1.      Общие положения

 

1.1.       Политика в области обработки персональных данных (далее – Политика) Общества с ограниченной ответственностью «Астрея» (далее – Оператор) определяет основные принципы и правила обработки персональных данных (далее – ПДн), в соответствии с которыми Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законодательством Российской Федерации, нормативными правовыми актами и иными документами в области защиты персональных данных.

1.2.       Настоящая Политика является общедоступным документом, подлежит опубликованию на сайте Оператора и к ней предоставляется доступ с использованием информационно-телекоммуникационной сети (Интернет), а также иными способами в соответствии с законодательством Российской Федерации.

2.         Сведения об Операторе

Наименование:  Общество с ограниченной ответственностью «Астрея»

Адрес:                 428034, Чувашская Республика, г. Чебоксары, пр. М. Горького, д. 10, корп. 1

Телефон:             8 (8352) 45-52-02, 48-01-11

Сайт:                   www.astrea21.ru

E-mail:                  astrea.cheb@gmail.com

Ответственный за организацию обработки персональных данных Оператора:

Одеряков Сергей Александрович, директор ООО «Астрея».

3.         Правовые основания обработки персональных данных

3.1.       Политика Оператора в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами Российской Федерации:

-          Конституция Российской Федерации;

-          Трудовой кодекс Российской Федерации;

-          Гражданский кодекс Российской Федерации;

-          Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;

-          Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

-          Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;

-          Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

-          Постановление Правительства РФ от 04.10.2012 № 1006 «Об утверждении Правил предоставления медицинскими организациями платных медицинских услуг»;

-          Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

-          Приказ Федеральной службы по техническому и экспортному контролю от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

-          иные нормативные правовые акты и методические рекомендации надзорных органов (Роскомнадзор, ФСБ России и ФСТЭК России) в области защиты информации.

3.2.            Во исполнение настоящей Политики приказами Оператора утверждены следующие локальные организационно-распорядительные и иные документы, в том числе:

-          Приказ о назначении ответственного за организацию обработки персональных данных;

-          Приказ о создании экспертной комиссии (для проведения  классификации ИСПДн и разработки модели угроз безопасности ПДн);

-          Приказ о назначении администратора информационной безопасности;

-          Приказ о назначении должностных лиц, ответственных за обеспечение безопасности ПДн в ИСПДн;

-          Приказ о назначении должностных лиц, ответственных за эксплуатацию информационных систем персональных данных (далее – ИСПДн) и используемых в них средств защиты информации;

-          Приказ об утверждении списка лиц, допущенных к обработке персональных данных;

-          Приказ об утверждении перечня помещений для работы с ПДн;

-          Приказ о внесении изменений в должностные инструкции работников;

-          Приказ об организации и проведению работ по обеспечению безопасности ПДн, включая приложения:

·     Положение об организации и проведении работ по обеспечению безопасности ПДн;

·     Положение об организации режима безопасности помещений, в которых осуществляется обработка с ПДн;

·     Типовые формы журналов;

-          Приказ об обработке ПДн, включая приложения:

·     Положение по обработке ПДн;

·     Типовая инструкция по заполнению типовых форм;

·     Форма Обязательства о неразглашении ПДн;

·     Форма Согласия на обработку ПДн;

-          Приказ об утверждения перечня обрабатываемых персональных данных;

-          Приказ об утверждения перечня информационных систем персональных данных;

-          Акты классификации информационных систем персональных данных;

-          Модели угроз безопасности персональных данных при их обработки в информационных системах персональных данных.

3.3.       Локальные организационно-распорядительные и иные документы Оператора актуализируется в соответствии с вносимыми изменениями в законодательство Российской Федерации в области защиты персональных данных, организационно штатными и иными изменениями в деятельности Оператора. 

4.         Цели обработки персональных данных

Оператор осуществляет обработку персональных данных в следующих целях:

– выполнение своих полномочий и функций в соответствии с заявленными видами деятельности (оказание медицинских услуг и др.), в том числе исполнение действующих договоров;

– выполнение требований законодательства Российской Федерации, нормативных правовых актов, указаний и предписаний вышестоящих ведомственных организаций, надзирающих и контролирующих органов.

