ПОЛИТИКА
Индивидуального предпринимателя Левчиковой Ксении Рамазовны в отношении обработки и обеспечения безопасности персональных данных
1. Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) действует в отношении всех персональных данных, которые индивидуальный предприниматель Левчикова Ксения Рамазовна (далее – Индивидуальный предприниматель, ИП) может получить от субъекта персональных данных - Работника, регулируемых трудовым законодательством, или от субъекта персональных данных (в том числе от пациента, клиента), лица, состоящего в договорных и иных гражданско-правовых отношениях с Индивидуальным предпринимателем. Обработка персональных данных Индивидуальным предпринимателем Левчиковой Ксенией Рамазовной осуществляется в связи с обеспечением соблюдения положений законодательства РФ, в том числе обеспечение соблюдения законодательства РФ в сфере здравоохранения.
1.2. Основные понятия, используемые в Политике:
1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2) персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом;
3) оператор – организация осуществляющая обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными- ИП Левчикова К.Р (далее - Медицинский Косметологический Центр Ксении Левчиковой)
4) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
5) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
6) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
7) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
8) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
9) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
10) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
11) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
12) трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.3. Целью настоящей Политики является соблюдение прав субъектов персональных данных при обработке их персональных данных Индивидуальным предпринимателем Левчиковой Ксенией Рамазовной, а также обеспечение соблюдения законодательства РФ в сфере здравоохранения.
1.4. Во исполнение требований ч. 2 ст. 18.1 Закона о персональных данных настоящая Политика размещается в свободном доступе, в том числе на информационной доске расположенной в Медицинском Косметологическом Центре Ксении Левчиковой.
1.5. Настоящая Политика разработана в соответствии с Конституцией РФ, Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» и иными нормативными актами в области защиты персональных данных, действующими на территории Российской Федерации.
1.6. Настоящая политика обязательна к исполнению всеми сотрудниками Индивидуального предпринимателя, описывает основные цели, принципы обработки и требования к безопасности персональных данных.
1.7. Обеспечение безопасности и конфиденциальности персональных данных является одним из приоритетных направлений в деятельности индивидуального предпринимателя Левчиковой К.Р.
1.8. Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми индивидуальный предприниматель осуществляет обработку персональных данных, в том числе:
1.9. Основные права и обязанности Оператора.
1.9.1. Оператор имеет право:
1) самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;
2) поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом о персональных данных, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;
3) в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных.
1.9.2. Оператор обязан:
1) организовывать обработку персональных данных в соответствии с требованиями Закона о персональных данных;
2) отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных;
3) сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)) по запросу этого органа необходимую информацию.
1.10. Основные права субъекта персональных данных. Субъект персональных данных имеет право:
1) получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных;
2) требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
3) обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
1.11 Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
2. Принципы и цели обработки. Состав персональных данных
2.1. Обработка персональных данных у индивидуального предпринимателя осуществляется на основе принципов:
– обработка персональных данных субъектов осуществляется исключительно для обеспечения соблюдения федеральных законов и иных нормативных правовых актов, соответствия целям, заранее определенным и заявленным при сборе персональных данных;
– объем и содержание обрабатываемых персональных данных субъектов, способы обработки персональных данных соответствуют требованиям федерального законодательства, а также другим нормативным актам и целям обработки персональных данных. Не допускается обработка персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
– при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях актуальность по отношению к целям обработки персональных данных. Индивидуальным предпринимателем принимаются необходимые меры по уничтожению (удалению) либо уточнению неполных или неточных данных.
2.2. Обработка персональных данных субъектов персональных данных производится Оператором с целью соблюдения прав и обязанностей клиентов и пациентов, обеспечения соблюдения законодательства РФ, в том числе в сфере здравоохранения, а также осуществления прав и обязанностей Работников предпринимателя в соответствии с трудовым законодательством РФ; ведения персонифицированного учета; исполнения договорных и иных гражданско-правовых отношений при осуществлении ИП Левчиковой К.Р своей деятельности; повышения оперативности и качества обслуживания клиентов, пациентов.
2.3. Индивидуальным предпринимателем Левчиковой К.Р обрабатываются следующие категории персональных данных:
2.3.1. В отношении Работников: фамилия, имя, отчество, дата и место рождения, адрес регистрации и место жительства, реквизиты основного документа, удостоверяющего личность гражданина, данные страхового свидетельства, номер телефона, семейное и социальное положение, образование, квалификация, профессия, сведения о воинском учете (при их наличии), данные медицинского характера (в случаях, предусмотренных законодательством РФ);
2.3.2. В отношении пациентов: фамилия, имя и отчество, год, месяц, дата рождения, реквизиты документа, удостоверяющего личность гражданина, пол, семейное положение, социальное положение, гражданство, адрес электронной почты (при наличии), адрес места жительства, адрес регистрации, номер телефона, профессия, сведения о трудовой деятельности, сведения об образовании, сведения о состоянии здоровья.
2.3.3. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
3. Условия обработки
3.1. Порядок работы с персональными данными у предпринимателя регламентирован действующим законодательством РФ, внутренними документами предпринимателя и осуществляется с соблюдением строго определенных правил и условий.
