ПОЛОЖЕНИЕ О ЗАЩИТЕ И ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Приложение № 1

к приказу

№ 0912-ппд от 09.12.2024

 

ПОЛОЖЕНИЕ

О ЗАЩИТЕ И ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

1. Общие положения

1.1.             Настоящее Положение является внутренним локальным правовым актом ООО «ЦЕНТР ЗРЕНИЯ», являющегося оператором персональных данных, и определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и состав обрабатываемых персональных данных, действия и операции, совершаемые с персональными данными, права субъектов персональных данных, а также содержит сведения о реализуемых технических и организационных мероприятий согласно установленных требований к защите персональных данных.

1.2.             Настоящее Положение разработано в целях:

—                  регламентации порядка осуществления операций с персональными данными;

—                  обеспечения требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и иных правовых актов, регулирующих правоотношения по обработке персональных данных;

—                  закрепления прав и обязанностей лиц, имеющих доступ и являющихся субъектом персональных данных по вопросам обработки персональных данных;

—                  установления механизмов распределения ответственности среди сотрудников (должностных лиц) ООО «ЦЕНТР ЗРЕНИЯ» за организацию и исполнение требований локальных актов, а также требований законодательства Российской Федерации, регулирующего обработку персональных данных.

1.3.             Внутренние локальные нормативные акты и иные документы, регламентирующие обработку персональных данных в ООО «ЦЕНТР ЗРЕНИЯ», в том числе при их обработке в информационных системах, содержащих персональные данные, разрабатываются с учетом требований настоящего Положения.

1.4.             В Положении используются следующие основные термины:

—                  персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);

—                  оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

—                  обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение;

—                  автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

—                  распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

—                  предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

—                  блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

—                  уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

—                  обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

—                  информационная система персональных данных – совокупность содержащихся в информационной базе персональных данных, обеспечивающих их обработку информационными технологиями и техническими средствами;

—                  трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

1.5.             Настоящее Положение вступает в силу в момент его утверждения и действует бессрочно до замены новым внутренним локальным правовым актом аналогичного назначения.

1.6.             Все сотрудники (должностные лица) ООО «ЦЕНТР ЗРЕНИЯ» должны быть ознакомлены с настоящим Положением под роспись.

1.7.             Основные обязанности ООО «ЦЕНТР ЗРЕНИЯ» в сфере обработки персональных данных:

1.7.1.          сотрудники (должностные лица), в обязанности которых входит обработка запросов и обращений субъектов персональных данных, обязаны в пределах полномочий обеспечить каждому субъекту:

—                  возможность ознакомления с документами и материалами, содержащих их персональные данные, если иное не предусмотрено законом, в соответствии с регламентом реагирования на запросы субъектов персональных данных;

—                  не принимать решения, порождающие юридические последствия в отношении субъектов персональных данных или иным образом затрагивающие их права и законные интересы, на основании исключительно автоматизированной обработки.

1.7.2.          соблюдение приоритета прав и законных интересов субъектов персональных данных при внедрении мер и механизмов по обработке и защите персональных данных.

1.8.             Основным инфраструктурным ресурсом (звеном) ООО «ЦЕНТР ЗРЕНИЯ», с помощью которых осуществляются операции по обработке персональных данных, являются информационные системы, представляющие собой:

—                  комплексы автоматизированной обработки персональных данных (позволяющих осуществлять операции с персональными данными в виде файлов, доступ к которым регулируется в соответствии с положениями внутренних локальных правовых актов организации, федеральных, региональных и муниципальных НПА);

—                  документацию на бумажных носителях (доступ, к которым также осуществляется в соответствии с положениями внутренних локальных правовых актов и законодательства Российской Федерации).

 

2. Критерии отнесения информации (сведений) о субъектах к персональным данным, объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

2.1.             Настоящее Положение устанавливает, что к персональным данным субъекта относится любая информация о нем, которая в свою очередь позволяет идентифицировать его.

2.2.             Объем персональных данных, обрабатываемых в ООО «ЦЕНТР ЗРЕНИЯ», определяется в соответствии с законодательством Российской Федерации, локальными нормативными актами и иными учредительными документами медицинской организации.

