slide-1 slide-4

Политика

в области обеспечения безопасности персональных данных пациентов

 ООО «Новодвинский Медицинский Центр»

 

            I. Общие положения

 

1.1. Политика в области обеспечения безопасности персональных данных в ООО «Новодвинский Медицинский Центр» (далее – Политика, Общество) определяет основные принципы, цели, условия и способы обработки  персональных    данных,    перечни   субъектов   и  обрабатываемых в Обществе персональных данных, функции Общества при обработке персональных данных, права субъектов персональных данных, а также реализуемые требования к защите персональных данных.

1.2.Политика разработана в соответствии со следующими нормативными правовыми актами в области обработки и обеспечения безопасности персональных данных:

1) Конституция РФ

2) Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»

3) Федеральный закон от 27 июля 2010 г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»

4) Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

 5)  Постанволение Правительства РФ от 21.03. 2017г. № 211 «Об утверждении перечня мер, направленных на обеспечение «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»

 6) Постановление Правительства РФ от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

7) иные нормативные правовые акты в области обработки и обеспечения безопасности персональных данных, а также руководящие документы Федеральной службы по техническому и экспортному контролю и Федеральной службы безопасности Российской Федерации.

1.3. В целях реализации положений Политики Общества разработаны соответствующие документы:

1) Положение о защите персональных данных пациентов.

2) Приказ о назначении ответственных должностных лиц при работе с персональными данными.

3) Политика формирования паролей и прав доступа к информационным ресурсам.

4) Иные локальные нормативные акты и документы, регламентирующие вопросы обработки персональных данных.

1.4. В настоящей Политике используются следующие основные понятия:

- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

- блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

- информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

- оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

- персональные данные (далее – ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

- предоставление ПДн - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

- распространение ПДн - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

- средства криптографической защиты информации - совокупность программных и технических средств, реализующих криптографические преобразования с исходной информацией и функцию выработки и проверки электронной цифровой подписи;

- трансграничная передача ПДн - передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

- уничтожение ПДн - действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители ПДн.

 

            II. Принципы и цели обработки персональных данных

 

2.1.Обработка ПДн в Обществе осуществляется с учетом необходимости обеспечения защиты прав и свобод работников и пациентов Общества и других субъектов ПДн, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:

1) Обработка ПДн осуществляется на законной и справедливой основе.

2) Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей.

3) Не допускается обработка ПДн, несовместимая с целями сбора Пдн.

4) Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.

5) Обработке подлежат только ПДн, которые отвечают целям их обработки.

6) Содержание и объем обрабатываемых ПДн соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых ПДн по отношению к заявленным целям их обработки.

7) При обработке ПДн обеспечиваются точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн Общества принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных или неточных ПДн;

8) Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем того требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;

9) Обрабатываемые ПДн уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

2.2. ПДн обрабатываются Обществом в целях:

1) Обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных и нормативных актов .

2)Осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Общество в том числе по предоставлению ПДн в органы государственной власти, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы.

3) Защиты жизни, здоровья или иных жизненно важных интересов субъектов ПДн;

4) В иных законных целях.

 

III. Перечень субъектов ПДн

 

3.1. В ООО «Новодвинский Медицинский Центр» обрабатываются ПДн следующих категорий субъектов:

1) Пациенты Общества.

2) Другие субъекты ПДн.

 

IV. Права субъектов ПДн

 

4.1. Субъекты ПДн имеют право на:

1) Получение сведений об обработке его персональных данных в Обществе.

2) Доступ к своим ПДн, включая право на получение копии любой записи, содержащей их ПДн, за исключением случаев, предусмотренных федеральным законом, а также доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору.

3) Уточнение своих ПДн, их блокирование или уничтожение в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

4) Отзыв согласия на обработку Пдн.

5) Принятие предусмотренных законом мер по защите своих прав.

6) Обжалование действия или бездействия Общества, осуществляемого с нарушением требований законодательства РФ в области обеспечения безопасности ПДн, в уполномоченный орган по защите прав субъектов ПДн или в суд;

7) Осуществление иных прав, предусмотренных законодательством Российской Федерации.

