ПОЛОЖЕНИЕ

ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

В ООО «Стоматологическая клиника «Дельфин»

1. Общие положения

1.1. Положение об обработке персональных данных (далее — Положение) определяет условия и порядок обработки персональных данных, которые осуществляет ООО «Стоматологическая клиника «Дельфин» (далее — Оператор).

1.2. Положение разработано во исполнение Политики в отношении обработки персональных данных (далее — Политика) и в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — ФЗ «О персональных данных»), а также следующими нормативными правовыми актами:

— часть вторая Гражданского Кодекса Российской Федерации от 26 января 1996 г. № 14-ФЗ (далее — часть вторая ГК РФ);

— Трудовой Кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ (далее — ТК РФ);

— часть первая Налогового Кодекса Российской Федерации от 31 июля 1998 г. № 146-ФЗ (далее — часть первая НК РФ);

— Федеральный закон «О бухгалтерском учёте» от 6 декабря 2011 г. № 402-ФЗ (далее — ФЗ «О бухгалтерском учёте»);

— постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

— постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

2. Организация обработки персональных данных

2.1. В целях обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, Оператором назначается ответственный за организацию обработки персональных данных (далее — Ответственный).

2.2. Ответственный обязан:

— обеспечивать утверждение, приведение в действие, а также обновление в случае необходимости Политики, Положения и иных локальных актов по вопросам обработки персональных данных;

— обеспечить неограниченный доступ к Политике, копия которой размещается по адресу нахождения Оператора;

— проводить оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы Оператора;

— ежегодно проводить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения ФЗ «О персональных данных»;

— ежегодно осуществлять внутренний контроль за соблюдением Оператором и его работниками законодательства о персональных данных, Политики, Положения и иных локальных актов по вопросам обработки персональных данных, в том числе требований к защите персональных данных (далее — Нормативные акты);

— доводить до работников под роспись положения Нормативных актов при заключении трудового договора, а также по собственной инициативе;

— осуществлять допуск работников к персональным данным, обрабатываемым в информационной системе Оператора, а также к их материальным носителям только для выполнения трудовых обязанностей;

— организовывать и контролировать приём и обработку обращений и запросов субъектов персональных данных, обеспечивать осуществление их прав;

— обеспечивать взаимодействие с уполномоченным органом по защите прав субъектов персональных данных (далее — Роскомнадзор).

3. Обеспечение безопасности персональных данных

3.1. Основанием для допуска работника к обработке персональных данных является приказ о назначении его на должность, должностная инструкция, предусматривающая обработку персональных данных, обязательство о неразглашении персональных данных.

3.2. До предоставления доступа к обработке персональных данных ответственного за организацию обработки персональных данных в подразделении и уполномоченных работников обеспечивает:

 их ознакомление под подпись с настоящим Порядком; подписание ими обязательства о неразглашении персональных данных.

3.3. При приеме на работу (обращении за медицинской услугой) уполномоченный работник получает у субъекта персональных данных согласие на обработку его персональных данных. В случаях, предусмотренных федеральными законами, когда обработка персональных данных субъекта персональных данных осуществляется только с его согласия, уполномоченный работник получает у субъекта персональных данных согласие на обработку его персональных данных.

3.4. Согласие на обработку персональных данных уполномоченный работник получает у субъекта персональных данных до начала их обработки.

3.5. Согласия на обработку персональных данных работников хранятся в их личных делах, пациентов -  в медицинских картах.

3.6. Получение согласия близких родственников работника на обработку их персональных данных не требуется при заполнении анкет в объеме, предусмотренном унифицированной формой N Т-2, либо в случаях, установленных законодательством Российской Федерации.  В иных случаях получение согласия близких родственников работника является обязательным условием обработки их персональных данных.

3.7.Субъект персональных данных вправе отозвать согласие на обработку персональных данных, направив Оператору отзыв. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, предусмотренных законодательством Российской Федерации.

