Политика общества с ограниченной ответственностью Лаборатория «СанаТест» в отношении обработки персональных данных
Настоящий документ разработан в соответствии с Федеральным законом «О персональных данных» № 152-ФЗ от 27 июля 2006 года и определяет политику ООО Лаборатории «СанаТест» (далее – Лаборатория, оператор) в отношении обработки персональных данных.
Лаборатория является оператором персональных данных, самостоятельно или совместно с другими лицами организующим и осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными, а также обеспечивает защиту прав и свобод субъектов при обработке их персональных данных и принимает меры для выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
1. Основные понятия.
1.1. Основные понятия, используемые в Политике:
— персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
— оператор персональных данных (оператор) — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
— обработка персональных данных–любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
— автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
— распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
— предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
— блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
— уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
— обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
— информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
— трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2. Категории субъектов, персональные данные которых обрабатываются в Лаборатории.
2.1. Лаборатория обрабатывает персональные данные следующих категорий субъектов персональных данных:
2.1.1. Работники Лаборатории (в рамках трудовых отношений).
2.1.2. Уволенные работники.
2.1.3. Члены семьи работника (в случаях, предусмотренных законодательством).
2.1.4. Лица, обратившиеся в Лабораторию за получением медицинских услуг.
2.1.5. Лица, обработка персональных данных которых осуществляется в целях исполнения гражданско-правовых договоров, заключаемых Лабораторией.
2.1.6. Граждане, обратившиеся в Лабораторию в соответствии с Федеральным законом «О порядке рассмотрения обращений граждан Российской Федерации» от 02.05.2006 г. № 59-ФЗ.
2.1.7. Пользователи сайта Лаборатории в сети «Интернет».
2.2. Перечень обрабатываемых персональных данных устанавливается отдельным локальным актом о защите персональных данных.
2.3. Обработка персональных данных может осуществляться Лабораторией без согласия их субъектов в следующих случаях:
— обработка персональных данных осуществляется для достижений целей, предусмотренных международным договором Российской Федерации или законом для осуществления возложенных на Лабораторию функций, полномочий и обязанностей,
— обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну.
3. Основания и цели обработки персональных данных.
3.1. Лаборатория осуществляет обработку персональных данных в соответствии с требованиями следующих нормативных правовых актов:
— Конституции Российской Федерации (принята всенародным голосованием 12 декабря 1993 года);
— Гражданского кодекса Российской Федерации от 30 ноября 1994 года № 51-ФЗ;
— Трудового кодекса Российской Федерации от 30 декабря 2001 года № 197-ФЗ;
— Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
— Федерального закона от 21 ноября 2011 года № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
— Федерального закона от 29 ноября 2010 года № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации».
3.2. Обработка персональных данных граждан (их законных представителей) необходима для осуществления Лабораторией деятельности в сфере охраны здоровья и осуществляется исключительно в целях:
— соблюдения законов и иных нормативных правовых актов;
— защиты законных прав и интересов граждан при оказании им медицинских услуг (медицинской помощи);
— оказания медицинских услуг;
— соблюдения трудового законодательства.
4. Общие принципы обработки персональных данных.
4.1. Обработка персональных данных в Лаборатории осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом «О персональных данных», и учитывает необходимость обеспечения защиты прав и свобод субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личной и семейной тайны, а именно:
— законности заранее определенных конкретных целей и способов обработки персональных данных;
— соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
— соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
— достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
— обеспечения надлежащей защиты персональных данных;
— недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
— хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
— уничтожения по достижении целей обработки персональных данных, если срок хранения персональных данных не установлен законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
— обеспечения конфиденциальности обрабатываемых персональных данных.
4.2. Обработка персональных данных субъектов персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации.
4.3. К обработке персональных данных допускаются только те работники Лаборатории, доступ которых к персональным данным необходим для исполнения ими служебных (трудовых) обязанностей. Указанные работники имеют право получать только те персональные данные и в том объеме, которые необходимы им для выполнения своих служебных (трудовых) обязанностей.
4.4. Работники Лаборатории, допущенные к обработке персональных данных, информируются об условиях и правилах обработки персональных данных, режимах защиты информационных систем персональных данных, порядке хранения материальных носителей персональных данных.
4.5. Обработка персональных данных в Лаборатории осуществляется с использованием средств автоматизации и без использования средств автоматизации.
5. Права и обязанности субъекта персональных данных и оператора.
5.1. Субъект персональных данных обязан:
— предоставить достоверные персональные данные, необходимые для исполнения договора, оказания услуги, идентификации субъекта персональных данных, а также в иных случаях, предусмотренных Федеральным законодательством Российской Федерации.
