Политика конфиденциальности (защита персональной информации) сайта клиники ООО «Медицинский Центр «Гиппократ»»

Политика конфиденциальности (защита персональной информации) сайта клиники ООО «Медицинский Центр «Гиппократ»» - https://mc-gippokrat42.ru)

Настоящая Политика конфиденциальности персональных данных (далее — Политика конфиденциальности) действует в отношении всей информации, которую сайт клиники ООО «Медицинский Центр «Гиппократ», расположенный на доменном имени https://mc-gippokrat42.ru), может получить о Пользователе во время использования сайта, программ и продуктов сайта.

Общие положения
1.1.Настоящая политика в отношении обработки персональных данных (далее-Политика) составлена в соответствии с п.2 ст.18.1 ФЗ №152 от 27 июля 2006 года «О персональных данных» и является основополагающим внутренним регултивным документом медицинской организации ООО «МЦ «ГИППОКРАТ»» (далее –Организация или Оператор), определяющим ключевые направления его деятельности в области обработки и защиты персональных данных (далее-ПДн), оператором которых является Организация.
1.2.Политика разработана в целях реализации требований законодательства в области обработки и защиты ПДН и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его ПДН в Организации, в том числе защиты прав на неприкосновенность частной жизни, личной, семейной и врачебных тайн.
1.3Положения Политики распространяются на отношения по обработке и защите ПДн, полученных Организацией как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите ПДн, полученных до ее утверждения.
1.4.Обработка ПДн в Организации осуществляется в связи с выполнением Организацией функций, предусмотренных к учредительными документами, и определяемых:

-ФЗ от 21 ноября 2011 г. №323-ФЗ «Об основах охраны здоровья граждан в РФ»;

-ФЗ №152-ФЗ от 27 июля 2006 года «О персональных данных»;

-Постановлением Правительства РФ от 15 сентября 2008 года №687 «Об утверждении Положения об особенностях обработки персональных данных, осоществляемой без использования средств автоматизации»;

-Постановлением Правительства РФ от 1 ноября 2012 года №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

-Иными нормативными правовыми актами РФ. Кроме того, обработка ПДн в Организации осуществляется в ходе трудовых и иных непосредственно связанных с ними отношений. В которых Организация выступает в качестве работодателя (глава 14 Трудового кодекса РФ), в связи с реализацией Организацией своих прав и обязанностей как юридического лица.

1.5 Организация имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.

1.6. Использование Пользователем сайта https://mc-gippokrat42.ru означает согласие с настоящей Политикой конфиденциальности и условиями обработки персональных данных Пользователя.

1.7. В случае несогласия с условиями Политики конфиденциальности Пользователь должен прекратить использование сайта https://mc-gippokrat42.ru

1.8.. Настоящая Политика конфиденциальности применяется только к сайту https://mc-gippokrat42.ru

1.9. Сайт не контролирует и не несет ответственность за сайты третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на сайте https://mc-gippokrat42.ru

1.10. Администрация сайта не проверяет достоверность персональных данных, предоставляемых Пользователем сайта https://mc-gippokrat42.ru

1.11. Действующая редакция хранится в месте Организации по адресу: 650000, Кемеровская область-Кузбасс, г. Кемерово, ул. 50 лет Октября, №9 Электронная версия Политики –на сайте по адресу https://mc-gippokrat42.ru.

2. Положения об особенностях, термины и принятые сокращения

2.1 В настоящей Политике конфиденциальности используются следующие термины: «Администрация сайта» — уполномоченные на управление сайтом сотрудники, действующие от имени ООО «Медицинский Центр «Гиппократ», которые организуют и (или) осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

2.2 Персональная информация, которую Пользователь предоставляет о себе самостоятельно при регистрации (создании учетной записи, запись на прием к врачу) или в процессе использования Сервисов, включая персональные данные Пользователя. Обязательная для предоставления Сервисов информация помечена специальным образом. Иная информация предоставляется Пользователем на его усмотрение.

2.3 Данные, которые автоматически передаются сервисам Сайта в процессе их использования с помощью, установленного на устройстве Пользователя программного обеспечения, в том числе IP-адрес, данные файлов cookie, информация о браузере Пользователя (или иной программе, с помощью которой осуществляется доступ к сервисам), технические характеристики оборудования и программного обеспечения, используемых Пользователем, дата и время доступа к сервисам, адреса запрашиваемых страниц и иная подобная информация.

