Politica de prelucrare și de protecție a datelor cu caracter personal
Compania cu răspundere limitată "Centrul pentru medicină eficientă"
1. Dispoziții generale
1.3. Modificarea politicii
2. Termeni și abrevieri acceptate
Date personale (PD) - orice informație legată de o persoană fizică definită sau identificată (subiectul datelor cu caracter personal);
Prelucrarea datelor cu caracter personal - orice operațiune (intervenție chirurgicală) sau un set de acțiuni (operațiuni) efectuate cu utilizarea de echipamente de automatizare sau fără utilizarea unor astfel de mijloace cu datele personale, inclusiv colectarea, înregistrarea, acumularea, stocarea, clarificare (actualizare, modificare), extracție, utilizarea, transferul (răspândirea, oferind acces), depersonalizare, blocarea, ștergerea, distrugerea datelor cu caracter personal;
Prelucrarea automatizată a datelor cu caracter personal - prelucrarea datelor cu caracter personal prin intermediul mijloacelor informatice;
Sistemul de informații cu caracter personal (ISDN) - un set de date personale conținute în baze de date și care furnizează prelucrarea lor a tehnologiei informației și a mijloacelor tehnice;
Datele personale puse la dispoziția publicului de către persoana care face obiectul datelor cu caracter personal - PD, accesul unui cerc nelimitat de persoane la care este furnizat obiectul datelor cu caracter personal sau la cererea sa;
Blocarea datelor cu caracter personal - încetarea temporară a prelucrării datelor cu caracter personal (cu excepția cazurilor în care prelucrarea este necesară pentru specificarea datelor cu caracter personal);
Operator - o organizație care prelucrează date cu caracter personal
3.Prepararea datelor cu caracter personal
3.1. Obținerea PD.
3.1.1. Toate PD trebuie obținute de la subiectul propriu-zis. Dacă AT poate fi obținut numai de la un terț, atunci subiectul trebuie să fie informat despre acest lucru sau trebuie obținut un consimțământ de la acesta.
3.1.2. Operatorul trebuie să informeze obiectivele subiectului, surse cunoscute și metode de obținere a PD, natura PD a primit, lista de acțiuni cu PD, perioada în care un ordin de aprobare și revocarea acesteia, precum și consecințele refuzului Sub rezerva unui acord scris pentru a le primi.
3.1.3. Documentele care conțin PD sunt create de:
- copierea documentelor originale (pașaport, document de studii, certificat de INN, certificat de pensie etc.);
- introducerea informațiilor în forme contabile;
- obținerea originalelor documentelor necesare (registru de lucru, raport medical, caracteristici etc.).
3.2. Procesarea PD
3.2.1. Procesarea PD se efectuează:
- cu acordul subiectului datelor cu caracter personal la procesarea PD;
- în cazurile în care prelucrarea PD este necesară pentru implementarea și îndeplinirea funcțiilor, atribuțiilor și îndatoririlor impuse de legislația Federației Ruse;
- în situațiile în care tratamentul PD, accesul publicului larg, care au fost acordate subiectul datelor cu caracter personal sau, la cererea acestuia (în continuare - puse la dispoziție datele cu caracter personal la subiectul public al datelor cu caracter personal).
3.2.2 Obiectivele prelucrării PD:
- Implementarea relațiilor de muncă;
- Realizarea relațiilor civile.
Operatorul prelucrează următoarele subiecte de date cu caracter personal.
- Persoanele care sunt cu Operatorul în relațiile de muncă;
- Persoanele care sunt rude apropiate ale personalului Operatorului;
- Persoane fizice care au încetat angajarea la Operator;
- Persoanele care sunt candidați la un loc de muncă la Operator;
- Persoanele care se află la Operator în relațiile de drept civil
- Persoanele care au solicitat operatorului asistență medicală.
3.2.4. AP-uri procesate de Operator:
- datele obținute în timpul implementării relațiilor de muncă;
- Datele obținute pentru selectarea candidaților la locul de muncă;
- datele obținute în timpul implementării relațiilor de drept civil.
- datele obținute în timpul acordării asistenței medicale.
3.2.5. Procesarea PD se efectuează:
- utilizând instrumente de automatizare;
- fără utilizarea automatizării.
3.3.1. PD Subiectele pot fi primite, prelucrate în continuare și transferate în depozit pe hârtie sau în formă electronică.
3.3.2. PD stocate pe suporturi de hârtie sunt stocate în dulapuri care pot fi închise sau în camere cu posibilitate de încuiere, cu drepturi de acces limitate.
3.3.3. PD Subiectele care sunt procesate folosind instrumente de automatizare pentru scopuri diferite sunt stocate în foldere diferite.
3.3.4. Nu este permisă stocarea și plasarea documentelor care conțin PD în cataloage electronice deschise (partajarea fișierelor) în ISDN.
3.3.5. PD stocate într-o formă care permite subiectului să determine PD efectuat nu mai mult decât este necesar de scopul tratamentului lor pentru, și acestea vor fi distruse pentru realizarea în scopul prelucrării sau în cazul pierderii necesare pentru a le atinge.
3.4. Distrugerea PD
3.4.1. Distrugerea documentelor (purtătorilor) care conțin PD se face prin zdrobire (măcinare). Pentru distrugerea documentelor pe hârtie este permisă o mașină de tuns.
