Закрыть
Авторизация

Логин:

Пароль:



Забыли пароль?
Регистрация
8 (34643) 3-34-48

г. Мегион, пр. Победы, д. 14 - 1 этаж


Автономное учреждение
Ханты-Мансийского автономного округа - Югры

Мегионская городская стоматологическая поликлиника

Политика обработки ПДн

Политика

обработки персональных данных

АВТОНОМНОГО УЧРЕЖДЕНИЯ «МЕГИОНСКАЯ ГОРОДСКАЯ СТОМАТОЛОГИЧЕСКАЯ ПОЛИКЛИНИКА»

 

1.    Общие положения

Настоящая Политика обработки персональных данных (далее – Политика):

-     является основополагающим внутренним документом АУ «Мегионская городская стоматологическая поликлиника» (далее – Учреждение), регулирующим вопросы обработки персональных данных (далее – ПДн);

-     разработана в целях обеспечения соответствия законодательству Российской Федерации обработки, хранения и защиты персональных данных сотрудников и граждан;

-     раскрывает основные категории персональных данных, обрабатываемых Учреждением, цели, способы и принципы обработки персональных данных, права и обязанности Учреждения при обработке персональных данных, права субъектов персональных данных, а также перечень мер, применяемых Учреждением в целях обеспечения  безопасности персональных данных при их обработке;

-     предназначена для сотрудников Учреждения, осуществляющих обработку персональных данных в целях непосредственной реализации ими закрепленных в Политике принципов, а также является информационным ресурсом для субъектов персональных данных, позволяющим определить концептуальные основы деятельности Учреждения при обработке персональных данных;

-     подлежит публикации в сети Интернет на официальном сайте АУ «Мегионская городская стоматологическая поликлиника».

2.    Источники нормативного правового регулирования вопросов обработки персональных данных

Политика Учреждения в области обработки персональных данных определяется на основании следующих нормативных правовых актов Российской Федерации:

-     Федеральный закон от 27.07.2006 г. № 152‑ФЗ «О персональных данных»;

-     Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

-     Федеральный закон от 27.07.2004 г. № 79-ФЗ «О государственной гражданской службе Российской Федерации»;

-     Перечень сведений конфиденциального характера, утвержден Указом Президента Российской Федерации от 06.03.1997 г. №188;

-     Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждено Постановлением Правительства Российской Федерации от 15.09.2008 г. № 687;

-     Требования к защите персональных данных при их обработке в информационных системах персональных данных, утверждены Постановлением Правительства Российской Федерации от 01.11.2012 г. №1119;

-     Конституция Российской Федерации;

-     Трудовой кодекс Российской Федерации;

-     Гражданский кодекс Российской Федерации;

-     Налоговый кодекс Российской Федерации;

-     Уголовный кодекс Российской Федерации;

-     нормативные и методические документы ФСБ России, ФСТЭК России, Роскомнадзора.

Во исполнение настоящей Политики в Учреждении приказами утверждаются следующие локальные нормативные правовые акты:

-     Акты классификации (определения уровня защищенности) информационных систем АУ «Мегионская городская стоматологическая поликлиника»;

-     Модели угроз безопасности информации, обрабатываемой в информационных системах АУ «Мегионская городская стоматологическая поликлиника»;

-     Приказ об организации и проведении работ по обеспечению безопасности персональных данных при их обработке в информационных системах Учреждения;

-     Перечень информационных систем, подлежащих защите и перечень персональных данных, обрабатываемых в Учреждении;

-     План мероприятий по защите персональных данных;

-     План внутренних проверок состояния защиты персональных данных;

-     Инструкция по организации антивирусной защиты;

-     Инструкцию по организации парольной защиты;

-     Инструкцию по учету машинных носителей, предназначенных для работы в информационных системах персональных данных

-     Инструкция администратора информационной безопасности информационных систем;

-     Инструкция пользователя по обеспечению безопасности при возникновении нештатных ситуаций в информационных системах АУ «Мегионская городская стоматологическая поликлиника»;

-     Инструкция пользователя информационных систем;

-     иные локальные документы Учреждения, принимаемые во исполнение требований действующих нормативных правовых актов Российской Федерации в области обработки персональных данных.

 

3.    Основные термины и понятия, используемые в локальных документах Учреждения, принимаемых по вопросу обработки персональных данных

Блокирование персональных данных – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).