2.4. Настоящая Политика конфиденциальности применяется только к Сайту. Сайт не контролирует и не несет ответственности за сайты третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на Сайте. В Политике используются следующие основные понятия:

автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

информационная система персональных данных - совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств;

обезличивание персональных данных - действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных;

обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

пользователь сайта (далее — Пользователь) — лицо, имеющее доступ к сайту посредством сети «Интернет» и использующее сайт https://mc-gippokrat42.ru

распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу.

уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители персональных данных.

«Cookies» — небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта.

«IP-адрес» — уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP.

Использование Пользователем сайта означает согласие с настоящей Политикой конфиденциальности и условиями обработки персональных данных Пользователя.

В случае несогласия с условиями Политики конфиденциальности Пользователь должен прекратить использование сайта.

3. Предмет политики конфидинциальности

3.1. Настоящая Политика конфиденциальности устанавливает обязательства Администрации https://mc-gippokrat42.ru по неразглашению и обеспечению режима защиты конфиденциальности персональных данных, которые Пользователь предоставляет по запросу Администрации сайта при отправке форм обратной связи на сайте.

3.2. Персональные данные, разрешенные к обработке в рамках настоящей Политики конфиденциальности, предоставляются Пользователем путем заполнения форм на сайте https://mc-gippokrat42.ru и включают в себя следующую информацию:

3.2.1. фамилию, имя, отчество Пользователя;

3.2.2. контактный телефон Пользователя или адрес электронной почты (e-mail);

3.3. Сайт https://mc-gippokrat42.ru защищает данные, которые автоматически передаются в процессе просмотра рекламных блоков и при посещении страниц, на которых установлен статистический скрипт системы:

- IP адрес;

- информация из cookies;

- информация о браузере (или иной программе, которая осуществляет доступ к показу рекламы);

- время доступа;

- адрес страницы, на которой расположен рекламный блок;

- реферер (адрес предыдущей страницы).

3.3.1. Отключение cookies может повлечь за собой невозможность доступа к частям сайта https://mc-gippokrat42.ru

3.3.2. https://mc-gippokrat42.ru осуществляет сбор статистики об адресах своих посетителей. Данная информация используется с целью выявления и решения технических проблем и анализа аудитории посещающей сайт.

3.4. Любая иная персональная информация, не оговоренная выше (история заказов, используемые браузеры и операционные системы и т.д.), подлежит надежному хранению и нераспространению, за исключением случаев, предусмотренных в п. 5.2. настоящей Политики конфиденциальности.

4. Принцип обеспечения безопасности персональных данных

4.1.Основной задачей обеспечения безопасности ПДн при их обработке в Организации является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения ПДн, разрушения(уничтожения) или искажения их в процессе обработки.

4.2. Для обеспечения безопасности ПДн Организация руководствуется следующими принципами:

-законность: защита ПДн основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты ПДн;

-системность обработки ПДн в Организации осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности ПДн;

-комплексность: защита ПДн строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах Организации и других имеющихся в Организации систем и средств защиты;

-непрерывность: защита ПДн обеспечивается на всех этапах и во всех режимах функционирования систем обработки ПДн, в том числе при проведении ремонтных и регламентных работ;

-своевременность: меры, обеспечивающие надлежащий уровень безопасности ПДн, принимаются до начала их обработки;

-преемственность и непрерывность совершенствования : модернизация и наращивание мер и средств защиты ПДн осуществляется на основании результатов анализа практики обработки ПДн в Организации с учетом выявления новых способов и средсив реализации угроз безопасности ПДн, отечественного и зарубежного опыта в сфере защиты информации;

-персональная ответственность: ответственность за обеспечение безопасности ПДн возлагается на Работников в пределах их обязанностей, связанных с обработкой и защитой ПДн;

-минимизация прав доступа: доступ в ПДн предоставляется Работникам только в объеме, необходимом для выполнения их должностных обязанностей;

