г. Челябинск ул. Энгельса, 44 Д 4 этаж

ПОЛОЖЕНИЕ 

ПОЛИТИКИ БЕЗОПАСНОСТИ 

I.ОБЩИЕ ПОЛОЖЕНИЯ 

1.1. Настоящий документ ( далее Политика) определяет политику ООО МП «Санта» (далее Учреждение) в отношении обработки персональных данных, определяет цели, порядок их обработки, а также содержит сведения о реализуемых требованиях к защите персональных данных. 

1.2. Политика учреждения разработана на основании Конституции Российской Федерации, Трудового Кодекса Российской Федерации, Федерального Закона от 27.07.2006 г. № 152 – ФЗ «О персональных данных», Федерального Закона от 27.07.2006 г. № 149 – ФЗ « Об информации, информационных технологиях и о защите информации», требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных Постановлением Правительства Российской Федерации от 01.11.2012 г. № 1119 и других нормативно – правовых актов в области защиты персональных данных. 

1.3. Настоящей Политикой  определяется порядок обращения с персональными данными субъектов, которые обращаются в учреждение или присылаются из других медицинских организаций, и персональными данными работников учреждения. 

1.4. Целью настоящей политики является защита интересов учреждения, его пациентов, работников, субъектов персональных данных из других медицинских организаций по Челябинской области, а также выполнение законодательства Российской Федерации в области обеспечения безопасности персональных данных. 

 ИНФОРМАЦИЯ ОБ ОПЕРАТОРЕ

Наименование: Общество с ограниченной ответственностью Медицинское Предприятие «Санта» 

ИНН 7451106299 

КПП 745301001 

ОГРН 1027402897279 

Юридический адрес: 454080, г. Челябинск, ул. Энгельса, 44 «Д» 

Адрес фактического местонахождения: 454080, г. Челябинск, ул. Энгельса, 44 «Д» 

Контактный телефон: 210 – 00 – 31.

III. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ 

3.1.Информационная система персональных данных «Бухгалтерия и кадры»: статья 86 Трудового Кодекса Российской Федерации от 30.12.2001 года № 197 – ФЗ; статья 6 Федерального закона от 27.07.2006 г. № 152 – ФЗ «О персональных данных»; п.п. 6, 9, 27, 28 Постановления Правительства Российской Федерации от 27.11.2006 г. № 719 «Об утверждении Положения о воинском учёте». 

3.2.Информационная система персональных данных «Медицинская информационная система» ст. 6,10, Федерального Закона от 27.07.2006 г. № 152 – ФЗ «О персональных данных»; ст.13 Федерального Закона от 21.11.2011 г. № 323 – ФЗ «Об основах охраны здоровья граждан Российской Федерации», глава IV Постановления Правительства Российской Федерации от 04.10.2012 г. № 1006 «Об утверждении Правил предоставления медицинскими организациями платных медицинских услуг». 

 ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1.Информационная система персональных данных «Медицинская информационная система»: установление медицинского диагноза, оказание медицинских услуг. 

4.2.Информационная система персональных данных «Бухгалтерия и кадры»: обеспечение соблюдения законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, получение образования и продвижении по службе, обеспечение личной безопасности работников, контроль качества и качество выполняемой работы и обеспечение сохранности имущества. 

4.3.Учреждение прекращает обработку персональных данных в следующих случаях: 

  • при выявлении неправомерной обработки персональных данных, осуществляемой Учреждением. 
  • при передаче персональных данных в архив (Хранение документов в архиве организовано согласно Федерального Закона  № 125 – ФЗ «Об архивном деле в Российской Федерации». 
  • при прекращении деятельности Учреждения. 
  • при ликвидации информационной системы персональных данных. 
  • при окончании срока хранения и обработки персональных данных. 

 V.КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, ИСТОЧНИКИ ПОЛУЧЕНИЯ

5.1. В информационной системе персональных данных «Бухгалтерия и кадры» обрабатываются персональные данные сотрудников, состоящие в трудовых отношениях с Учреждением. Источники получения: сотрудники учреждения. 