 

V. Перечень ПДн, обрабатываемых в ООО «Новодвинский Медицинский Центр» и подлежащих защите

 

5.1. Перечень  ПДн,  обрабатываемых  в   ООО «Новодвинский Медицинский Центр», определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами Общества с учетом целей обработки ПДн, указанных в пункте 2 раздела I Политики.

5.2. Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в Обществе не осуществляется.

5.3. В ИСПДн  защите  подлежит   любая   информация,   относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПДн), в том числе:

1) Фамилия, имя, отчество.

2) Год рождения;

3) Месяц рождения;

4) Дата рождения;

5) Адрес;

6) Профессия;

7) Контактный номер;

8) Сведения о документе, удостоверяющем личность;

9) Реквизиты ИНН, СНИЛС;

10) Состояние здоровья.

Фамилия, имя и отчество не являются информацией, позволяющей определить субъекта ПДн.

 

VI. Функции ООО «Новодвинский Медицинский Центр» при осуществлении обработки ПДн

6.1. Общество при осуществлении обработки ПДн:

1) Принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации и локальных нормативных актов Обществав области обеспечения безопасности Пдн.

2) Принимает правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении Пдн.

3) Издает локальные нормативные акты, определяющие политику и вопросы обработки и защиты ПДн в Обществе.

4) Публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике.

5) Прекращает обработку и уничтожает ПДн в случаях, предусмотренных законодательством Российской Федерации в области Пдн.

6) Совершает иные действия, предусмотренные законодательством Российской Федерации в области ПДн.

 

VII. Лица, ответственные за обеспечение безопасности ПДн

 

7.1. В Обществе производится назначение следующих ответственных лиц:

1)  На директора Общества возлагается:

- утверждение списка лиц, доступ которых к ПДн необходим для выполнения служебных (трудовых) обязанностей, а также изменений к нему;

- принятие решения о распространении (передаче) ПДн;

- проведение разбирательств по фактам несоблюдения условий хранения носителей ПДн, использования средств защиты информации, которые могут привести к нарушению конфиденциальности ПДн или другим нарушениям, приводящим к снижению уровня защищенности ПДн.

- утверждение пользователей криптосредств. 

2) На ответственного за предоставление паролей и прав к информационным ресурсам Общества возлагается:

- приостановка предоставления ПДн пользователям информационной системы при обнаружении нарушений порядка предоставления ПДн;

- руководство работами по обеспечению безопасности ПДн при их обработке в ИСПДн;

- организация парольной защиты;

- организация учета средств защиты информации, эксплуатационной и технической документации к ним;

- администрирование средств и систем защиты ПДн в ИСПДн, включая средства антивирусной защиты (за исключением средств криптографической защиты информации);

- учет лиц, допущенных к работе с ПДн в ИСПДн;

- учет носителей ПДн, используемых в ИСПДн (как с использованием средств автоматизации, так и без их использования);

- периодическая (не реже одного раза в квартал) проверка электронного журнала обращений пользователей информационных систем к ПДн;

- инструктаж пользователей ИСПДн о порядке и правилах использования средств защиты информации, включая средства антивирусной защиты;

- контроль за соблюдением условий использования средств защиты информации (за исключением средств криптографической защиты информации).

- контроль за действиями пользователей системы при работе с паролями, соблюдением порядка их смены, хранения и использования.

- антивирусный контроль.

-проведение мероприятий антивирусного контроля и выполнение требований по антивирусной защите.

 

          

 

            VIII. Учет лиц, допущенных к работе с ПДн в ИСПДн

 

8.1. Лица, допущенные к работе с ПДн в ИСПДн , утверждаются приказом директора  Общества».

8.2. Основанием для прекращения допуска сотрудника к ПДн, обрабатываемым в ИСПДн, может служить приказ об его увольнении (переводе на другую должность, не требующую работы с ПДн).

8.3. Общество вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, цели обработки, обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также требования к защите обрабатываемых ПДн  в соответствии со статьей 19 Федерального закона «О персональных данных».

8.4. Основанием для прекращения допуска других лиц к ПДн, обрабатываемым в ИСПДн, может служить окончание срока договора или его расторжение.

 

IX. Условия обработки ПДн в ООО «Новодвинский Медицинский Центр»

 

9.1. Обработка ПДн в Обществе  осуществляется с согласия субъекта ПДн на обработку его ПДн, если иное не предусмотрено законодательством Российской Федерации в области ПДн.