-гибкость: обеспечение выполнения функций защиты ПДн при изменении характеристик функционирования информационных систем персональных данных Организации, а также объема и состава обрабатываемых ПДн;

-специализация и профессионализм: реализация мер по обеспечению безопасности ПДн осуществляются Работниками, имеющими необходимые для этого квалификацию и опят;

-эффективность процедур отбора кадров: кадровая политика Организации предусматривает тщательный подбор персонала и мотивацию Работников, позволяющую исключить или минимизировать возможность нарушения ими безопасности ПДн;

-наблюдаемость и прозрачность: меры по обеспечению безопасности ПДн должны быть спланированы так, чтобы результаты их применения были явно наблюдаемы (прозрачны) и могли быть оценены лицами, осуществляющими контроль;

-непрерывность контроля и оценки: устанавливаются процедуры постоянного контроля использования систем обработки и защиты ПДн, а результаты контроля регулярно анализируются;

4.3. В организации не производится обработка ПДн, несовместимая с целями их сбора. Если иное не предусмотрено ФЗ, по окончании обработки ПДн в Организации, в том числе при достижении этих целей , обрабатывающиеся Организацией ПДн уничтожаются или обезличиваются. При обработке ПДн обеспечиваются их точность, достоверность, а при необходимости-и актуальность по отношению к целям обработки. Организация принимает необходимые меры по удалению или уточнению неполных или неточных ПДн.

5. Обработка персональных данных

ПДн - Персональные Данные
ОПДн - Обработка Персональных Данных
ЗПДн - Защита Персональных Данных
ПОПДн - общие Правила Обработки Персональных Данных (используется в формах на сайтах "Согласие с ПОПДн")

5.1. Принципы обработки персональных данных

Обработка персональных данных должна осуществляться на законной и справедливой основе.
Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
Обработке подлежат только персональные данные, которые отвечают целям их обработки.
Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Обработка персональных данных Пользователя осуществляется без ограничения срока, любым законным способом, в том числе в информационных системах персональных данных с использованием средств автоматизации или без использования таких средств.

Персональные данные Пользователя могут быть переданы уполномоченным органам государственной власти Российской Федерации только по основаниям и в порядке, установленным законодательством Российской Федерации.

5.2. Получение ПДн

5.2.1 Все ПДн следует получать от самого субъекта. Если ПДн субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено согласие.

5.2.2.Оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения ПДн, характере подлежащих получению ПДн, прочие действия с ПДн, сроке, в течение которого действует согласие и порядок его отзыва, а также о последствиях откеаза субъекта дать письменное согласие на их получение.

5.3 Документы, содержащие ПДн создаются путем:

А) копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство, военный билет и прочее);

Б) внесение сведений в учетные формы;

В)получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и пр.) Порядок доступа субъекта ПДн к его ПДн, обрабатываемым Организацией, определяется в соответствии с законодательством и определяется внутренними регулятивными документами Организации.

5.4. Обработка ПДн

5.4.1. Обработка персональных данных осуществляется:

-с согласия субъекта персональных данных на обработку его персональных данных;

-в случаях, когда обработка персональных данных необходима для осуществления и выполнения возложенных законодательством РФ функций, полномочий и обязанностей;

-в случаях, когда осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее –персональные данные, сделанные общедоступными субъектом персональных данных).

Доступ работников к обрабатываемым ПДн осуществляется в соответствии с их должностными обязанностями и требованиями внутренних регулятивных документов Организации. Допущенные к обработке ПДн Работники под роспись знакомятся с документами организации, устанавливающими порядок обработки ПДн, включая документы, устанавливающие права и обязанности конкретных работников. Организацией производится устранение выявленных нарушений законодательства об обработке и защите ПДн.

5.5. Цели обработки ПДН:

5.5.1 Обеспечение наиболее полного исполнения обязательств и компетенций в соответствии с ФЗ от 21 ноября 2011 г. № 323-ФЗ « Об основах охраны здоровья граждан РФ»:

1.Категории субъекта ПДн

Работники. Уволенные работники.

