1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1 Настоящая политика в отношении обработки персональных данных (далее — Политика) разработана в соответствии с требованиями:
— Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»);
— Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
— Трудового кодекса Российской Федерации;
— приказа ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
— приказа Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
— иных нормативных правовых актов Российской Федерации и нормативных документов уполномоченных органов государственной власти.
1.2 Политика определяет цели, принципы обработки и реализуемые требования к защите персональных данных в ООО «М.М. Стоматологическая клиника».
1.3 Персональные данные являются информацией ограниченного доступа и подлежат защите в соответствии с законодательством Российской Федерации.

2. ОСНОВНЫЕ ПОНЯТИЯ

2.1 В настоящей Политике используются следующие основные понятия:
2.1.1. Субъектами персональных данных ООО «М.М. СТОМАТОЛОГИЧЕСКАЯ КЛИНИКА» являются:
— пациенты ООО «М.М. СТОМАТОЛОГИЧЕСКАЯ КЛИНИКА», их законные представители;
— граждане Российской Федерации, претендующие на замещение вакантных должностей в ООО «М.М. СТОМАТОЛОГИЧЕСКАЯ КЛИНИКА»;
— работники ООО «М.М. СТОМАТОЛОГИЧЕСКАЯ КЛИНИКА»;
— обратившиеся граждане Российской Федерации и иностранных государств;
— физические лица, состоящие в договорных и (или) иных гражданско- правовых отношениях с ООО «М.М. СТОМАТОЛОГИЧЕСКАЯ КЛИНИКА».
2.1.2. Категориями персональных данных, обрабатываемыми ООО «М.М. СТОМАТОЛОГИЧЕСКАЯ КЛИНИКА», являются: фамилия, имя, отчество, пол, число, месяц, год рождения, место рождения, гражданство, адрес места жительства (адрес регистрации, фактического проживания), номер телефона, адрес электронной почты, данные основного документа, удостоверяющего личность, сведения о дате его выдачи и выдавшем его органе, номер страхового свидетельства государственного пенсионного страхования (СНИЛС), идентификационный номер налогоплательщика (ИНН), фотография, семейное положение, сведения о составе семьи, состояние здоровья, образование, сведения о квалификации и наличии специальных знаний или специальной подготовки, профессия, стаж, место работы, должность, сведения о предоставлении отпусков, сведения табеля учета рабочего времени, род (вид) основных занятий, сведения о воинском учете, сведения о наградах, почетных званиях, сведения об участии в боевых действиях.
2.1.3. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2.1.4. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
2.1.5. Конфиденциальность персональных данных — обязанность оператора и иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

3. ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1 ООО «М.М. СТОМАТОЛОГИЧЕСКАЯ КЛИНИКА» в своей деятельности по обработке персональных данных руководствуется следующими принципами:
3.1.1 Обработка персональных данных осуществляется на законной и справедливой основе.
3.1.2 Цели обработки персональных данных соответствуют полномочиям ООО «М.М. СТОМАТОЛОГИЧЕСКАЯ КЛИНИКА».
3.1.3 Содержание и объем обрабатываемых персональных данных соответствуют целям обработки персональных данных.
3.1.4 Достоверность персональных данных, их актуальность и достаточность для целей обработки, недопустимость обработки избыточных по отношению к целям сбора персональных данных.
3.1.5 Ограничение обработки персональных данных при достижении конкретных и законных целей, запрет обработки персональных данных, несовместимых с целями сбора персональных данных.
3.1.6 Запрет объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой. Осуществление хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем это требуют цели обработки персональных данных, если срок хранения персональных данных не установлен действующим законодательством.
3.1.7 Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.
3.2 Обработка персональных данных работников ООО «М.М. СТОМАТОЛОГИЧЕСКАЯ КЛИНИКА» осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации, содействия им в обучении и должностном росте, обеспечения их личной безопасности и членов их семей, а также в целях обеспечения сохранности принадлежащего им имущества и имущества государственного органа, учета результатов исполнения ими должностных обязанностей.
3.3 Обработка персональных данных иных физических лиц (под иными физическими лицами подразумеваются кандидаты на замещение вакантных должностей ООО «М.М. СТОМАТОЛОГИЧЕСКАЯ КЛИНИКА», пациенты или их законные представители), не являющихся работниками ООО «М.М. СТОМАТОЛОГИЧЕСКАЯ КЛИНИКА», осуществляется с целью реализации полномочий, закрепленных за ООО «М.М. СТОМАТОЛОГИЧЕСКАЯ КЛИНИКА».

4. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ И ИНЫХ

ФИЗИЧЕСКИХ ЛИЦ

4.1 Обработка персональных данных работников ООО «М.М. СТОМАТОЛОГИЧЕСКАЯ КЛИНИКА» (далее — работники) осуществляется с их письменного согласия, которое действует со дня заключения с ними трудового договора и до окончания срока хранения личных дел, согласно законодательству Российской Федерации.
4.2. Обработка персональных данных иных физических лиц осуществляется с их письменного согласия, которое действует со дня подписания иным физическим лицом письменного согласия и до момента наступления целей обработки персональных данных или письменного заявления физического лица о прекращении обработки его персональных данных.
4.3 Представитель ООО «М.М. СТОМАТОЛОГИЧЕСКАЯ КЛИНИКА» в лице Генерального директора, осуществляющего полномочия работодателя (далее — представитель работодателя), а также работник ООО «М.М. СТОМАТОЛОГИЧЕСКАЯ КЛИНИКА» обеспечивают защиту персональных данных сотрудников, содержащихся в личных делах, от неправомерного их использования или утраты.
4.4 Обработка персональных данных работников, а также иных физических лиц, осуществляется как с использованием средств автоматизации, так и без использования таких средств.
4.5 При обработке персональных данных работников, а также иных физических лиц, в целях реализации, возложенных на ООО «М.М. СТОМАТОЛОГИЧЕСКАЯ КЛИНИКА» полномочий уполномоченные должностные лица обязаны соблюдать следующие требования:
а) объем и характер обрабатываемых персональных данных, способы обработки персональных данных должны соответствовать целям обработки персональных данных;
б) защита персональных данных работника от неправомерного их использования или уничтожения обеспечивается в порядке, установленном нормативными правовыми актами Российской Федерации;
в) передача персональных данных работников не допускается без письменного согласия работника, за исключением случаев, установленных федеральными законами. В случае, если лицо, обратившееся с запросом, не обладает соответствующими полномочиями на получение персональных данных работника, либо отсутствует письменное согласие работника на передачу его персональных данных, ООО «М.М. СТОМАТОЛОГИЧЕСКАЯ КЛИНИКА» вправе отказать в предоставлении персональных данных. В этом случае лицу, обратившемуся с запросом, направляется письменный мотивированный отказ в предоставлении запрашиваемой информации;
г) обеспечение конфиденциальности персональных данных работников, за исключением случаев обезличивания персональных данных и в отношении общедоступных персональных данных;
д) хранение персональных данных должно осуществляться в форме, позволяющей определить работника и иное лицо, являющееся субъектом персональных данных, не дольше, чем этого требуют цели их обработки. Указанные сведения подлежат уничтожению по достижении цели обработки или в случае утраты необходимости в их достижении, если иное не установлено законодательством Российской Федерации. Факт уничтожения персональных данных оформляется соответствующим актом;
е) опубликование и распространение персональных данных работников допускается в случаях, установленных законодательством Российской Федерации.
4.6 Обработка специальных категорий персональных данных работника или иного физического лица, являющегося субъектом персональных данных, осуществляется с их письменного согласия, за исключением случаев, предусмотренных законодательством Российской Федерации. Использование и хранение специальных категорий персональных данных вне информационных систем персональных данных может осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.
4.7 ООО «М.М. СТОМАТОЛОГИЧЕСКАЯ КЛИНИКА» не осуществляет обработку биометрических персональных данных.
4.8 ООО «М.М. СТОМАТОЛОГИЧЕСКАЯ КЛИНИКА» не осуществляет трансграничную передачу персональных данных.
4.9 В целях обеспечения защиты персональных данных работники и иные физические лица вправе:
а) получать полную информацию о своих персональных данных и способе обработки этих данных (в том числе автоматизированной);
б) осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, за исключением случаев, предусмотренных Федеральным законом «О персональных данных»;
в) требовать внесения необходимых изменений, уничтожения или блокирования соответствующих персональных данных, которые являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
г) обжаловать в порядке, установленном законодательством Российской Федерации, действия (бездействие) уполномоченных должностных лиц.

5. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОСУЩЕСТВЛЯЕМОЙ БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ

5.1. При обработке персональных данных без использования средств автоматизации уполномоченными должностными лицами не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы.
5.2. При разработке и использовании типовых форм документов, необходимых для реализации возложенных на ООО «М.М. СТОМАТОЛОГИЧЕСКАЯ КЛИНИКА» полномочий, характер информации в которых предполагает или допускает включение в них персональных данных (далее — типовая форма), должны соблюдаться следующие условия:
а) типовая форма или связанные с ней документы должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, адрес ООО «М.М. СТОМАТОЛОГИЧЕСКАЯ КЛИНИКА», фамилию, имя, отчество и адрес субъекта персональных данных, чьи персональные данные вносятся в указанную типовую форму, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки;
б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, при необходимости получения согласия на обработку персональных данных;
в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов, чьи персональные данные содержатся в типовой форме, при ознакомлении со своими персональными данными, не имел возможности доступа к персональным данным иных лиц, содержащимся в указанной типовой форме;
г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
5.3 Уничтожение или обезличивание персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
5.4. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем изготовления нового материального носителя с уточненными персональными данными.

6. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ

6.1 Безопасность персональных данных, обрабатываемых с использованием средств автоматизации, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным.
6.2 Уполномоченными должностными лицами при обработке персональных данных в информационных системах персональных данных должна быть обеспечена их безопасность с помощью системы защиты, включающей организационные меры и средства защиты информации, в том числе шифровальные (криптографические) средства.
6.3 Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.
6.4 Самостоятельное подключение средств вычислительной техники, применяемых для хранения, обработки или передачи персональных данных к информационно-телекоммуникационным сетям, позволяющим осуществлять передачу информации через государственную границу Российской Федерации, в том числе к информационно-телекоммуникационной сети Интернет, не допускается.
6.5 Доступ пользователей (операторов информационной системы) к персональным данным в информационных системах персональных данных ООО «М.М. СТОМАТОЛОГИЧЕСКАЯ КЛИНИКА» должен требовать обязательного прохождения процедуры идентификации и аутентификации.
6.6 Должностными лицами ООО «М.М. СТОМАТОЛОГИЧЕСКАЯ КЛИНИКА», ответственными за обеспечение безопасности персональных данных при их обработке в информационных системах, должно быть обеспечено:
а) своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до руководства ООО «М.М. СТОМАТОЛОГИЧЕСКАЯ КЛИНИКА»;
б) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
в) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
г) постоянный контроль за обеспечением уровня защищенности персональных данных;
д) знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
ж) при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин;
з) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
6.7 В случае выявления нарушений порядка обработки персональных данных в информационных системах ООО «М.М. СТОМАТОЛОГИЧЕСКАЯ КЛИНИКА» уполномоченными должностными лицами принимаются меры по установлению причин нарушений и их устранению.
6.8 Персональные данные могут быть представлены для ознакомления:
а) сотрудникам, допущенным к обработке персональных данных с использованием средств автоматизации в части, касающейся исполнения их должностных обязанностей;
б) уполномоченным работникам федеральных органов исполнительной власти в порядке, установленном законодательством Российской Федерации.

7. ПЕРЕЧЕНЬ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ

7.1 ООО «М.М. СТОМАТОЛОГИЧЕСКАЯ КЛИНИКА» при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении них, следующими мероприятиями:
7.1.1 Ознакомлением работников ООО «М.М. СТОМАТОЛОГИЧЕСКАЯ КЛИНИКА», непосредственно осуществляющих обработку персональных данных, с требованиями законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, локальными актами в отношении обработки персональных данных, и обучением указанных сотрудников.
7.1.2 Выполнением требований, установленных постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» при обработке персональных данных, осуществляемой без использования средств автоматизации.
7.1.3 Выявлением фактов несанкционированного доступа к персональным данным и принятием мер.
7.1.4 Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
7.1.5 Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых в информационной системе персональных данных.
7.2 Работники ООО «М.М. СТОМАТОЛОГИЧЕСКАЯ КЛИНИКА», виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.

8. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

8.1 Настоящая Политика может быть пересмотрена в результате изменений нормативных актов, регулирующих защиту персональных данных и деятельность ООО «М.М. СТОМАТОЛОГИЧЕСКАЯ КЛИНИКА».
8.2 Действующая Политика размещается в открытом доступе на официальном сайте ООО «М.М. СТОМАТОЛОГИЧЕСКАЯ КЛИНИКА» в сети Интернет.