9.2. Общество без согласия субъекта ПДн не раскрывает третьим лицам и не распространяет ПДн, если иное не предусмотрено федеральным законом.

9.3. В целях внутреннего информационного обеспечения Общество может создавать внутренние справочные материалы, в которые с письменного согласия субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации, могут включаться его фамилия, имя, отчество, место работы, должность, год и место рождения, адрес, абонентский номер, адрес электронной почты, иные ПДн, сообщаемые субъектом ПДн.

9.4. Доступа к ПДн, обрабатываемым ООО «Новодвинский Медицинский Центр», разрешается только работникам Общества, выполняющих служебные обязанности.

 

            X. Перечень действий с ПДн и способы их обработки

 

10.1. Общество осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение ПДн.

10.2. Обработка ПДн Обществом осуществляется следующими способами:

1) Неавтоматизированная обработка Пдн.

2) Автоматизированная обработка ПДн с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой.

 

            XI. Порядок предоставления ПДн

 

11.1. Распространение ПДн - действия, направленные на передачу ПДн определенному кругу лиц.

11.2. ПДн могут быть распространены только на основании решения субъекта ПДн.

11.3. До передачи любых ПДн за Общества от каждого субъекта ПДн должно быть получено письменное согласие на распространение его ПДн, оформленное в соответствии с требованиями статьи 9 Федерального закона Российской Федерации № 152-ФЗ от 27 июля 2006 г. «О персональных данных», в каждом конкретном случае.

11.4. В случае смерти субъекта ПДн согласие на обработку его ПДн дают в письменной форме наследники субъекта ПДн, если такое согласие не было дано субъектом ПДн при его жизни.

11.5. Решение  на  предоставление  ПДн  принимается  ответственным за организацию обработки ПДн.

11.6. ПДн, обрабатываемые в ИСПДн, могут быть предоставлены органам власти и органам местного самоуправления без согласия субъекта ПДн, если данные действия осуществляются в соответствии с федеральными законами Российской Федерации в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны  страны    и    безопасности   государства. При   этом   решение   на распространение ПДн должно содержать ссылку на соответствующую статью федерального закона Российской Федерации.

 

XII. Порядок приостановки предоставления ПДн в случае обнаружения нарушений порядка их предоставления и порядок разбирательств по фактам, которые могут привести к нарушению конфиденциальности ПДн или другим нарушениям

 

12.1. При обнаружении нарушений порядка предоставления ПДн предоставление ПДн пользователям информационной системы незамедлительно приостанавливается до выявления причин нарушений и устранения этих причин.

12.2. Принятие решения на приостановку обработки ПДн принимается ответственным за организацию обработки ПДн.

12.3. Основаниями для приостановки обработки ПДн в ИСПДн и проведения разбирательства являются:

1) Выявление недостоверных ПДн в ИСПДн.

2) Предоставление ПДн в нарушение установленных правил.

3) Допуск к ИСПДн лица, не имеющего на то разрешения.

4) Утрата носителя Пдн.

5) Нарушение правил хранения носителей Пдн.

6) Нарушение правил эксплуатации средств защиты информации.

7) Нарушение правил парольной защиты.

8) Нарушение правил антивирусной защиты.

9) Нарушение правил резервирования и восстановления общего и специального программного обеспечения, а также баз Пдн.

10) Выявление в ИСПДн вредоносных программ (вирусов).

11) Выявление в электронных журналах средств защиты информации несанкционированных действий пользователей, нарушающих безопасность ПДн или целостность (неизменность) программного обеспечения ИСПДн.

12) Выявление несанкционированного внесения изменений в состав технических средств и (или) программного обеспечения ИСПДн.

12.4. Разбирательство проводится структурным подразделением или должностным лицом (работником), ответственным за обеспечение безопасности ПДн с обязательным привлечением руководителя структурного подразделения, осуществляющего эксплуатацию ИСПДн.

12.5. В ходе разбирательства составляется заключение, в котором отражается:

1) Состав группы, проводившей разбирательство.

2) Период времени, в который проводилось разбирательство.

3) Основание для проведения разбирательства.