Перечень обрабатываемых ПДн:
фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, пол, адрес места жительства, адрес регистрации, СНИЛС, гражданство, данные документа удостоверяющего личность, должность, сведения об образование и документы подтверждающие его.
Способ обработки ПДн : смешанная
Сроки обработки и хранения ПДн:
персональные данные обрабатываются до момента отзыва согласия на обработку персональных данных или по завершении сроков хранения определенных в действующем законодательстве или до достижения цели обработки.

5.Действия с ПДн по окончании обработки:

Персональные данные подлежат уничтожению при отзыве согласия на обработку персональных данных по завершении срока хранения, определенных в действующем законодательстве по достижении цели обработки.

5.5.2. Осуществление соблюдения трудового законодательства РФ:

1.Категории субъекта ПДн

Работники. Уволенные работники. Родственники работников.

2.Перечень обрабатываемых ПДн:

фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, социальное положение (сведения о составе семьи (ФИО, год рождения, степень родства, сведения о браке или расторжения брака, сведения о рождении детей и о соц. Льготах (наименование, номер, дата выдачи документа, основание, причина нетрудоспособности, сведения о состоянии здоровья (если речь идет об инвалидности самого сотрудника или его детей)

3.Способ обработки ПДн : смешанная

4.Сроки обработки и хранения ПДн:

персональные данные обрабатываются до момента отзыва согласия на обработку персональных данных или по завершении сроков хранения определенных в действующем законодательстве или до достижения цели обработки .

5.Действия с ПДн по окончании обработки:

5.5.3. Ведение кадрового и бухгалтерского учета

1.Категории субъекта ПДн

Работники. Уволенные работники. Родственники работников. Родственники уволенных работников поликлиники.

2.Перечень обрабатываемых ПДн:

фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, семейное положение (сведения о составе семьи), социальное положение, доходы, пол, адрес места жительства, адрес регистрации, номер телефона, СНИЛС, ИНН, гражданство, данные документа, удостоверяющего личность, профессия, должность,сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счетаорганизации (совместительство), отношение к воинской обязанности, сведения о военном учете, военно-учетная специальность, категория годности, воинское звание, состав (профиль), наименование В/к по месту воинского учета, водительское удостоверение (серия,номер, категория ТС, дата выдачи), сведения об образовании, сведения о повышении квалификации, данные документа об образовании (наименование учебного заведения, год окончания, специальность, номер и серия документа), сведения о месте учебы для лиц получающих образование, возраст, срок действия регистрации, информация о гражданстве, табельный номер, структурное подразделение, сведения о приеме на работу и переводе на другую должность, работу, сведения о временной нетрудоспособгости, статус получателя (резидент не резидент, реквизиты для перевода (банковский счет.

3.Способ обработки ПДн : смешанная

4.Сроки обработки и хранения ПДн:

5.Действия с ПДн по окончании обработки:

5.6. Категории субъектов персональных данных.

В Организации обрабатываются ПДн следующих субъектов:

Физические лица, являющиеся близкими родственниками сотрудников Организации;
Физические лица, уволившиеся из Организации;
Физические лица, являющиеся кандидатами на работу;
Физические лица, состоящие с Организацией в гражданско-правовых отношениях;
Физические лица, являющиеся пользователя сайта https://mc-gippokrat42.ru

5.7. ПДн, обрабатываемые Организацией:

Данные полученные при осуществлении трудовых отношений;
Данные при осуществлении отбора кандидатов на работу в Организацию;
Данные полученные при осуществлении гражданско-правовых отношений;
Данные, полученные от пользователей сайта https://mc-gippokrat42.ru.
Также на сайте происходит сбор и обработка обезличенных данных о посетителях (в том числе файлов «cookie) с помощью сервисов интернет-статистики (Яндекс, Метрика)
Полный список ПДн предоставляется в Перечне ПДн, утвержденный директором Организации.

5.7.1Обработка персональных данных ведется:

-с использованием средств автоматизации;

-без использования средств автоматизации;

5.8. Хранение ПДн.

5.8.1 Места хранения личных данных

В зависимости от формы персональных сведений они могут храниться:

в бумажном виде;
в электронном виде.

Организация должна дублировать персональные материалы служащих, храня их параллельно и на бумажном носителе, и в базе данных компьютера. Располагаются эти материалы в большинстве случаев в бухгалтерии либо в кадровом отделе фирмы. Обязательным условием для обеспечения безопасности ПДн в бумажной форме является их хранение в огнеупорных сейфах.