3.8. Если персональные данные работника / пациента возможно получить только у третьей стороны, то работник должен быть уведомлен об этом и дать письменное согласие на получение персональных данных у третьих лиц.

3.9. Оператор не вправе запрашивать у третьих лиц даже с согласия субъекта персональных данных информацию, не имеющую отношения к целям обработки персональных данных.

3.10. Оператор вправе поручить обработку персональных данных субъектов персональных данных с их согласия другому лицу на основании заключаемого с ним договора.  Договор должен содержать перечень действий (операций) с персональными данными, цели обработки, обязанность лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к защите обрабатываемых персональных данных в соответствии с законодательством Российской Федерации и иными нормативными документами Оператора.

3.11. Если при обращении субъекта персональных данных либо уполномоченного органа по защите прав субъектов персональных данных выявлены неточные персональные данные или неправомерная обработка персональных данных, Оператор обязан осуществить блокирование таких персональных данных с момента обращения на период проверки.

3.12. При подтверждении факта неточности персональных данных Оператор обязан уточнить персональные данные в течение 7 рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

3.13. При выявлении неправомерной обработки персональных данных обязано прекратить их обработку в срок, не превышающий 3 рабочих дней с даты выявления. В случае если обеспечить правомерность обработки персональных данных невозможно, Оператор обязан уничтожить такие персональные данные в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных.

3.14. При обработке персональных данных кандидатов на прием на работу оформляется согласие по форме согласно приложению. При этом для кандидатов, поступающих на работу, действует несколько особых случаев: письменное согласие не требуется, если от имени кандидата действует кадровое агентство, с которым данное лицо заключило соответствующий договор, а также при самостоятельном размещении кандидатом своего резюме в сети Интернет, доступного неограниченному кругу лиц; если резюме кандидата поступило по электронной почте или факсу, уполномоченному работнику необходимо подтвердить факт направления указанного резюме самим кандидатом. Если из резюме невозможно однозначно определить физическое лицо, его направившее, данное резюме подлежит уничтожению в день поступления.

3.15.Обезличивание персональных данных, обрабатываемых в информационных системах Оператора, в случае необходимости осуществляется с учетом Требований и методов по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ, утвержденных приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 5 сентября 2013 г.  N  996. Обязанности лиц, осуществляющих проведение мероприятий по обезличиванию персональных данных, включаются в их должностные инструкции.

3.16. Сроки хранения, комплектования, учета, передачи и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов регламентируются Федеральным законом "Об архивном деле в Российской Федерации", Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения. Перечнем документов, образующихся в деятельности Оператора, Инструкциями по делопроизводству и документированию управленческой деятельности у Оператора, инструкциями по кадровому делопроизводству.

3.17. Безопасность персональных данных обеспечивается реализацией комплекса мер, определенных федеральными законами, указами Президента Российской Федерации, постановлениями Правительства Российской Федерации, приказами ФСТЭК России, ФСБ России, Роскомнадзора, нормативными документами Оператора, в том числе включающих:

1) организацию работы с персональными данными, обеспечивающей сохранность носителей персональных данных и средств защиты информации;

2) размещение информационных систем и специального оборудования в помещениях, исключающих возможность неконтролируемого пребывания в них посторонних лиц;

3) разграничение доступа пользователей и работников, обслуживающих средства вычислительной техники, к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;

4) учет документов, информационных массивов, содержащих персональные данные;

5) регистрацию действий пользователей информационных систем и работников, обслуживающих средства вычислительной техники, в порядке, принятом Оператором;

6) контроль действий и недопущение несанкционированного доступа к персональным данным пользователей информационных систем Оператора, персонала, обслуживающего средства вычислительной техники;

7) хранение и использование материальных носителей, исключающих их хищение, подмену и уничтожение;

8) необходимое резервирование технических средств и дублирование массивов и носителей информации, содержащей персональные данные.

3.18. Для каждой информационной системы Оператора организационные и (или) технические меры определяются с учетом уровней защищенности персональных данных, актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационной системе.