4) Факты, выявленные в ходе разбирательства и имеющие значение в определении наличия нарушений конфиденциальности ПДн или нарушений правил использования средств защиты информации, а также иные факты, которые  могут  привести  к   нарушению   конфиденциальности   ПДн   или к снижению уровня защищенности Пдн.

5) Вывод о значимости нарушений, их причинах и виновных, допустивших данные нарушения.

6) Рекомендации по совершенствованию обеспечения безопасности ПДн, исключающие в дальнейшем подобные нарушения.

12.6. Заключение представляется ответственному за организацию обработки ПДн, который принимает решение на возобновление обработки ПДн и принятие дополнительных мер защиты.

 

            XIII. Организация резервирования и восстановления программного обеспечения, баз ПДн, ИСПДн

 

13.1. В ИСПДн резервированию подлежат:

1) Базы Пдн.

2) Специальное программное обеспечение.

3) Средства защиты информации.

4) Общее программное обеспечение.

5) Средства вычислительной техники.

6) Средства обеспечения функционирования информационных систем.

13.2. Резервные носители ПДн хранятся в подразделении, эксплуатирующем ИСПДн.

13.3. Резервные носители ПДн не могут быть переданы за пределы подразделения, эксплуатирующего ИСПДн.

13.4. Копирование информации с резервных носителей ПДн, за исключением случая восстановления работоспособности ИСПДн, запрещается.

13.5. Резервирование общего и прикладного программного обеспечения, а также программного обеспечения средств защиты информации обеспечивается путем хранения машинных носителей дистрибутивов данных программ и машинных носителей обновлений к ним в подразделениях, отвечающих за их установку, настройку и сопровождение.

13.6. В случаях сбоев, отказов и аварий технических средств и систем ИСПДн, а также ее программного обеспечения осуществляется обязательное восстановление работоспособности ИСПДн.

 

            XIV. Организация парольной защиты в ИСПДн

 

14.1. Защите паролем подлежит доступ к:

1) Базовым системам ввода-вывода компьютеров.

2) Настройкам сетевого оборудования.

3) Настройкам операционных систем.

4) Настройкам средств защиты информации (в том числе средств антивирусной защиты).

5) Запуску специализированного программного обеспечения, предназначенного для обработки Пдн.

6) Ресурсам АРМ и баз данных ИСПДн.

14.2. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действий паролей определяется Политикой формирования паролей и прав доступа к информационным ресурсам Общества.

 

            XV. Антивирусная защита в ИСПДн

 

15.1. Антивирусная защита в ИСПДн определяется согласно Инструкции по организации антивирусной защиты Общества.

 

            XVI. Порядок взаимодействия по вопросам обеспечения безопасности ПДн

 

16.1. Взаимодействие по вопросам обеспечения безопасности ПДн может осуществляться с:

1) Териториальным фондом ОМС Архангельской области, страховыми медицинскими организациями.

2) Организациями, оказывающими услуги по обеспечению безопасности Пдн.

16.2. Взаимодействие по вопросам обеспечения безопасности ПДн с ООО «Новодвинский Медицинский Центр» осуществляется в части методического обеспечения и контроля, а также в целях определения единой стратегии и технической политики в области обеспечения безопасности ПДн. Методическое обеспечение в части методов и способов защиты информации в информационных системах осуществляется Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий.

16.3. Взаимодействие с организациями, оказывающими услуги по обеспечению безопасности ПДн, осуществляется на договорной основе. Такие организации в обязательном порядке должны иметь лицензию Федеральной службы по техническому и экспортному контролю на деятельность по технической защите конфиденциальной информации, а в случае оказания ими услуг в области криптографической защиты информации – лицензии Федеральной службы безопасности Российской Федерации.

16.4. Существенным условием договора с организацией, оказывающей услуги по обеспечению безопасности ПДн, является требование соблюдения конфиденциальности сведений о степени защищенности ИСПДн (внедренных методах и способах защиты и их эффективности).

 

            ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

 

            Настоящая Политика может быть пересмотрена в результате изменений нормативных актов, регулирующих защиту персональных данных и деятельность Общества.

Яндекс.Метрика

Новодвинский Медицинский Центр

оказание платных медицинских услуг

добавить на Яндекс