Политика конфиденциальности
ПОЛОЖЕНИЕ
об обработке персональных данных в информационных системах персональных данных
1.1. Термины и определения
Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных);
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
Использование персональных данных – действия с персональными данными, совершаемые работниками Общества в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
Автоматизированная обработка – обработка данных, выполняемая средствами вычислительной техники;
Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;
Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
Информационная система персональных данных – система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
Защита персональных данных – деятельность уполномоченных лиц по обеспечению с помощью локального регулирования порядка обработки персональных данных и организационно-технических мер конфиденциальности информации о конкретном субъекте персональных данных.
1.2. Назначение и правовая основа документа
Настоящее Положение об обработке персональных данных (далее – Положение) определяет порядок получения, хранения, обработки, комбинирования, передачи и любого другого использования персональных данных, обрабатываемых в информационных системах персональных данных (далее – ИСПДн) Общества с ограниченной ответственностью «Реабилитационный центр» (далее – Общество) в соответствии с законодательством Российской Федерации.
Настоящее Положение разработано в соответствии с:
- Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
- Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
Персональные данные, обрабатываемые в ИСПДн, относятся к конфиденциальной информации, порядок работы с которыми регламентирован Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и осуществляется с соблюдением строго определенных правил и условий.
2. Получение, обработка и защита персональных данных
2.1. Порядок получения персональных данных
- все персональные данные следует получать лично у субъекта ПДн. Если персональные данные, возможно, получить только у третьей стороны, то субъект ПДн должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Общество должно сообщить субъекту ПДн о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных и последствиях отказа субъекта ПДн дать письменное согласие на их получение;
- Общество вправе обрабатывать персональные данные субъектов ПДн только с их письменного разрешения;
письменное согласие субъекта ПДн на обработку своих персональных данных должно включать в себя персональные данные, указанные в перечне ПДн, подлежащих защите в ИСПДн;
- Общество не имеет права получать и обрабатывать персональные данные субъекта ПДн о его политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях или его профсоюзной деятельности;
- работники Общества имеют право получать только те ПДн, которые необходимы им для выполнения своих служебных обязанностей;
- работники Общества, получающие персональные данные субъекта ПДн, обязаны соблюдать режим конфиденциальности.
2.2. Порядок обработки персональных данных.
- при определении объема и содержания, обрабатываемых персональных данных, Общество должно руководствоваться Конституцией Российской Федерации, Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и иными федеральными законами в области защиты персональных данных;
- при принятии решений, затрагивающих интересы субъекта ПДн, Общество не имеет права основываться на персональных данных субъекта ПДн, полученных исключительно в результате их автоматизированной обработки или электронно.
2.3. Порядок защиты персональных данных.
- защита персональных данных субъекта ПДн от неправомерного их использования или утраты должна быть обеспечена Обществом за счет ее средств в порядке, установленном федеральными законами Российской Федерации в области защиты персональных данных;
- Общество обязано при обработке персональных данных субъектов персональных данных принимать необходимые организационные и технические меры для защиты персональных данных от несанкционированного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий;
- соблюдать порядок получения, учета и хранения персональных данных субъектов ПДн;
- применять технические средства охраны и сигнализации;
- взять со всех работников, связанными с получением, обработкой и защитой персональных данных субъектов ПДн, Обязательство о неразглашении персональных данных;
- привлекать к дисциплинарной ответственности работников, виновных в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта ПДн;
- запретить допуск к персональным данным субъектов ПДн работников Общества, не включенных в Перечень лиц, допущенных к обработке персональных данных, обрабатываемых в ИСПДн;
- защита доступа к электронной базе данных, содержащей персональные данные субъектов ПДн, должна обеспечиваться путем использованием сертифицированных программных и программно-аппаратных средств защиты информации, предотвращающих несанкционированный доступ третьих лиц к персональным данным субъектов ПДн;
- копировать и делать выписки персональных данных субъектов ПДн разрешается исключительно в служебных целях с письменного разрешения руководителя Общества;
- субъекты ПДн не должны отказываться от прав на сохранение и защиту своих персональных данных;
- Общество, субъекты ПДн и их представители должны совместно вырабатывать меры защиты персональных данных субъектов ПДн.
3. Хранение персональных данных
Сведения о субъектах ПДн в Обществе на бумажных носителях должны храниться в специально оборудованных шкафах и сейфах, которые запираются и опечатываются. Ключи от шкафов и сейфов, в которых хранятся сведения о субъектах ПДн, находятся у Ответственного за хранилища.
Обязанности по хранению сведений о субъектах ПДн, заполнению, хранению и выдаче документов, содержащих персональные данные, в ИСПДн возлагаются на Ответственного за организацию обработки персональных данных.
Съемные электронные носители, на которых хранятся резервные копии персональных данных субъектов ПДн, должны быть промаркированы и учтены в журнале регистрации, учета и выдачи внешних носителей для хранения резервных копий ПДн.
В процессе хранения персональных данных субъектов ПДн необходимо обеспечивать контроль за достоверностью и полнотой персональных данных, их регулярное обновление и внесение по мере необходимости соответствующих изменений.
4. Передача персональных данных
При передаче персональных данных субъекта ПДн Общество должно соблюдать следующие требования:
- при передаче персональных данных субъекта ПДн использовать выделенную WAN (глобальную компьютерную сеть) с применением сертифицированных средств криптографической защиты информации;
- передавать персональные данные субъекта ПДн представителю субъекта ПДн в порядке, установленном федеральными законами Российской Федерации.
