- Центр Экспертной Эндоскопии, Россия, Симферополь, 60 Лет Октября, 30, литера "Л"
- +7 (978) 095-95-96
- korneev.endoscopy@gmail.com
ПОЛОЖЕНИЕ
(ПОЛИТИКА)
О ЗАЩИТЕ И ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Общие положения
1.1. Настоящее Положение (Политика) является локальным правовым актом Индивидуального предпринимателя Корнеева Алексей Александровича, являющегося оператором персональных данных, и определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и состав обрабатываемых персональных данных, действия и операции, совершаемые с персональными данными, права субъектов персональных данных, а также содержит сведения о реализуемых требованиях к защите персональных данных.
1.2. Настоящее Положение (Политика) разработано в целях:
- регламентации порядка осуществления операций с персональными данными;
- обеспечения требований закона № 152-ФЗ и иных правовых актов, регулирующих правоотношения по обработке персональных данных;
- закрепления прав и обязанностей сотрудников ИП Корнеева А.А. по вопросам обработки персональных данных;
- установления механизмов распределения ответственности среди сотрудников (должностных лиц) ИП Корнеева А.А. за организацию и исполнение требований локальных актов, а также требований законодательства, регулирующего обработку персональных данных.
1.3. Локальные нормативные акты и иные документы, регламентирующие обработку персональных данных у ИП Корнеева А.А., в том числе при их обработке в информационных системах, содержащих персональные данные, разрабатываются с учетом требований настоящего Положения (Политики).
1.4. В Положении (Политике) используются следующие основные термины:
- персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
- оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;
- автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
- распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.5. Настоящее Положение (Политика) вступает в силу в момент его утверждения ИП Корнеевым А.А, и действует бессрочно до замены новым локальным правовым актом аналогичного назначения.
1.6. Основные обязанности ИП Корнеева А.А. в сфере обработки персональных данных:
1.6.1. обеспечение каждому субъекту:
- возможность ознакомления с документами и материалами, содержащими их персональные данные, если иное не предусмотрено законом, в соответствии с регламентом реагирования на запросы субъектов персональных данных.
- не принимать решения, порождающие юридические последствия в отношении субъектов персональных данных или иным образом затрагивающие их права и законные интересы, на основании исключительно автоматизированной обработки.
1.6.2. соблюдение приоритета прав и законных интересов субъектов персональных данных при внедрении мер и механизмов по обработке и защите персональных данных.
1.7. Основным инфраструктурным ресурсом (звеном) ИП Корнеева А.А. с помощью которых осуществляются операции по обработке персональных данных являются информационные системы, представляющие собой:
- комплексы автоматизированной обработки персональных данных (позволяющих осуществлять операции с персональными данными в виде файлов, доступ к которым регулируется в соответствии с положениями локальных правовых актов организации, федеральных, региональных и муниципальных НПА);
- документацию на бумажных носителях (доступ, к которым также осуществляется в соответствии с положениями локальных правовых актов и законодательства РФ).
2. Критерии отнесения информации (сведений) о субъектах к персональным данным, объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
2.1. Настоящее Положение (Политика) устанавливает, что к персональным данным субъекта относится любая информация о нем, в том числе ФИО, дата рождения, адрес регистрации или проживания, семейное положение, образование, уровень доходов, которые в свою очередь позволяют идентифицировать его.
2.2. Объем персональных данных, обрабатываемых ИП Корнеевым А.А., определяется в соответствии с законодательством Российской Федерации, локальными нормативными актами организации.
2.3. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, ИП Корнеевым А.А. не осуществляется.
2.4. ИП Корнеевым А.А. обрабатываются персональные данные следующих категорий субъектов:
- физических лиц, пациентов, в том числе по договорам гражданско-правового характера;
- контрагентов – физических лиц, представителей и сотрудников контрагентов (юридических лиц).
3. Операции с персональными данными и порядок их осуществления
3.1. В соответствии с настоящим положением ИП Корнеевым А.А. осуществляются следующие операции с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), удаление и уничтожение персональных данных.
3.2. Категорически запрещено требовать и обрабатывать персональные данные, отражающие личные аспекты жизни, религиозные, политические, философские взгляды.
3.3. Обработка персональных данных осуществляться только на основании письменного согласия субъекта персональных данных за исключением случаев, предусмотренных п.п. 2-11 ч. 1 ст. 6 закона от 27.07.2006 «О персональных данных» № 152-ФЗ.