3.4.2. PD-urile pe suporturi electronice sunt distruse prin ștergerea sau formatarea suportului media.
3.4.3. Distrugerea se face de comisie. Faptul distrugerii PD este confirmat de un document privind distrugerea transportatorilor, semnat de membrii comisiei.
3.5.1. Operatorul transferă PD către terți în următoarele cazuri:
- Subiectul și-a exprimat consimțământul față de astfel de acțiuni;
- transferul este asigurat de legislația rusă sau de alte legi aplicabile în cadrul procedurii stabilite prin lege.
3.5.2. Lista persoanelor cărora li se transferă PD.
Terțe părți cărora li se transferă PD:
- Fondul de pensii al Federației Ruse pentru contabilitate (legal);
- Autoritățile fiscale din Federația Rusă (în mod legal);
- Fondul teritorial al asigurărilor medicale obligatorii (legal);
- Asigurări medicale pentru asigurarea medicală obligatorie și voluntară (legal);
- Băncile pentru transferul salariilor (pe bază de contract);
- Agenții de aplicare a legii în cazurile stabilite prin lege.
4.1. În conformitate cu cerințele documentelor de reglementare, Operatorul a creat un sistem de protecție a datelor cu caracter personal (SZPD), care constă în subsisteme de protecție juridică, organizațională și tehnică.
4.2. Subsistemul protecției juridice este un set de documente juridice, organizaționale, de reglementare și de reglementare care asigură crearea, funcționarea și îmbunătățirea MZAP.
4.3. Subsistemul de protecție organizațională include organizarea structurii de conducere a MZPD, sistemul de autorizare și protecția informațiilor în colaborarea cu angajații, partenerii și terții.
4.4. Subsistemul de protecție tehnică include un set de software tehnic, software, firmware, care asigură protecția PD.
4.4. Principalele măsuri de protecție pentru PD utilizate de Operator sunt:
4.5.1. Numirea persoanei responsabile pentru manipularea PD, care organizează procesarea PD, instruirea și informarea, controlul intern asupra respectării de către Operator și angajații săi a cerințelor de protecție a AP;
4.5.2. Identificarea amenințărilor reale la adresa siguranței PD în timpul procesării acestora în ISDN și elaborarea măsurilor și măsurilor de protecție a AP;
4.5.3. Elaborarea unei politici de prelucrare a datelor personale;
4.5.4. Stabilirea regulilor de acces la AP-urile procesate în ISDN, precum și asigurarea înregistrării și înregistrării tuturor acțiunilor efectuate cu PD în ISDN;
4.5.5. Stabilirea de parole individuale pentru accesul angajaților la sistemul de informații în conformitate cu responsabilitățile lor de producție;
4.5.6. Aplicarea procedurilor de evaluare a conformității protecției informațiilor înseamnă că a trecut în procedura stabilită;
4.5.7. Software antivirus certificat, cu baze de date actualizate periodic;
4.5.8. Software-ul certificat pentru a proteja informațiile de acces neautorizat;
4.5.9. Protecție firewall și detectare a intruziunilor;
4.5.10. Se observă condiții care asigură siguranța PD și exclud accesul neautorizat la acestea;
4.5.11. Detectarea faptelor de acces neautorizat la AP și luarea de măsuri;
4.5.12. Restaurarea PD, modificată sau distrusă datorită accesului neautorizat la acestea;
4.5.13. Familiarizarea personalului operatorului, care este direct implicat în procesarea PD, p.
- dispozițiile legislației Federației Ruse privind datele cu caracter personal, inclusiv cerințele privind protecția PD;
- documente care definesc politica Operatorului privind prelucrarea AP;
- actele locale privind prelucrarea datelor cu caracter personal;
4.5.14. Implementarea controlului intern și a auditului.
5. Drepturile fundamentale ale subiectului AE și atribuțiile operatorului
5.1. Drepturile fundamentale ale subiectului PD
Subiectul are dreptul de a accesa datele sale personale și următoarele informații:
- confirmarea faptului că operatorul procesează PD;
- temele și obiectivele juridice pentru procesarea PD;
- obiectivele și metodele utilizate de operator pentru prelucrarea PD;
- numele și adresa operatorului, informații despre persoanele (cu excepția angajaților operatorului), care au acces la AP sau care pot fi divulgate AP pe baza unui contract cu operatorul, sau pe baza legii federale;
- termenii de procesare PD, inclusiv timpul de stocare;
- procedura pentru obiectul PD să exercite drepturile prevăzute de această lege federală;
- contactarea operatorului și trimiterea de cereri;
- recurs împotriva acțiunilor sau omisiunilor operatorului.
5.2. Responsabilitățile operatorului
- atunci când colectează AP, să furnizeze informații cu privire la prelucrarea AP;
- în cazurile în care PD nu a fost obținut din subiectul PD, notificați subiectul;
- în cazul refuzului de a furniza PD, subiectului i se explică consecințele unui astfel de refuz;
- să ia măsurile legale, organizatorice și tehnice necesare sau a se asigura că acestea sunt luate pentru a proteja AP împotriva accesului neautorizat sau accidentale, distrugerea, modificarea, blocarea, copierea, furnizarea, PD de distribuție precum și alte acțiuni ilegale în ceea ce PD;
- să răspundă la anchetele și contestațiile Subiecților PD, reprezentanții acestora și organismul autorizat pentru protecția drepturilor subiecților AO.