Для материалов об уволенных служащих в Организации существует специальный архив, в который заносят личные дела и сохраняют их там до момента истечения срока хранения. После этого материалы уничтожаются.

Данные в электронном виде хранятся в базе данных компьютерной сети Организации, причем обязательно с созданием резервной копии на случай удаления или программного сбоя.

Соблюдение правил хранения ПДн работников крайне важно. Нарушение этих требований влечет административную и уголовную ответственность.

Согласно статье 87 Трудового Кодекса Российской Федерации, порядок хранения и использования персонифицированной информации о служащих разрабатывается и утверждается работодателем.

Законом установлены конкретные сроки хранения различной документации, содержащей в себе ПДн сотрудников. Их следует знать:

приказы и выписки из них, докладные, служебные письма, командировочные листы хранятся 5 лет;
автобиографии, анкеты с данными, заявления сотрудников, графики учета персонала хранятся на протяжении 3 лет;
ведомости о выплатах, расчетные листы и иные документы о выплатах пособий и заработных плат хранятся 75 лет.

5.8.1.1..Обработка персональных материалов в бумажном виде

Самое важное правило – использование личных данных работника на бумажном носителе производится только на основании федерального законодательства, а именно ст. 24 Конституции Российской Федерации. В ней говорится, что:

любые действия с персонифицированными сведениями о человеке недопустимы без его согласия;
государственные органы и службы самоуправления должны предоставить гражданам возможность ознакомиться с документами, в которых затрагиваются их права и свободы.

При обработке личных сведений работников организации необходимо учесть ряд требований:

Использование материалов личного характера должно осуществляться только в рамках действия трудового договора.
Все документы и материалы предоставляет непосредственно их владелец.
Если требуемые предприятию данные о сотруднике находятся в стороннем источнике, то необходимо письменное соглашение этого сотрудника на использование его ПДн.
Начальство не имеет права собирать и хранить сведения о личной жизни сотрудника без его согласия (если иное не предусмотрено законодательством).
Передача персональных сведений третьим лицам запрещена.
Персональные документы подчиненных, такие как паспорт, свидетельство о рождении, браке, идентификационный номер налогоплательщика, предоставляются работодателю для ознакомления и получения ксерокопии для дальнейшего хранения, оригиналы же возвращаются работнику. Такие документы, как трудовая книжка, трудовой контракт, приказы, хранятся в оригинале.
Все личные дела служащих должны находиться в папках в алфавитном порядке.
Все папки с личными документами обязательно должны находиться в сейфе, ключ от которого должен быть только у руководителя, главного бухгалтера и начальника кадрового отдела.
Работники отдела кадров в обязательном порядке должны проводить инструктажи о порядке и правилах подачи, обработки личных данных.

5.8.1.2.Обработка персональных материалов в электронном виде

Законодательство не выдвигает особых требований к электронным данным о работниках. Есть лишь несколько определенных правил:

Использование ПДн на электронных носителях должно производиться в соответствии с указанными выше нормами законодательных актов.
Для данных в электронном формате необходимо обозначить сведения, относящиеся к ПДн. С небольшим дополнением: к ним также относят e-mail, учетные записи в социальных сетях.
Все документы работника, полученные предприятием, нужно сканировать и вносить в его личное дело в электронной базе данных.
К базе данных право доступа принадлежит директору предприятия и его заместителям, главному бухгалтеру и начальнику кадрового отдела, а также системным администраторам (программистам). Причем для каждого из них персонально создаются логин и пароль для входа в электронную БД.
Параллельно создается резервная копия БД, которую хранят на съемном носителе (диске, жестком диске).

Данные в электронном виде, так же, как и в бумажном, нуждаются в защите. Для защиты электронных персональных данных используются такие способы:

интегрируется индивидуализированная система доступа пользователей;
ограничивается доступ работников в те помещения, где хранятся компьютеры (серверы) с базой данных;
осуществляется безопасная организация хранения носителей информации.

5.9. Уничтожение ПДн.