3.4. Выбор средств и способов передачи персональных данных осуществляется с учетом специфики конкретной информационной системы, а также волеизъявления субъекта персональных данных.
3.5. Если используется цифровая ИС (предназначенная для автоматизированной обработки персональных данных), то передача данных осуществляется в соответствии с действующим законодательством.
3.6. Если используется ИС на основе бумажных носителей, то передача данных осуществляется посредством перемещения или копирования содержимого данных носителей при участии Корнеева А.А.
4. Организация доступа к персональным данным
4.1. Доступ к персональным данным не требующий подтверждения и не подлежащий ограничению, имеет непосредственно само физическое лицо, зарегистрировавшее ИП Корнеев А.А., а также субъект персональных данных.
4.2. Доступ к персональным данным для иных лиц может быть разрешен только в случаях, прямо предусмотренных законодательством, а также на основании решения ИП Корнеев А.А.
5. Информационные системы (ИС), их характеристика,
объем обрабатываемых персональных
5.1. ИС №1 «Персональные данные физических лиц по договорам гражданско-правового характера; контрагентов – физических лиц и представителей, и работников контрагентов (юридических лиц).»:
Состав и объем персональных данных указанных субъектов определяется в соответствии с внутренними нормативными документами, регламентирующими деятельность по реализации уставных целей, осуществление сделок в соответствии с законодательством Российской Федерации, на основании утвержденных форм документов (договоров/анкет и заявок).
Перечень действий с ПД:
сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), удаление и уничтожение персональных данных.
Цели обработки персональных данных указанных субъектов:
– реализация уставных целей;
– осуществление сделок в соответствии с законодательством Российской Федерации.
Получение и обработка персональных данных должны осуществляться исключительно в указанных целях.
Обрабатываемые в ИС персональные данные относятся к категории общедоступных.
При заключении договоров гражданско-правового характера обрабатываются следующий перечень персональных (анкетных и биографических) данных:
- фамилия, имя, отчество; пол; адрес; место рождения; дата рождения; ИНН; тип документа, удостоверяющего личность; данные документа, удостоверяющего личность; паспортные данные, контактные телефоны.
5.3. ИС №2 «Оказание медицинской помощи»
Состав и объем персональных данных указанных субъектов определяется в соответствии с требованиями действующего законодательства (Федеральный закон "Об основах охраны здоровья граждан в Российской Федерации" от 21.11.2011 N 323-ФЗ).
Перечень действий с ПД:
сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), удаление и уничтожение персональных данных.
Цели обработки персональных данных указанных субъектов:
– реализация прав граждан на медицинскую помощь;
Получение и обработка персональных данных должны осуществляться исключительно в указанных целях.
Обрабатываемые в ИС персональные данные относятся к категории специальных.
Перечень сведений, составляющих ПД:
фамилия, имя, отчество; профессия; адрес проживания; дата рождения; месяц рождения; год рождения; ИНН, паспортные данные, контактные телефоны.
6. Ответственность ИП Корнеева А.А. за нарушения правил осуществления операций с персональными данными
6.1. ИП Корнеев А.А. при осуществлении операций с персональными данными несёт административную, гражданско-правовую, уголовную ответственность за нарушения правил осуществления операций с персональными данными, установленных настоящим Положением (Политикой), а также нормами действующего законодательства.
6.2. Правовые последствия нарушений правил осуществления операций с персональными данными определяются исходя из локальных норм ИП Корнеева А.А., а также положений законодательства РФ.
7. Внутренний контроль (аудит). Цель внутреннего контроля (аудита).
7.1. Внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных осуществляется с целью проверки соответствия обработки персональных данных требованиям к защите персональных данных, установленных №152-ФЗ, принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора.
7.2. Внутренний контроль осуществляется на постоянной основе самим физическим лицом, зарегистрировавшим ИП Корнеев А.А.
7.3. При проведении внутреннего контроля соответствия обработки персональных данных установленным требованиям обеспечивается полное, объективное и всестороннее изучение следующих вопросов:
1) порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке;
2) порядок и условия применения средств защиты информации;
3) эффективность принимаемых мер по обеспечению безопасности персональных данных;
4) состояние учёта машинных носителей персональных данных;
5) соблюдение правил доступа к персональным данным;
6) наличие (отсутствие) фактов несанкционированного доступа к персональным данным.
7.5. Ответственным за организацию обработки персональных данных является ИП Корнеев А.А.
7.6. В качестве одной из мер внутреннего контроля в случаях неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных является проведение внутреннего расследования.