2.3.             Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в ООО «ЦЕНТР ЗРЕНИЯ» не осуществляется.

2.4.             В ООО «ЦЕНТР ЗРЕНИЯ» обрабатываются персональные данные следующих категорий субъектов:

—                  сотрудников медицинской организации, родственников сотрудников;

—                  физических лиц, ранее состоявших в трудовых отношениях с ООО «ЦЕНТР ЗРЕНИЯ»;

—                  физических лиц, пациентов, в том числе по договорам гражданско-правового характера;

—                  контрагентов – физических лиц, представителей и сотрудников контрагентов (юридических лиц).

 

3. Операции с персональными данными и порядок их осуществления

3.1.             В соответствии с настоящим положением, в ООО «ЦЕНТР ЗРЕНИЯ» осуществляются следующие операции с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), удаление и уничтожение персональных данных.

3.2.             В ООО «ЦЕНТР ЗРЕНИЯ» категорически запрещено требовать и обрабатывать персональные данные, отражающие личные аспекты жизни, религиозные, политические, философские взгляды.

3.3.             Обработка персональных данных осуществляться только на основании письменного согласия субъекта персональных данных за исключением случаев, предусмотренных п.п. 2-11 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

3.4.             Выбор средств и способов передачи персональных данных осуществляется с учетом специфики конкретной информационной системы, а также волеизъявления субъекта персональных данных.

3.5.             Если используется цифровая ИС (предназначенная для автоматизированной обработки персональных данных), то передача данных осуществляется в соответствии с действующим законодательством Российской Федерации.

3.6.             Если используется ИС на основе бумажных носителей, то передача данных осуществляется посредством перемещения или копирования содержимого данных носителей при участии сотрудников (должностных лиц) ООО «ЦЕНТР ЗРЕНИЯ», имеющих доступ к соответствующей ИС.

 

4. Организация доступа к персональным данным

4.1.             Доступ к персональным данным сотрудников (должностных лиц) ООО «ЦЕНТР ЗРЕНИЯ» не требующий подтверждения и не подлежащий ограничению, имеют:

— Руководитель медицинской организации – Директор ООО «ЦЕНТР ЗРЕНИЯ»;

— сотрудники (должностные лица), имеющие доступ на основании утвержденного приказа и приложения;

— субъект персональных данных.

4.2.             Доступ к персональным данным для иных лиц может быть разрешен только в случаях, прямо предусмотренных законодательством Российской Федерации, а также на основании приказов/распоряжений Руководителя медицинской организации.

 

5. Вопросы правового регулирования отношений, связанных с персональными данными и порядок ознакомления работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных

5.1.                 Основные нормативно-правовые акты, регулирующие вопросы обработки персональных данных и их краткое описание их требований.

5.1.1.              Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» — устанавливает основные требования, условия, права и обязанности участников правоотношений, связанных с обработкой персональных данных.

5.1.2.              Указ Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера» – устанавливает перечень сведений конфиденциального характера, к которым отнесены (в том числе) сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность.

5.1.3.              Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» — устанавливает требования к защите персональных данных при их обработке в информационных системах персональных данных.

5.1.4.              Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» — устанавливает требования к защите персональных данных при их обработке без использования средств автоматизации.

5.2.                 Согласно законодательству Российской Федерации под обработкой персональных данных подразумеваются действия по сбору, систематизации, накоплению, хранению, уточнению, использованию, передаче, обезличиванию, блокированию и уничтожению персональных данных.

5.3.                 Законодательство Российской Федерации устанавливает требование в части обработки сведений, составляющих персональные данные:

— обработка осуществляется при наличии согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;

— обработка осуществляется исключительно в объёмах достаточных для достижения цели их обработки.

5.4.                 Внутренние локальные нормативные акты медицинской организации по вопросам обработки персональных данных должны быть доведены до сведения сотрудников и всех категорий субъектов персональных данных.

5.5.                 Для защиты персональных данных от несанкционированного доступа в организации применяются все доступные технические меры, связанные с использованием средств защиты информации.

