1. НАЗНАЧЕНИЕ ПОЛИТИКИ
Настоящая политика предназначена для определения концептуальных основ деятельности ООО «ИнПси» по обеспечению защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
2. ОБЛАСТЬ ПРИМЕНЕНИЯ
2.1. Настоящая Политика распространяется на деятельность всех подразделений ООО «ИнПси», участвующих в обработке персональных данных.
2.2. Настоящая Политика в соответствии с требованиями п. 2 ст. 18.1 Федерального закона «О персональных данных» подлежит опубликованию на официальном сайте
www.mhcenter.ru/. Действующая редакция Политики на бумажном носителе хранится по адресу: 127 055, г. Москва, ул. Палиха, д. 13/1, стр. 2.
3. СРОК ДЕЙСТВИЯ
3.1. Настоящая Политика вводится в действие сроком на 1 год.
3.2. Настоящая Политика может пересматриваться и заново утверждаться по мере внесения изменений:
— в нормативные правовые акты в сфере персональных данных;
— в локальные акты ООО «ИнПси», регламентирующие организацию обработки и обеспечения безопасности персональных данных.
4. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
4.1. **Персональные данные** — любая информация, относящаяся к прямому или косвенному определению физического лица (субъекта персональных данных).
4.2. **Обработка персональных данных** — любое действие (операция) или совокупность действий, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, представление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
4.3. **Автоматизированная обработка персональных данных** — обработка персональных данных с помощью средств вычислительной техники.
4.4. **Представление персональных данных** — действия, направленные на раскрытие персональных данных.
4.5. **Уничтожение персональных данных** — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных, и (или) в результате которых уничтожаются материальные носители персональных данных.
4.6. **Обезличивание персональных данных** — действия, в результате которых невозможно без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
4.7. **Информационная система персональных данных** — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
4.8. **Трансграничная передача персональных данных** — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
5. НОРМАТИВНЫЕ ССЫЛКИ
5.1. Настоящая Политика разработана в соответствии с положениями следующих нормативных правовых актов:
— Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 № 195-ФЗ;
— Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
— Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
— Федеральный закон от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»;
— Федеральный закон от 03.04.1995 № 40-ФЗ «О Федеральной службе безопасности»;
— Федеральный закон от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности»;
— Указ Президента Р Ф от 16.08.2004 № 1085 «Вопросы Федеральной службы по техническому и экспортному контролю»;
— Постановление Правительства Р Ф от 16.03.2009 № 228 «Положение о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций»;
— Постановление Правительства Р Ф от 01.11.2012 № 1119 «Требования к защите персональных данных при их обработке в информационных системах персональных данных»;
— Постановление Правительства Р Ф от 15.09.2008 № 687 «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
— Приказ Минсвязи Р Ф от 21.12.2011 № 346 «Административный регламент ведения реестра операторов, осуществляющих обработку персональных данных»;
— Приказ Минсвязи Р Ф от 14.11.2011 № 312 «Административный регламент осуществления государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства»;
— Приказ ФСТЭК России от 18.02.2013 № 21 «Состав и содержание мер по обеспечению безопасности персональных данных»;
— Приказ ФСБ России от 10.07.2014 № 378 «Требования к криптографической защите персональных данных».
5.2. Во исполнение настоящей Политики в ООО «ИнПси» утверждены:
— Положение о порядке организации и проведения работ по защите персональных данных;
— Положение о защите персональных данных работников ООО «ИнПси»;
— Положение о защите персональных данных соискателей, пациентов и иных субъектов персональных данных;
— иные локальные акты в сфере обработки и защиты персональных данных.
6. ОПИСАНИЕ ПОЛИТИКИ
6.1. Принципы, цели, содержание и способы обработки персональных данных
6.1.1. ООО «ИнПси» обеспечивает соблюдение принципов обработки персональных данных, указанных в ст. 5 Федерального закона № 152-ФЗ.
6.1.2. Обработка персональных данных включает:
— сбор, запись, систематизацию, накопление, хранение;
— уточнение, использование, передачу, обезличивание, блокирование, удаление, уничтожение.
Обработка осуществляется как с использованием средств автоматизации, так и без них.
6.1.3. Категории субъектов персональных данных, чьи данные обрабатываются:
— клиенты и пациенты (действительные и потенциальные);
— члены их семей и представители;
— сотрудники и контрагенты;
— соискатели вакансий;
— посетители мероприятий и объектов ООО «ИнПси».
6.1.4. Цели обработки:
— оказание медицинских и немедицинских услуг;
— соблюдение трудового законодательства;
— обеспечение безопасности и иные законные цели.
6.1.5. Условия прекращения обработки:
— достижение целей обработки;
— отзыв согласия субъекта;
— истечение сроков хранения.
6.1.6. Особые условия обработки:
— биометрических данных;
— специальных категорий данных (здоровье);
— запрет на автоматизированное принятие решений;
— уведомление уполномоченного органа.
6.2. Меры по обеспечению безопасности
6.2.1. Включают:
— назначение ответственного;
— обучение сотрудников;
— контроль и аудит;
— технические и организационные меры защиты.
6.2.2. Ответственность сотрудников определяется локальными актами.
6.3. Права субъектов персональных данных
6.3.1. Право на доступ к своим данным.
6.3.2. Право на уточнение, блокирование или уничтожение данных.
6.3.3. Ограничения прав возможны только по закону.
6.3.4. Порядок обращения в ООО «ИнПси» для защиты прав.
6.3.5. Право на обжалование действий оператора.
7. ОТВЕТСТВЕННОСТЬ
7.1. Нарушители норм обработки персональных данных несут дисциплинарную, материальную, административную, гражданско-правовую и уголовную ответственность в соответствии с законодательством РФ.