Уголок потребителя

                                                                                                                УТВЕРЖДАЮ

 Директор ООО «ДЕНТОЛИЯ» 

                                                                                                               К.А. Григорян  

                                                                                                               «1» августа 2017г.

П О Л И Т И К А

в области обеспечения безопасности персональных данных, обрабатываемых в информационных системах персональных данных Общества с ограниченной

ответственностью «ДЕНТОЛИЯ»

(разработана в соответствии со ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»)

1. 1.  Общие положения

1.1. Настоящая Политика в области обеспечения безопасности персональных данных, обрабатываемых в информационных системах персональных данных Общества с ограниченной ответственностью «ДЕНТОЛИЯ» (далее - Политика), разработана в соответствии с положениями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Постановления Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

1.2. Настоящей политикой Общество с ограниченной ответственностью «ДЕНТОЛИЯ» (далее - ООО «ДЕНТОЛИЯ») подтверждает, что обработка персональных данных в информационных системах персональных данных, осуществляется в полном соответствии с требованиями законодательства Российской Федерации.

1.3. Настоящая Политика устанавливает правила и процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований, правила рассмотрения запросов субъектов персональных данных или их представителей, а также правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.

1.4. Положения настоящей Политики подлежат исполнению всеми сотрудниками ООО «ДЕНТОЛИЯ», принимающими участие в обработке персональных данных.

1.5. Настоящая Политика может быть изменена, уточнена или дополнена в установленном порядке, в соответствии с требованиями нормативных правовых документов в области обеспечения безопасности персональных данных, действующих в Российской Федерации.

1.6. Обеспечение безопасности персональных данных, законности и справедливости их обработки является одной из приоритетных задач организации.

1.7. Понятия и термины, используемые в настоящей политике, применяются в значениях, установленных федеральным законом.

1. 2.  Информация об операторе

2.1. Организация в соответствии с федеральным законом является оператором, организующим и осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.2. Наименование оператора: Общество с ограниченной ответственностью   «ДЕНТОЛИЯ».

2.3. Адрес местонахождения: г. Екатеринбург, ул. Амундсена 107-412; пер.

Волчанский 14.

2.4. Правовые основания и цели обработки персональных данных:

2.5. Конституция Российской Федерации;

2.6. Трудовой кодекс Российской Федерации;

2.7. Налоговый кодекс Российской Федерации;

2.8. Федеральный закон от 01 апреля 1996 года № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования».

2.9. Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» и принятые в соответствии с ним нормативные правовые акты Российской Федерации.

2.10.                 Федеральный закон от 29 ноября 2010 года № 326-Ф3 «Об обязательном медицинском страховании в Российской Федерации» и принятые в соответствии с ним нормативные правовые акты Российской Федерации.

2.11.                 Организация обрабатывает персональные данные в следующих целях:

2.12.                 исполнения требований законодательства Российской Федерации в сфере медицинского страхования;

2.13.                 осуществления защиты прав и законных интересов застрахованных лиц в ООО «ДЕНТОЛИЯ»;

2.14.                 осуществления информационного взаимодействия в сфере обязательного и добровольного медицинского страхования между субъектами обязательного медицинского страхования (в том числе, ведение баз данных застрахованных лиц по обязательному и добровольному медицинскому страхованию; формирования системы учёта и отчётности в информационных системах, необходимых при работе в сфере медицинского страхования Российской Федерации; обмен персональными данными между медицинскими организациями и Территориальными фондами обязательного медицинского страхования (включая субъекты Российской Федерации));

2.15.                 исполнения договоров, стороной которых является субъект персональных данных.

3  Категории субъектов персональных данных, персональные данные которых обрабатываются, источники их получения, сроки обработки и хранения

3.1.               Организация обрабатывает персональные данные следующих категорий субъектов персональных данных:

3.2.               граждан, получающих медицинские услуги в ООО «ДЕНТОЛИЯ»;

3.3.               граждан, состоящих в трудовых отношениях с ООО «ДЕНТОЛИЯ»; 3.4. физических лиц, являющихся контрагентами или представителями (работниками) контрагентов.

3.5.        Источниками получения персональных данных являются:

3.6.        Непосредственно субъекты персональных данных (работники, граждане, обратившиеся в ООО «ДЕНТОЛИЯ», контрагенты);

3.7.        Медицинские организации и страховые медицинские организации, осуществляющие деятельность на территории Свердловской области;

3.8.        Территориальные фонды обязательного медицинского страхования субъектов Российской Федерации;

3.9.        Отделение Пенсионного фонда Российской Федерации по Свердловской

области;

3.10.     Министерство здравоохранения Свердловской области;

3.11.     Свердловское региональное отделение Фонда социального страхования Российской Федерации;

3.12.     Иные государственные органы и уполномоченные организации в случаях, предусмотренных законодательством Российской Федерации.

3.13.     Содержание и объём обрабатываемых персональных данных категорий субъектов персональных данных, определяются в соответствии с целями обработки персональных данных. Организация не обрабатывает персональные данные, которые являются избыточными по отношению к указанным целям обработки или несовместимы с такими целями.

3.14.     В случаях, установленных пунктами 2-11 части 1 статьи 6 федерального закона, обработка персональных данных осуществляется без согласия субъекта персональных данных на обработку его персональных данных. В иных случаях обработка персональных данных осуществляется только с письменного согласия субъекта персональных данных на обработку его персональных данных в соответствии со статьёй 9 федерального закона.

