ПОЛОЖЕНИЕ
о конфиденциальности и защите персональных данных
1. Общие положения
1.1. Настоящее Положение о конфиденциальности и защите персональных данных (далее — Положение) разработано в соответствии с:
Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных»;
Федеральным законом от 21.11.2011 №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
Постановлением Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
приказами ФСТЭК России, ФСБ России и Роскомнадзора.
1.2. Настоящее Положение определяет порядок обеспечения конфиденциальности персональных данных при их обработке в Производственном кооперативе «ТИТАН» (далее — Организация, Оператор).
1.3. Целью настоящего Положения является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, врачебную тайну.
1.4. Действие настоящего Положения распространяется на все структурные подразделения Организации и всех работников, имеющих доступ к персональным данным.
1.5. Ответственность за соблюдение требований настоящего Положения несут все работники Организации в соответствии с их должностными обязанностями.
2. Основные понятия
2.1. В настоящем Положении используются следующие основные понятия:
персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
конфиденциальность персональных данных — обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;
информационная система персональных данных (ИСПДн) — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
врачебная тайна — сведения о факте обращения за медицинской помощью, состоянии здоровья пациента, диагнозе, иные сведения, полученные при его медицинском обследовании и лечении;
обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными;
защита персональных данных — деятельность по предотвращению утечки персональных данных, несанкционированных и непреднамеренных воздействий на персональные данные.
3. Принципы обеспечения конфиденциальности персональных данных
3.1. Обеспечение конфиденциальности персональных данных основывается на следующих принципах:
законности — соблюдение требований законодательства Российской Федерации при обработке персональных данных;
ограничения доступа — доступ к персональным данным предоставляется только работникам, которым эта информация необходима для выполнения служебных обязанностей;
необходимости и достаточности — обработке подлежат только те персональные данные, которые необходимы для достижения заявленных целей;
комплексности — применение организационных и технических мер защиты персональных данных;
непрерывности — постоянное обеспечение защиты персональных данных;
ответственности — установление персональной ответственности работников за нарушение конфиденциальности персональных данных.
4. Организация работы по обеспечению конфиденциальности персональных данных
4.1. Для организации работы по обеспечению конфиденциальности персональных данных в Организации:
назначается лицо, ответственное за организацию обработки персональных данных;
утверждаются локальные акты по вопросам обработки персональных данных;
определяются работники, осуществляющие обработку персональных данных;
организуется обучение работников, осуществляющих обработку персональных данных;
осуществляется контроль за соблюдением требований по обеспечению конфиденциальности персональных данных.
4.2. Лицо, ответственное за организацию обработки персональных данных:
организует работу по обработке и защите персональных данных в Организации;
осуществляет внутренний контроль за соблюдением требований законодательства о персональных данных;
организует прием и обработку запросов субъектов персональных данных;
проводит проверки условий обработки персональных данных;
организует обучение работников по вопросам обработки и защиты персональных данных.
4.3. Все работники, имеющие доступ к персональным данным, обязаны подписать обязательство о неразглашении персональных данных.
5. Порядок доступа к персональным данным
5.1. Доступ работников к персональным данным осуществляется на основании приказа руководителя Организации.
5.2. При предоставлении доступа к персональным данным работник:
знакомится с настоящим Положением и иными локальными актами по вопросам обработки персональных данных под подпись;
подписывает обязательство о неразглашении персональных данных.
5.3. Работникам предоставляется доступ только к тем персональным данным, которые необходимы для выполнения ими служебных обязанностей.
5.4. При увольнении или переводе работника на другую должность, доступ к персональным данным прекращается со дня увольнения или перевода.
5.5. Доступ к ИСПДн осуществляется с использованием индивидуальных учетных записей (логинов и паролей).
5.6. Запрещается передавать свои учетные данные другим лицам.
6. Меры по обеспечению конфиденциальности персональных данных
6.1. Для обеспечения конфиденциальности персональных данных Организация применяет следующие организационные меры:
назначение лица, ответственного за организацию обработки персональных данных;
утверждение локальных актов по вопросам обработки и защиты персональных данных;
определение перечня лиц, имеющих доступ к персональным данным;
организация режима обеспечения безопасности помещений, в которых осуществляется обработка персональных данных;
организация учета документов, содержащих персональные данные;
организация контроля за соблюдением требований по защите персональных данных;
организация обучения работников по вопросам обработки и защиты персональных данных.
6.2. К техническим мерам по обеспечению конфиденциальности персональных данных относятся:
применение средств защиты информации (антивирусное программное обеспечение, межсетевые экраны, средства контроля доступа);
использование средств идентификации и аутентификации пользователей ИСПДн;
применение средств криптографической защиты информации при необходимости;
резервное копирование персональных данных;
регистрация событий безопасности в ИСПДн;
обнаружение и предотвращение несанкционированного доступа к персональным данным.
