в пределах контролируемой зоны;
    • Обеспечение раздельного хранения материальных носителей персональных данных, обработка которых осуществляется в различных целях;
    • Соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним: хранение документов–носителей персональных данных в специально оборудованных помещениях, сейфах, металлических шкафах, установление решеток на окна, охранно-пожарной сигнализации;
    • Проведение внутренней проверки безопасности информационных систем персональных данных учреждения;
    • Проведение вводного и текущего инструктажей для работников учреждения, допущенных к обработке персональных данных.

Право субъекта персональных данных на доступ к его персональным данным

  1. Субъект персональных данных имеет право на получение следующих сведений:
    1. Подтверждение факта обработки персональных данных оператором;
    2. Правовые основания и цели обработки персональных данных;
    3. Цели и применяемые оператором способы обработки персональных данных;
    4. Наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
    5. Обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
    6. Сроки обработки персональных данных, в том числе сроки их хранения;
    7. Порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
    8. Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
    9. Иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.
  2. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
  3. Указанные в пункте 1 сведения должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных. 3. Указанные в пункте 1 сведения предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
  4. В случае, если сведения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
  5. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения указанных в п. 1 сведений, а также в целях ознакомления с обрабатываемыми персональными данными до истечения 30 дней, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.
  6. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным п. 4 и 5. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.
  7. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:
    1. Обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
    2. Обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
    3. Обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
    4. Доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
    5. Обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Сфера распространения настоящего положения:

В отношении персональных данных, обрабатываемых «Стоматологический Центр города».

Вернуться на главную

Услуги