5. Уничтожение персональных данных
При необходимости уничтожения персональных данных Общество должно руководствоваться следующими требованиями:
- уничтожение персональных данных в ИСПДн осуществляется комиссией по проведению мероприятий по защите персональных данных;
- бумажные носители персональных данных должны уничтожаться при помощи специального оборудования (измельчителя бумаги);
- персональные данные, представленные в электронном виде, должны уничтожаться специализированным программным обеспечением, гарантирующим предотвращение восстановления удаленных данных;
- после окончания процедуры удаления персональных данных комиссией по проведению мероприятий по защите персональных данных должен быть составлен акт уничтожения персональных данных.
6. Внутренние проверки состояния защищенности информационной системы персональных данных
Проверка состояния защищенности ИСПДн осуществляется комиссией по проведению мероприятий по защите персональных данных.
Проверка состояния защищенности ИСПДн осуществляется с целью определения соответствия нормативных, организационных, практических и технических мероприятий, реализуемых Обществом, требованиям законов и иных нормативных правовых актов Российской Федерации в области информационной безопасности и защиты персональных данных.
Проверка состояния защищенности ИСПДн включает в себя:
- определение характера циркулирующих персональных данных и установленных в ИСПДн режимов их обработки;
- определение актуальности организационно-распорядительной документации, учитывающей конкретные условия функционирования средств вычислительной техники различного уровня и назначения (рабочие станции пользователей, серверное и периферийное оборудование, технические средства защиты информации, в том числе средства криптографической защиты информации), порядок работы сотрудников организации при эксплуатации средств вычислительной техники;анализ принятых мер (программных, технических, организационных), обеспечивающих защиту средств вычислительной техники, информационной системы и баз данных от несанкционированного доступа, оценка продуктивности организационного процесса защиты информации. Достаточность технических средств обработки и защиты информации, наличие подтверждений соответствия по требованиям информационной безопасности (сертификатов соответствия);
- проведение анализа конфигураций активного сетевого оборудования, маршрутизаторов, коммутаторов, серверов с целью выявления уязвимых мест в системе защиты информации;
- проведение инструментального анализа сетевого и серверного оборудования локально-вычислительных сетей, информационных систем и баз данных с применением программно-аппаратных средств;
- проверка работоспособности используемых программных и программно-аппаратных средств обнаружения и предотвращения компьютерных атак;
- проверка наличия лицензионных средств защиты от вредоносных программ и вирусов или сертифицированных свободно распространяемых антивирусных средств защиты;
- проверка оснащения серверных и кроссовых помещений средствами контроля доступа и пожаротушения, обеспечения температурного режима, регламент доступа к серверным и кроссовым помещениям;
- проверка состояния защищенности информационных ресурсов от сбоев в системе электропитания (система резервирования и автоматического ввода резерва);
- проверка состояния линейно-кабельного оборудования локально-вычислительных сетей (наличие запирающих и опечатывающих устройств, оборудования распределительных шкафов).
Внутренняя проверка Комиссии по проведению мероприятий по защите персональных данных завершается подведением итогов (обобщением) результатов проверки и составлением акта о результате проверки состояния защищенности ИСПДн.
Акт должен содержать:
- дата, время и место составления акта;
- дата и место проведения проверки;
- сведения о результатах проверки, в том числе о выявленных нарушениях и их характере;
- достоверное и обоснованное изложение состояния защищенности информационной системы и ресурсов, выявленных недостатков и нарушений со ссылками на соответствующие документы и факты, выводы и предложения по их устранению с указанием конкретных сроков.
7. Обязанности субъекта персональных данных и Оператора
В целях обеспечения достоверности персональных данных субъект ПДн обязан:
- предоставлять Обществу полные и достоверные данные о себе;
- в случае изменения своих персональных данных сообщать данную информацию Обществу.
- Общество обязано:
- осуществлять защиту персональных данных субъекта ПДн;
- вести Журнал учета обращений субъектов персональных данных по вопросам обработки их ПДн в ИСПДн;
- обеспечивать хранение документации, содержащей персональные данные субъектов ПДн, при этом персональные данные не должны храниться дольше, чем это оправдано выполнением задач, для которых они собирались, или дольше, чем это требуется в интересах лиц, о которых собраны данные.
8. Права субъекта ПДн в целях защиты персональных данных
Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных Оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Оператором способы обработки персональных данных;
- сроки обработки персональных данных, в том числе сроки их хранения;
Субъект персональных данных имеет право на определение представителей для защиты своих персональных данных.
Субъект персональных данных имеет право требовать исключить или исправить неверные или неполные персональные данные, а также данные, обрабатываемые с нарушением требований Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
Субъект персональных данных имеет право требовать об извещении Обществом всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта ПДн, обо всех произведенных в них исключениях, исправлениях или дополнениях.
Субъект персональных данных имеет право на обжалование в судебном порядке любых неправомерных действий или бездействии Общества при обработке и защите его персональных данных.
9. Ответственность за нарушение норм, регулирующих получение, обработку и защиту персональных данных субъекта ПДн
Лица, виновные в нарушении требований федеральных законов РФ, несут предусмотренную законодательством РФ ответственность.
Моральный вред, причиненный субъекту ПДн вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных федеральными законами, а также нарушения требований к защите персональных данных подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.