7. Требования к работникам, осуществляющим обработку персональных данных
7.1. Работники, осуществляющие обработку персональных данных, обязаны:
соблюдать конфиденциальность персональных данных;
соблюдать требования законодательства о персональных данных и локальных актов Организации;
не разглашать персональные данные без письменного согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
использовать персональные данные только в служебных целях;
не передавать персональные данные третьим лицам без соответствующего разрешения;
не передавать свои учетные данные для доступа к ИСПДн другим лицам;
немедленно сообщать лицу, ответственному за организацию обработки персональных данных, о ставших известными фактах или угрозах нарушения конфиденциальности персональных данных.
7.2. Работникам запрещается:
передавать персональные данные третьим лицам без письменного разрешения руководителя Организации;
обсуждать персональные данные в присутствии посторонних лиц;
выносить документы, содержащие персональные данные, за пределы Организации без разрешения руководителя;
копировать или размножать документы, содержащие персональные данные, без служебной необходимости;
оставлять без присмотра документы, содержащие персональные данные;
использовать персональные данные в личных целях.
7.3. Обязанность по соблюдению конфиденциальности персональных данных сохраняется после прекращения трудовых отношений.
8. Хранение и уничтожение персональных данных
8.1. Документы, содержащие персональные данные, хранятся в специально оборудованных помещениях с ограниченным доступом.
8.2. Документы, содержащие персональные данные пациентов, хранятся в сейфах или запирающихся шкафах.
8.3. Помещения, в которых хранятся документы с персональными данными, в нерабочее время закрываются на замок и опечатываются.
8.4. Медицинская документация, содержащая персональные данные пациентов, хранится в течение 25 лет в соответствии с Приказом Росархива от 20.12.2019 №236.
8.5. По истечении срока хранения документы, содержащие персональные данные, подлежат уничтожению.
8.6. Уничтожение документов, содержащих персональные данные, осуществляется путем:
измельчения документов на бумажных носителях с использованием шредера;
стирания или физического уничтожения электронных носителей информации.
8.7. Факт уничтожения документов, содержащих персональные данные, оформляется актом об уничтожении.
9. Обработка обращений субъектов персональных данных
9.1. Субъект персональных данных имеет право направить Организации запрос о предоставлении информации, касающейся обработки его персональных данных.
9.2. Запрос должен содержать:
фамилию, имя, отчество субъекта персональных данных;
номер основного документа, удостоверяющего личность, сведения о дате выдачи документа и выдавшем его органе;
подпись субъекта персональных данных.
9.3. Организация обязана рассмотреть запрос и направить ответ в течение 30 (тридцати) дней с даты получения запроса.
9.4. Ответ на запрос направляется в письменной форме по почтовому адресу, указанному в запросе, или в форме электронного документа, подписанного электронной подписью.
10. Ответственность за нарушение конфиденциальности персональных данных
10.1. Работники, виновные в нарушении требований по обеспечению конфиденциальности персональных данных, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с законодательством Российской Федерации.
10.2. К нарушениям требований по обеспечению конфиденциальности персональных данных относятся:
разглашение персональных данных без согласия субъекта персональных данных или без законных оснований;
передача персональных данных третьим лицам без соответствующего разрешения;
использование персональных данных в личных целях;
утрата документов, содержащих персональные данные;
передача своих учетных данных для доступа к ИСПДн другим лицам;
несоблюдение требований по хранению документов, содержащих персональные данные;
иные действия, повлекшие нарушение конфиденциальности персональных данных.
10.3. Дисциплинарная ответственность за нарушение конфиденциальности персональных данных применяется в порядке, установленном Трудовым кодексом Российской Федерации.
10.4. Административная ответственность за нарушение законодательства о персональных данных предусмотрена статьей 13.11 Кодекса Российской Федерации об административных правонарушениях:
для должностных лиц — штраф от 10 000 до 50 000 рублей;
для юридических лиц — штраф от 60 000 до 300 000 рублей.
10.5. Уголовная ответственность за неправомерное распространение персональных данных предусмотрена статьей 137 Уголовного кодекса Российской Федерации.
11. Контроль за соблюдением требований по обеспечению конфиденциальности персональных данных
11.1. Контроль за соблюдением требований настоящего Положения осуществляет лицо, ответственное за организацию обработки персональных данных.
11.2. В рамках осуществления контроля проводятся проверки:
соблюдения работниками требований законодательства о персональных данных и локальных актов Организации;
правильности обработки персональных данных;
соблюдения правил хранения документов, содержащих персональные данные;
эффективности применяемых мер по защите персональных данных.
11.3. Проверки проводятся не реже одного раза в год.
11.4. По результатам проверки составляется акт, который доводится до сведения руководителя Организации.
11.5. При выявлении нарушений принимаются меры по их устранению.
12. Заключительные положения
12.1. Настоящее Положение является внутренним документом Организации и обязательно для исполнения всеми работниками.
12.2. Все работники, имеющие доступ к персональным данным, должны быть ознакомлены с настоящим Положением под подпись.
12.3. Настоящее Положение может быть изменено или дополнено приказом руководителя Организации.
12.4. Изменения и дополнения вступают в силу со дня их утверждения, если иное не предусмотрено приказом об их утверждении.
12.5. Контроль за исполнением настоящего Положения возлагается на лицо, ответственное за организацию обработки персональных данных.
12.6. Вопросы, не урегулированные настоящим Положением, регламентируются действующим законодательством Российской Федерации.