5.2.В информационной системе персональных данных «Медицинская информационная система» обрабатываются персональные данные физических лиц (пациентов). Источник получения: пациенты Учреждения. 

 ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Учреждение в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в статье 5 Федерального Закона 152 – ФЗ «О персональных данных». 

Обработка персональных данных Учреждением осуществляется на основе следующих принципов: 

6.1. Обработка персональных данных Учреждением осуществляется на законной и справедливой основе. 

6.2. Обработка персональных данных ограничивается достижением конкретных, заранее определённых и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. 

6.3.Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой. 

6.4.Обработке подлежат только те персональные данные, которые отвечают целям их обработки. 

6.5.Содержание и объём обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки. 

6.6.При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. 

Учреждение должно принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных. 

6.7.Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. 

VIIСВЕДЕНИЯ О ТРЕТЬИХ ЛИЦАХ, УЧАСТВУЮЩИХ

В ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ 

7.1. В целях соблюдения законодательства РФ, для достижения целей обработки персональных данных Учреждение в ходе своей деятельности предоставляет персональные данные, согласно основаниям обработки персональных данных. 

  • Информационная система персональных данных «Медицинская информационная система»: сервер медицинской информационной системы «Медик Плюс». 
  • Информационная система персональных данных «Бухгалтерия и кадры»: федеральная налоговая служба, пенсионный фонд Российской Федерации, военный комиссариат, Сбербанк. 

7.2.Передача осуществляется с использованием криптографических средств защиты информации, сертифицированных ФСБ России. 

7.3. Передача персональных данных по запросу полиции осуществляется согласно статьи 13 части 1 пункта 4 Федерального Закона «О полиции» от 07.02.2011 № 3 – ФЗ. 

VIII. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ

ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ 

8.1. Учреждение при обработке персональных данных обязано принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения.блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. 

8.2.Меры по обеспечению защиты, выявлению и предотвращению нарушений в процессе обработки персональных данных: 

а) определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных; 

б) применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных; 

в) оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных; 

г) учет машинных носителей персональных данных; 

д) обнаружение фактов несанкционированного доступа к персональным данным и принятие мер; 

е) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; 

ж) установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных; 

з) контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных; 

е) применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.  

 ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

В соответствии с Федеральным Законом от 27.07.2006 г. № 152 – ФЗ «О персональных данных» субъект персональных данных имеет право: 

9.1. Субъект персональных данных вправе требовать от Учреждения уточнение его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. 

9.2.Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:  

а) подтверждение факта обработки персональных данных; 

б) правовые основания и цели обработки персональных данных; 

в) цели и применяемые Учреждением способы обработки персональных данных; 

г) наименование и место нахождения Учреждения, сведения о лицах, которые имеют доступ к персональным данным или которые могут быть раскрыты персональные данные на основании договора с Учреждением или на основании федерального законодательства; 

е) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством; 

ж) сроки обработки персональных данных, в том числе сроки их хранения; 

з) порядок осуществления субъектом персональных данных прав, предусмотренных законодательством; 

и) информацию о трансграничной передаче данных; 

к) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных. 

9.3.Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами. 

9.4. Сведения, указанные в пункте 9.2, должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных. 

9.5. Если субъект персональных данных считает, что Учреждение осуществляет обработку его персональных данных с нарушением требований обработки персональных данных или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Учреждения в уполномоченный орган по защите прав субъектов персональных данных. 

9.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке. 

 КОНТАКТНАЯ ИНФОРМАЦИЯ

10.1. Ответственным за организацию обработки и обеспечение безопасности персональных данных в Учреждении является заместитель директора по работе с персоналом. 

10.2. Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального Закона от 27.07.2006 № 152 – ФЗ «О персональных данных», является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Телефон справочно – информационного центра: + 7 (495) 987 – 68 – 00.

 ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

11.1. Настоящая политика разработана и утверждается директором Учреждения. 

11.2. Учреждение имеет право вносить изменения в настоящую Политику. 

11.3.При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее утверждения. 

11.4.Настоящая политика обязательна для соблюдения и ознакомления всеми сотрудниками Учреждения.