5.         Принципы обработки персональных данных

5.1.       Оператор в своей деятельности руководствуется и осуществляет обработку персональных данных с соблюдением принципов, указанных в ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»:

-          обработка персональных данных осуществляться на законной и справедливой основе, в соответствии с требованиями нормативных правовых актов и иных документов,  указанных в п. 3 настоящей Политики;

-          сбор и обработка персональных данных ограничена достижением целей обработки, указанных в п. 4 настоящей Политики;

-          сбор персональных данных осуществляется только в рамках перечней персональных данных, указанных в п. 7 настоящей Политики, для каждой категории персональных данных, указанных в п. 6 настоящей Политики;

-          содержание и объем обрабатываемых персональных данных,  соответствует только заявленным целям, указанным п. 4 настоящей Политики;

-          при обработке персональных данных обеспечивается точность персональных данных, их достаточность, a в необходимых случаях и актуальность по отношению к целям обработки персональных данных за счёт принимаемых организационных, технических и иных мер, указанных в п. 7 настоящей Политики;

-          хранение персональных данных осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законодательством.

6.         Обработка персональных данных

6.1.            Оператор осуществляет обработку персональных данных следующих категорий субъектов:

-        персональные данные работников Оператора;

-        персональные данные не работников Оператора:

·      кандидаты для приема на работу к Оператору;

·      физические лица и представители юридических лиц, с которыми Оператором заключены договора по основным видам его деятельности (оказание медицинских услуг);

·      физические лица и представители юридические лиц, с которыми заключены договора на оказание услуг по неосновному виду деятельности Оператора;

·      физические лица, указавшие свои персональные данные (имя, номер телефона, E-mail) на сайте Оператора, с целью записи на прием.

6.2.       Оператор осуществляет обработку (в автоматизированном и неавтоматизированном виде) и передачу персональных данных третьим лицам в соответствии с требованиями законодательства Российской Федерации и организационно-распорядительных документов Оператора в области обработки и защиты информации.

6.3.       Оператор не осуществляет обработку биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).

6.4.       Оператор не осуществляет трансграничную передачу персональных данных (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу).

 7.         Меры по обеспечению безопасности персональных данных

7.1.       В соответствии с законодательством Российской Федерации по защите информации Оператором при обработке персональных данных приняты необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:

7.1.1.      В соответствии с локальными организационно-распорядительными документами Оператора (п. 3.2. настоящей Политики) назначены:

-     ответственный за организацию обработки персональных данных;

-     администратор информационной безопасности;

-     ответственные за обработку персональных данных;

-     ответственные за обеспечение безопасности персональных данных в информационных системах персональных данных;

-     ответственные за эксплуатацию информационных систем персональных данных и используемых в них средств защиты информации;

определены:

-     лица, допущенные к обработке персональных данных;

-     помещения, в которых осуществляется обработка персональных данных;

-     перечень информационных систем, в которых обрабатываются персональные данные;

-     перечни персональных данных, которые обрабатываются в автоматизированном и неавтоматизированном виде;

-     обязанности ответственных, осуществляющих обработку и защиту персональных данных при их обработке;

-     форма согласия субъекта на обработку его персональных данных;

7.1.2.      Проведена классификация информационных систем персональных данных, определены угрозы безопасности персональных данных при их обработке в информационных системах персональных данных на основании обследования процессов обработки персональных данных, разработаны частные модели угроз безопасности персональных данных;

7.1.3.      Применены организационные и технических меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, а также  осуществлению внутреннего контроля обработки персональных и хранения персональных данных;

7.1.4.      Работники Оператора, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, локальными организационно-распорядительными документами Оператора (положения, правила, инструкции и др.) по вопросам обработки и защиты персональных данных;

7.2.       Обязанности должностных лиц Оператора, осуществляющих обработку и защиту ПДн, определяются Положением об обработке персональных данных, Положением об организации и проведению работ по обеспечению безопасности персональных данных и другими документами.

8.         Права субъекта персональных данных

8.1.       Субъект персональных данных имеет право на получение сведений об Операторе, о месте его нахождения, о наличии у Оператора его персональных данных, а также на ознакомление с такими персональными данными.

8.2.       Субъект вправе требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

8.3.       Субъект персональных по всем интересующим его вопросам, связанным с обработкой персональных данных, может обратиться к ответственному за организацию обработки персональных данных Оператора. Информация об указанном ответственном лице  указана в п. 2 настоящей Политики.