 

6. Права работников ООО «ЦЕНТР ЗРЕНИЯ» по вопросам обработки их персональных данных

6.1.                 Работник ООО «ЦЕНТР ЗРЕНИЯ», передавший свои персональные данные, имеет право:

—                     на получение доступа к соответствующим данным в любой момент в целях осуществления необходимых операций с ними;

—                     на бесплатное получение копий файлов или бумажных носителей, содержащих персональные данные;

—                     требовать от Оператора дополнительной обработки, блокирования или ликвидации персональных данных, если операции с ними противоречат интересам работника, осуществляются незаконно, а также в случае, если персональные данные недостоверны;

—                     получать от Оператора информацию о лицах, имеющих доступ к персональным данным, а также о статистике обращений к персональным данным с их стороны;

—                     получать от Оператора информацию о дополнительной обработке, блокировании или ликвидации персональных данных, осуществленных по инициативе общества.

 

 

7. Обязанности сотрудников,

имеющих доступ к персональным данным

7.1.                 Лица, указанные в Разделе 4 настоящего Положения, имеющие доступ к персональным данным, обязаны:

—                     осуществлять операции с персональными данными при соблюдении норм, установленных настоящим Положением, а также действующим законодательством Российской Федерации;

—                     информировать Руководителя (ответственное лицо) ООО «ЦЕНТР ЗРЕНИЯ» о нештатных ситуациях, связанных с операциями с персональными данными;

—                     обеспечивать конфиденциальность операций с персональными данными;

—                     обеспечивать сохранность и неизменность персональных данных в случае, если выполняемая задача не предполагает их корректировки или дополнения;

—                     обеспечить возможность ознакомления с документами и материалами, содержащими их персональные данные, если иное не предусмотрено законом Российской Федерации, в соответствии с Регламентом реагирования на запросы/обращения субъектов персональных данных.

7.2.                 Сотрудники ООО «ЦЕНТР ЗРЕНИЯ», имеющие доступ к персональным данным сотрудников предприятия, имеют право:

—                     на приобретение полномочий, необходимых в целях осуществления операций с персональными данными;

—                     на получение консультационной поддержки со стороны руководства и других компетентных сотрудников в части осуществления операций с персональными данными;

—                     на выдачу распоряжений и направление предписаний сотрудникам, передающим персональными данные обществу, связанных с необходимостью предоставления дополнительной или уточняющей информации в целях обеспечения корректного осуществления операций с персональными данными.

 

8. Ответственность сотрудников за нарушения правил осуществления операций с персональными данными

8.1.                 Сотрудники ООО «ЦЕНТР ЗРЕНИЯ» при осуществлении операций с персональными данными несут дисциплинарную, административную, гражданско-правовую, уголовную ответственность за нарушения правил осуществления операций с персональными данными, установленных настоящим Положением, локально нормативными актами медицинской организации, а также нормами действующего законодательства Российской Федерации.

8.2.                 Правовые последствия нарушений правил осуществления операций с персональными данными определяются исходя из локальных норм ООО «ЦЕНТР ЗРЕНИЯ», а также положений законодательства Российской Федерации.

 

9. Внутренний контроль (аудит). Цель внутреннего контроля (аудита).

9.1.                 Внутренний контроль соответствия обработки персональных данных требованиям к защите персональных данных осуществляется с целью проверки соответствия обработки персональных данных требованиям к защите персональных данных, установленных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами оператора.

9.2.                 Внутренний контроль осуществляется на постоянной основе ответственным за обработку персональных данных.

9.3.                 С целью достижения максимального результата проведения внутреннего контроля может быть утверждён соответствующий план (программа) мероприятий.

9.4.                 При проведении внутреннего контроля соответствия обработки персональных данных установленным требованиям обеспечивается полное, объективное и всестороннее изучение следующих вопросов:

1) порядок и условия применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке;

2) порядок и условия применения средств защиты информации;

3) эффективность принимаемых мер по обеспечению безопасности персональных данных;

4) состояние учёта машинных носителей персональных данных;

5) соблюдение правил доступа к персональным данным;

6) наличие (отсутствие) фактов несанкционированного доступа к персональным данным.

9.5.                 Ответственным за организацию обработки персональных данных в ООО «ЦЕНТР ЗРЕНИЯ» является Руководитель медицинской организации, если приказом/распоряжением не установлено иное.