3.19. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях, в специальных разделах или на полях форм (бланков).

3.20. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

1) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;

2) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

3.21. При использовании типовых форм документов, в которые предполагается или допускается включение персональных данных, должны соблюдаться условия, предусмотренные пунктом 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687.

3.22. Уточнение персональных данных производится путем их обновления или изменения на материальном носителе, а если это не допускается особенностями материального носителя - путем изготовления нового материального носителя с уточненными персональными данными.

3.23. При работе с документами, содержащими персональные данные, должны быть приняты меры, исключающие возможность ознакомления с этими документами посторонних лиц, в том числе работников, не уполномоченных на обработку персональных данных.

3.24. Документы, содержащие персональные данные, должны храниться в специальном шкафу или помещении, обеспечивающем защиту от несанкционированного доступа.

3.25. Дела, содержащие персональные данные, должны находиться в рабочих кабинетах или в специально отведенных для их хранения помещениях, располагаться в запираемых шкафах, обеспечивающих их полную сохранность.

3.26. Средства защиты информации, обеспечивающие защиту персональных данных, должны удовлетворять требованиям, утвержденным постановлением Правительства Российской Федерации от 1 ноября 2012 г. N  1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", а также нормативным правовым актам в области обработки и защиты персональных данных Федеральной службы безопасности Российской Федерации и Федеральной службы по техническому и экспортному контролю.

3.27. Автоматизированная обработка персональных данных разрешается только при условии применения средств защиты информации, обеспечивающих нейтрализацию актуальных угроз, определенных частью 5 статьи 19 Федерального закона "О персональных данных".

3.28. Во время эксплуатации средств вычислительной техники, предназначенных для обработки персональных данных, должны быть предусмотрены меры по исключению случаев несанкционированного подключения к внешним информационным системам, внешним информационно-телекоммуникационным сетям, а также несанкционированного доступа к этим средствам при проведении ремонтных, профилактических и других видов работ.

3.29. Обработка персональных данных должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

3.30. Во время перерывов в работе, а также после окончания работы с документами, содержащими персональные данные, необходимо:

убирать документы с поверхности рабочих столов в запирающееся хранилище (сейф, шкаф);

блокировать средство вычислительной техники с помощью защищенной паролем экранной заставки;

принимать необходимые меры по недопущению использования средства вычислительной техники другими работниками и посторонними лицами.

4. Осуществление прав субъектов персональных данных

4.1. При обращении субъекта персональных данных или при получении его запроса (далее — Обращение) Ответственный обеспечивает предоставление субъекту персональных данных информации о наличии относящихся к нему персональных данных, а также возможности ознакомления с этими персональными данными в течение 30 дней с даты Обращения.

4.2. При наличии законных оснований для отказа в предоставлении субъекту персональных данных информации о наличии относящихся к нему персональных данных, а также возможности ознакомления с этими персональными данными Ответственный обеспечивает направление субъекту персональных данных мотивированного ответа в письменной форме, содержащего ссылку на положение ч. 8 ст. 14 ФЗ «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в течение 30 дней с даты Обращения.

4.3. При предоставлении субъектом персональных данных сведений, подтверждающих, что его персональные данные, обрабатываемые Оператором, являются неполными, неточными или неактуальными, Ответственный обеспечивает внесение необходимых изменений в персональные данные в течение 7 рабочих дней с даты Обращения.

4.4. При предоставлении субъектом персональных данных сведений, подтверждающих, что его персональные данные, обрабатываемые Оператором, являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Ответственный обеспечивает уничтожение таких персональных данные в течение 7 рабочих дней с даты Обращения.

4.5. Ответственный обеспечивает уведомление субъекта персональных данных о внесенных в его персональные данные изменениях и предпринятых мерах, а также принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

4.6. В случае отзыва субъектом персональных данных согласия на их обработку она может быть продолжена при наличии оснований, указанных в п. 2—11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 ФЗ «О персональных данных».