Информационная система персональных данных – информационная система, представляющая собой совокупность содержащихся в базе данных ПДн и их обработку, информационных технологий и технических средств.

Использование персональных данных – действия (операции) с ПДн, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта ПДн или других лиц либо иным образом затрагивающих права и свободы субъекта ПДн или других лиц.

Конфиденциальная информация – информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и представляет собой коммерческую, служебную или личную тайны, охраняющиеся её владельцем.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

Общедоступные персональные данные – ПДн, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта ПДн или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, сведения об образовании, профессиональной деятельности, семейное положение, другая информация, определяемая нормативно-правовыми актами Российской Федерации, Перечнем ПДн, обрабатываемых в Учреждении.

Предоставление персональных данных – действия, направленные на раскрытие ПДн определенному кругу.

Распространение персональных данных – действия, направленные на раскрытие ПДн неопределенному кругу, в том числе обнародование ПДн в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПДн каким-либо иным способом.

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители ПДн.

4.    Общие условия обработки персональных данных

4.1.   Обработка ПДн в Учреждении осуществляется на основе следующих принципов:

4.1.1.      Законность и справедливости обработки ПДн.

4.1.2.      Законность целей и способов обработки ПДн и добросовестности.

4.1.3.     Соответствие целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн, а также полномочиям Учреждения.

4.1.4.     Соответствие содержания и объема обрабатываемых ПДн целям обработки ПДн.

4.1.5.     Достоверность ПДн, их достаточности для целей обработки, недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн.

4.1.6.     Недопустимость объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.

4.1.7.     Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.

4.1.8.     Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.

4.1.9.     Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом «О персональных данных».

4.1.10. Субъект ПДн является собственником своих ПДн и самостоятельно решает вопрос передачи Учреждению своих ПДн.

4.1.11. Держателем ПДн является Учреждение, которому субъект ПДн передает во владение свои ПДн. Учреждение выполняет функцию владения этими данными и обладает полномочиями распоряжения ими в пределах, установленных законодательством.

4.1.12. Комплекс мер по защите ПДн направлен на предупреждение нарушений доступности, целостности, достоверности и конфиденциальности ПДн и обеспечивает безопасность информации в процессе деятельности Учреждения.

4.1.13. Учреждение при обработке ПДн обязан принимать необходимые организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также от иных неправомерных действий, в соответствии с требованиями к обеспечению безопасности ПДн при их обработке в ИСПДн.

4.1.14. Мероприятия по защите ПДн определяются «Приказом об организации и проведении работ по обеспечению безопасности персональных данных при их обработке в информационных системах Учреждения», а также приказами, инструкциями и другими внутренними документами Учреждения.

4.2.   Для защиты ПДн в Учреждении применяются следующие правила:

4.2.1.     Ограничение и регламентация состава сотрудников, функциональные обязанности которых требуют доступа к информации, содержащей ПДн.

4.2.2.     Строгое избирательное и обоснованное распределение документов и информации между сотрудниками.

4.2.3.     Знание сотрудниками требований нормативно-методических документов по защите ПДн.

4.2.4.     Распределение персональной ответственности между сотрудниками, участвующими в обработке ПДн, за выполнение требований по обеспечению безопасности ПДн.

4.2.5.     Установление режима конфиденциальности в соответствии с требованиями по обеспечению безопасности ПДн при работе с конфиденциальными документами и базами данных.

4.2.6.     Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

4.2.7.     Исключение бесконтрольного пребывания посторонних лиц в помещениях, в которых ведется обработка ПДн и находится соответствующая вычислительная техника.

4.2.8.     Организация порядка уничтожения персональных данных.

4.2.9.     Своевременное выявление нарушений требований разрешительной системы доступа.

4.2.10. Регулярное обучение работников по вопросам, связанным с обеспечением безопасности ПДн.

4.2.11. Ограничение доступа к техническим средствам и системам обработки информации, на которых содержатся ПДн.

4.2.12. Создание целенаправленных неблагоприятных условий и труднопреодолимых препятствий для лица, пытающегося совершить несанкционированный доступ и овладение информацией.

4.2.13. Резервирование защищаемых данных (создание резервных копий).

4.3.   Цели обработки персональных данных:

4.3.1.     Соблюдение требований трудового законодательства Российской Федерации.

4.3.2.     Оказание медицинских и медико-социальных услуг, установление медицинского диагноза.