3.15.     Сроки обработки и хранения персональных данных определяются для каждой цели обработки персональных данных в соответствии с законодательно установленными сроками хранения документации, в соответствии со сроком действия договора с субъектом персональных данных, сроками исковой давности, сроками хранения документов бухгалтерского учёта.

1. 4.  Принципы и способы обработки персональных данных, перечень действий, совершаемых с персональными данными

4.1.              ООО «ДЕНТОЛИЯ» в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в статье 5 федерального закона.

4.2.              ООО «ДЕНТОЛИЯ» осуществляет обработку персональных данных путём сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), использования, передачи, обезличивания, блокирования, уничтожения.

4.3.              В ООО «ДЕНТОЛИЯ» используется смешанный (с использованием средств автоматизации и без использования средств автоматизации) способ обработки персональных данных с передачей информации по внутренней локальной сети и с передачей информации по сети интернет в защищенном режиме.

4.4.              ООО «ДЕНТОЛИЯ» может осуществлять обработку специальных категорий персональных данных, касающихся, состояния здоровья. Обработка специальных категорий персональных данных, осуществляется ООО «ДЕНТОЛИЯ» только с письменного согласия субъекта на обработку персональных данных, а также, в установленных случаях, по иным основаниям, указанным в части 2 статьи 10 федерального закона.

4.5.              ООО «ДЕНТОЛИЯ» может осуществлять обработку биометрических персональных данных субъектов персональных данных (цифровая фотография) только с письменного согласия субъекта на обработку персональных данных.

4.6.              ООО «ДЕНТОЛИЯ» не осуществляет трансграничную передачу персональных данных на территории иностранных государств.

4.7.              ООО «ДЕНТОЛИЯ» передает обрабатываемые персональные данные в уполномоченные организации, государственные органы, государственные внебюджетные фонды только на основаниях и в случаях, предусмотренных законодательством Российской Федерации.

4.8.              Организация прекращает обработку персональных данных в следующих случаях:

4.9.              достижение цели обработки персональных данных;

4.10.           изменение, признание утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;

4.11.           выявление неправомерной обработки персональных данных;

4.12.           отзыв субъектом персональных данных согласия на обработку его персональных данных, если в соответствии с федеральным законом обработка персональных данных допускается только с согласия субъекта персональных данных.

4.13.           Уничтожение персональных данных осуществляется в порядке и сроки, предусмотренные законодательством Российской Федерации.

1. 5.  Общая характеристика принимаемых мер по обеспечению безопасности персональных данных при их обработке

5.1.              ООО «ДЕНТОЛИЯ» обеспечивает конфиденциальность обрабатываемых персональных данных: не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральными законами.

5.2.              ООО   «ДЕНТОЛИЯ»          обеспечивает    защиту           персональных           данных           от

неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

5.3.              ООО «ДЕНТОЛИЯ» принимает необходимые правовые, организационные, технические, физические, криптографические меры защиты персональных данных, а также меры, направленные на обеспечение выполнения обязанностей, предусмотренных федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Такие меры, в том числе, включают следующие:

5.4.              назначение работника, ответственного за организацию обработки персональных данных;

5.5.              издание локальных актов, регламентирующих вопросы обработки и защиты персональных данных;

5.6.              ознакомление работников, непосредственно осуществляющих обработку персональных данных, под роспись с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, правовыми актами, регламентирующими вопросы обработки и защиты персональных данных, а также с ответственностью за разглашение персональных данных, нарушение порядка обращения с документами, содержащими такие данные, и иные неправомерные действия в отношении персональных данных;

5.7.              создание системы внутреннего контроля соответствия обработки персональных данных законодательству Российской Федерации, в том числе требованиям к защите персональных данных;

5.8.              анализ и оценка угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

5.9.              реализация разрешительной системы доступа работников и иных лиц к персональным данным и связанным с их использованием работам, материальным носителям; обеспечение соблюдения условий, при которых работники организации, иные лица получают доступ к персональным данным только в пределах, необходимых для выполнения своих обязанностей, либо в объёмах, вызванных необходимостью;

5.10.           регистрация и учёт действий работников, допущенных к персональным данным;

5.11.           ограничение доступа работников и иных лиц в помещения, где размещены технические средства, предназначенные для обработки персональных данных, и хранятся носители персональных данных, к информационным ресурсам, программным средствам обработки и защиты информации;

5.12.           учет материальных (машинных, бумажных) носителей персональных данных и обеспечение их сохранности;

5.13.           определение мест хранения материальных носителей персональных данных и обеспечение раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях;

5.14.           использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;

5.15.           предотвращение внедрения в информационные системы программ - вирусов, программных закладок;

5.16.           резервирование технических средств и дублирование массивов и носителей информации;

5.17.           обеспечение защиты персональных          данных при    подключении

информационных систем к информационно-телекоммуникационным сетям, в том числе сети интернет;

5.18.           обеспечение защиты персональных данных при их передаче по каналам связи, в том числе каналам связи сети интернет, с использованием средств криптографической защиты информации и электронной подписи;

5.19.           восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

5.20.           своевременное          обнаружение фактов    разглашения,             утечки,

несанкционированного доступа к персональным данным и принятие мер по таким фактам;

5.21.           оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем;

5.22.           контроль за принимаемыми мерами по обеспечению безопасности персональных данных.

5.23.           Меры по обеспечению безопасности персональных данных при их обработке принимаются организацией с соблюдением требований федерального закона, иных нормативных правовых актов Российской Федерации, в том числе следующих:

5.24.           постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

5.25.           приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»; иные нормативные документы ФСТЭК России, нормативные документы ФСБ России.