Уничтожение документов (носителей), содержащих ПДн производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера. ПДн на электронных носителях уничтожаются путем стирания или форматирования носителя. Уничтожение производится комиссией. Факт уничтожения ПДн подтверждается документальным актом об уничтожении носителей, подписанным членами комиссии.

5.10. Передача ПДн.

Организация передает ПДн третьим лицам в следующих случаях:

-субъект выразил свое согласие на такие действия;

-передача предусмотрена российским или иным применяемым законодательством в рамках установленной законодательством процедуры.

5.11.Перечень лиц, которым передаются ПДн.

Третьи лица, которым передаются ПДн:
Пенсионный фонд РФ для учета (на законных основаниях);
Налоговые Органы РФ(на законных основаниях);
Фонд социального страхования (на законных основаниях);
Территориальный фонд обязательного медицинского страхования (на законных основаниях);
Страховые медицинские организации по обязательному и добровольному медицинскому страхованию (на законных основаниях);
Банки для начисления заработной платы (на основании договора);
Судебные и правоохранительные органы в случаях, установленных законодательством;
Бюро кредитных историй (с согласия субъекта);
Юридические фирмы, работающие в рамках законодательства РФ , при неисполнении обязательств по договору займа ) с согласия субъекта).

Защита персональных данных

6.1. В соответствии с требованиями нормативных документов Организацией создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.

6.2.Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.

6.3. Подсистема организационной защиты включает в себя организацию структуры управления СЗПДЮ разрешительной системы, защиты информации в открытой печати, публикаций и рекламной деятельности, аналитической работы.

6.4.Подсистема технической защиты включает в себя комплекс технических программных, программно-аппаратных средств, обеспечивающих защиту ПДн.

6.5. Основными мерами защиты ПДн, используемые Организацией являются:

6.5.1. Назначение лица ответственного за обработку ПДн, которое осуществляет организацию обработки ПДн, обучение и инструктаж, внутренний контроль за соблюдением Организацией и его работниками требований к защите ПДн;

6.5.2.Определение актуальных угроз безопасности ПДн при их обработке в ИСПД, а также обеспечения регистрации и учета всех действий, совершаемых в ПДн в ИСПД;

6.5.3. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязательствами;

6.5.4. Применение средств защиты информации, учет машинных носителей ПДн, обеспечение их сохранности.

6.5.5. Антивирусное программное обеспечение с постоянным обновлением.

6.5.6. Программное средство защиты информации от несанкционированного доступа;

6.5.7 Межсетевой экран и средство обнаружения вторжения;

6.5.8.Соблюдение условий, обеспечивающих сохранность ПДн и исключающие несанкционированный к ним доступ, Оценка эффективности принимаемых и реализованных мер по обеспечению безопасности ПДн;

6.5.9. Установление правил доступа к обрабатываемым ПДн, обеспечение регистрации и учета действий, совершаемых с ПДн, а также обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

6.5.10. Восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

6.5.11. Обучение работников Организации непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документами, определяющими политику Организации в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных.

6.5.12. Осуществление внутреннего контроля и аудита.

Основные права Субъекта ПДн и обязанности Организации

Основные права субъекта ПДн.

Субъект ПДн имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

-подтверждение факта обработки персональных данных оператором;

-правовые основания и цели обработки персональных данных;

-цели и применяемые оператором способы обработки персональных данных;

-наименование и место нахождение оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

-Обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен ФЗ;

-сроки обработки персональных данных, в том числе, сроки их хранения;

-порядок осуществления субъектом персональных данных прав, предусмотренных ФЗ «О персональных данных»;

- информацию об осуществленной или о предполагаемой трансграничной передаче данных;

-наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу.

-иные сведения, предусмотренные ФЗ

Субъект ПДн вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Обязанности Организации.
Организация обязана:

-при сборе ПДн предоставит информацию об обработке его ПДн;

-в случаях если ПДН были получены не от субъекта ПДн уведомить субъекта;

-при отказе в предоставлении ПДн субъекту разъясняются последствия такого отказа;

-опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПЛн, к сведениям о реализуемых требованиях к защите ПДн;

-принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных направомерных действий в отношении ПДн.

-давать ответы на запросы и обращения субъектов ПДн, их представителей и уполномоченного органа по защите прав субъектов ПДн.