5.2. Субъект персональных данных имеет право:
— получать информацию, касающуюся обработки его персональных данных, в порядке, форме и сроки, установленные Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
— требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
— отозвать свое согласие на обработку персональных данных;
— обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных.
5.3. Оператор обязан:
— принимать необходимые меры для выполнения обязанностей оператора, предусмотренных законодательством Российской Федерации в сфере обработки и защиты персональных данных;
— разъяснять субъекту персональных данных юридические последствия отказа предоставить персональные данные, если это является обязательным в соответствии с законодательством Российской Федерации;
— осуществлять блокирование неправомерно обрабатываемых персональных данных;
— осуществлять прекращение обработки персональных данных в соответствии с законодательством Российской Федерации;
— уведомлять субъекта персональных данных об устранении допущенных нарушений или уничтожении его персональных данных;
— предоставлять по просьбе субъекта персональных данных или его представителя информацию, касающуюся обработки его персональных данных, в порядке, установленном законодательством Российской Федерации и нормативными правовыми актами.
— осуществлять хранение персональных данных на базах данных, находящихся на территории Российской Федерации.
5.4. Оператор имеет право:
— требовать от субъекта персональных данных предоставления достоверных персональных данных, необходимых для исполнения договора, оказания услуги, идентификации субъекта персональных данных, а также в иных случаях, предусмотренных законодательством Российской Федерации;
— обрабатывать персональные данные субъекта, предоставлять персональные данные субъекта третьим лицам без его согласия, если это предусмотрено законодательством Российской Федерации;
— поручать обработку персональных данных другим лицам с согласия субъекта персональных данных;
— отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством.
6. Обеспечение безопасности персональных данных.
6.1. Лаборатория принимает все необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного доступа к ним, обеспечения достаточного уровня их защиты, соблюдения конфиденциальности, целостности и доступности обрабатываемых персональных данных и сохранности материальных носителей сведений, содержащих персональные данные.
6.2. В целях обеспечения безопасности персональных данных Лабораторией выполняются следующие мероприятия:
— назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных,обеспечение безопасности персональных данных в информационных системах;
— определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
— принятие локальных нормативных актов по защите персональных данных;
— утверждение перечня работников, имеющих право доступа к персональным данным и их обработке;
— установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
— ознакомление работников с требованиями федерального законодательства и нормативных документов по обработке и защите персональных данных;
— использование средств защиты персональных данных от несанкционированного доступа к ним (системы разграничения прав доступа к информации, аутентификация пользователя и др.);
— установление парольной защиты при осуществлении доступа пользователей к информационной системе персональных данных;
— предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) с помощью установленного антивирусного пакета;
— соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним: хранение документов – носителей персональных данных в закрытых шкафах, сейфах, исключение визуального доступа к мониторам, установление охранной сигнализации;
— реализация разрешительной системы доступа пользователей к информационным ресурсам, программно-аппаратным средствам обработки и защиты информации;
— учет и хранение материальных носителей персональных данных в условиях, обеспечивающих их сохранность;
— обеспечение раздельного хранения материальных носителей персональных данных, на которых содержатся персональные данные разных категорий граждан или содержатся персональные данные, обработка которых осуществляется в разных целях;
— резервное копирование информации и обеспечение возможности восстановления персональных данных;
— обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
— применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
— применение для уничтожения персональных данных прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации;
— восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
— оценку эффективности принимаемых мер по обеспечению безопасности персональных данных;
— обеспечение контроля за порядком обработки персональных данных и обеспечения их безопасности, поддержания установленного уровня защищенности информационных систем персональных данных.
7. Хранение и уничтожение персональных данных.
7.1. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
7.2. Документы, содержащие персональные данные, могут храниться как на бумажных носителях, так и в электронном виде.
7.3. Бумажные носители информации, содержащей персональные данные, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.
7.4. Персональные данные, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках.Не допускается хранение и размещение документов, содержащих персональные данные, в открытых каталогах (файлообменниках) в информационных системах персональных данных.
7.5. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
7.6. Уничтожение документов (носителей), содержащих персональные данные, производится путем измельчения, разрезания, сжигания, превращения в порошок. Для уничтожения бумажных документов допускается применение шредера.
7.7. Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.
7.8. Уничтожение персональных данных осуществляется комиссионно с составлением акта, подписанного членами комиссии.
8. Заключительные положения.
8.1. Настоящая Политика является общедоступной и размещается в открытом доступе с целью обеспечения возможности ознакомления с ней неограниченного количества лиц.
8.2. За нарушение законодательства о персональных данных лица, допустившие указанные нарушения, несут дисциплинарную, административную, уголовную и гражданско-правовую ответственность.