4.7. Передача информации третьей стороне возможна только при письменном согласии субъектов персональных данных или без такового, если такая передача предусмотрена действующими законами.

5. Взаимодействие с Роскомнадзором

5.1. По запросу Роскомнадзора Ответственный организует предоставление локальных актов в отношении обработки персональных данных и документов, подтверждающих принятие мер по выполнению требований ФЗ «О персональных данных», в течение 30 дней с даты получения запроса.

5.2. По требованию Роскомнадзора Ответственный организует уточнение, блокирование или уничтожение недостоверных или полученных незаконным путем персональных данных в течение 30 дней с даты получения требования.

5.3. В случаях, предусмотренных ст. 22 ФЗ «О персональных данных», Ответственный направляет в Роскомнадзор уведомление о намерении осуществлять обработку персональных данных.

5.4. В случае необходимости Ответственный направляет в Роскомнадзор обращения по вопросам обработки персональных данных, осуществляемой Оператором.

6. Ответственность за нарушение порядка обработки и обеспечения

безопасности персональных данных

6.1. В случае нарушения работником положений законодательства в области персональных данных он может быть привлечён к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном ТК РФ и иными федеральными законами, в соответствии с ч. 1 ст. 24 ФЗ «О персональных данных» и ст. 90 ТК РФ.

6.2. В случае разглашения работником персональных данных, ставших ему известными в связи с исполнением его трудовых обязанностей, трудовой договор с ним может быть расторгнут в соответствии с пп. «в» п. 6 ст. 81 ТК РФ.

6.3 Директор Организации за нарушение норм, регулирующих получение, обработку и защиту персональных данных, несет административную ответственность согласно ст. 5.27 и 5.39 Кодекса об административных правонарушениях Российской Федерации, а также возмещает субъекту ущерб, причиненный неправомерным использованием информации, содержащей персональные данные субъекта.

 

 

 

Приложение 1

к Положению об обработке

персональных данных

 

Разъяснение юридических последствий отказа

предоставить персональные данные

Мне, ___________________________________________________________________,

в соответствии с ч. 2 ст. 18 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» разъяснены юридические последствия моего отказа предоставить свои персональные данные в ООО «Стоматологическая клиника «Дельфин».

 

Я предупрежден(а), что без предоставления моих персональных данных в ООО «Стоматологическая клиника «Дельфин», обязательных для заключения трудового договора согласно ст. 57 и 65 Трудового кодекса Российской Федерации, трудовой договор не может быть заключен.

 

Мне известно, что на основании п. 11 ч. 1 ст. 77 Трудового кодекса Российской Федерации трудовой договор прекращается вследствие нарушения установленных обязательных правил его заключения, если это нарушение исключает возможность продолжения работы.

 

    "___"___________20__г.      _________/______________________

______________________________________________________________________

Приложение 2

к Положению об обработке

персональных данных

 

ОБЯЗАТЕЛЬСТВО

о неразглашении персональных данных

Я,___________________________________________________________________

(Ф.И.О.)

___________________________________________________________________

(должность, наименование структурного подразделения)

__________________________________________________________________,

ознакомлен(а) с Порядком обработки и обеспечения режима защиты персональных данных ООО «Стоматологическая клиника «Дельфин» и проинформирован(а) об обработке мною персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки.

Я обязуюсь:

не разглашать третьим лицам ставшие мне известными в процессе выполнения должностных обязанностей персональные данные субъектов персональных данных;

незамедлительно сообщать своему непосредственному руководителю в случае попытки третьих лиц получить от меня персональные данные субъектов персональных данных.

Я предупрежден(а) об ответственности в соответствии с законодательством Российской Федерации и нормативными документами  ООО «Стоматологическая клиника «Дельфин» за умышленное или неосторожное разглашение персональных данных субъектов персональных данных.

 

    "___"___________20__г.      _________/______________________