3.2. Обработка персональных данных у индивидуального предпринимателя Левчиковой К.Р осуществляется путем сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), использования, передачи (предоставления, доступа), обезличивания, блокирования, уничтожения персональных данных исключительно для обеспечения соблюдения федерального законодательства и иных нормативных правовых актов, соответствия целям, заранее определенным и заявленным при сборе персональных данных, учета результатов и выполнения
договорных и иных гражданско-правовых обязательств. При этом используется смешанный (автоматизированный и неавтоматизированный) способ обработки персональных данных.
3.3. Индивидуальный предприниматель Левчикова К.Р не осуществляет трансграничную передачу персональных данных клиентов, пациентов, работников.
3.4. Сроки хранения документов, содержащих персональные данные субъектов, определяются в соответствии со сроком действия договора с субъектом персональных данных, а также иными требованиями законодательства РФ. По истечении сроков хранения таких документов они подлежат уничтожению.
3.5. С целью защиты персональных данных при их обработке в информационных системах персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий с ними у ИП Левчиковой К.Р применяются организационные и технические меры.
4. Основные мероприятия по обеспечению безопасности обработки персональных данных
4.1. Для защиты персональных данных при их обработке у индивидуального предпринимателя Левчиковой К.Р применяются следующие организационные и технические меры:
-доступ к персональным данным предоставляется только тем сотрудникам предпринимателя, на которых возложена обязанность по их обработке. Указанные лица имеют право на обработку только тех персональных данных, которые необходимы им для выполнения конкретных функций, связанных с исполнением должностных обязанностей;
-обработка персональных данных ведется сотрудниками только на своих рабочих местах, выделенных для исполнения ими должностных обязанностей;
-конфиденциальная информация, содержащая персональные данные субъектов персональных данных, проходит процедуру уничтожения в соответствии с законодательством РФ;
-разграничены права доступа к персональным данным, обрабатываемым в информационных системах;
-проводится ознакомление работников, непосредственно осуществляющих обработку персональных данных либо имеющих к ним доступ в силу своих должностных обязанностей, с положениями законодательства РФ, требованиями к защите персональных данных, локальными нормативными актами ИП по вопросам обработки персональных данных;
-своевременно предотвращаются попытки нарушения требований законодательства РФ в области обработки персональных данных
-проводится контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности, а также проводится контроль соответствия обработки персональных данных требованиям Федерального закона «О персональных данных» № 152-ФЗ от 27.07.2006 г.
- осуществляется определение угроз безопасности персональных данных при их обработке
- применяются организационные и технические меры по обеспечению безопасности персональных данных
- учет машинных носителей персональных данных
- установление правил доступа к персональным данным
5. Порядок предоставления информации, содержащей персональные данные
5.1. Оператор обязан сообщить в порядке, предусмотренном статьей 14 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
5.2. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий десяти рабочих дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
5.3. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах.
5.4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
5.5. Сторонние организации имеют право доступа к персональным данным субъектов персональных данных только, если они наделены необходимыми полномочиями в соответствии с законодательством РФ, либо на основании договоров с ИП, заключенных в связи с требованиями законодательства РФ.
Основанием для сотрудника предпринимателя в целях предоставления информации о персональных данных субъектов служит резолюция индивидуального предпринимателя Левчиковой К.Р на соответствующем запросе.
6. Меры, обеспечивающие сохранность персональных данных и исключающих несанкционированный к ним доступ:
6.1. Для обеспечения сохранности персональных данных и исключения несанкционированного доступа к персональным данным у индивидуального предпринимателя Левчиковой К.Р применяются следующие меры:
- определение круга лиц, участвующих в обработке персональных данных;
- назначение ответственного за обеспечение безопасности персональных данных;
- организация информирования сотрудников о порядке обработки персональных данных;
- установка жалюзи, штор на окнах, исключающие несанкционированный доступ к персональным данным снаружи здания;
- контроль над соблюдением обработки персональных данных;
- проведение внутренних проверок на предмет выявления изменений в режиме обработки и защиты персональных данных;
- контроль за обновлениями программного обеспечения и единообразия применяемого программного обеспечения на всех элементах информационной системы;
- контроль за обеспечением резервного копирования;
- организация анализа и пересмотра имеющихся угроз безопасности персональных данных
- поддержание в актуальном состоянии нормативно-организационных документов.
- иные меры
7. Ответственность за нарушение требований, регулирующих получение, обработку и хранение персональных данных
7.1. Должностные лица, обрабатывающие персональные данные, несут ответственность в соответствии с действующим законодательством РФ.
7.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, гражданско-правовую, административную и иную ответственность в соответствии с действующим законодательством РФ.
8. Заключительные положения
8.1. Настоящая Политика вступает в силу с момента ее утверждения индивидуальным предпринимателем Левчиковой Ксенией Рамазовной.
8.2. Настоящая Политика подлежит корректировке в случае изменения законодательства РФ, регулирующих органов в области защиты персональных данных, внутренних документов в области защиты конфиденциальной информации. При внесении изменений в заголовке Политики указывается номер версии и дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее утверждения индивидуальным предпринимателем Левчиковой К.Р
8.3. В случае изменения законодательства РФ в области защиты персональных данных, нормы Политики, противоречащие законодательству, не применяются до приведения их в соответствие.