Положение об обработке персональных данных в информационных системах персональных данных
1.1. Термины и определения
Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных);
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
Использование персональных данных – действия с персональными данными, совершаемые работниками Общества в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
Автоматизированная обработка – обработка данных, выполняемая средствами вычислительной техники;
Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;
Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
Информационная система персональных данных – система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
Защита персональных данных – деятельность уполномоченных лиц по обеспечению с помощью локального регулирования порядка обработки персональных данных и организационно-технических мер конфиденциальности информации о конкретном субъекте персональных данных.
1.2. Назначение и правовая основа документа
Настоящее Положение об обработке персональных данных (далее – Положение) определяет порядок получения, хранения, обработки, комбинирования, передачи и любого другого использования персональных данных, обрабатываемых в информационных системах персональных данных (далее – ИСПДн) Общества с ограниченной ответственностью «Клиника современной косметологии «Секреты Совершенства» (далее – Общество) в соответствии с законодательством Российской Федерации.
Настоящее Положение разработано в соответствии с:
— Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
— Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
Персональные данные, обрабатываемые в ИСПДн, относятся к конфиденциальной информации, порядок работы с которыми регламентирован Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и осуществляется с соблюдением строго определенных правил и условий.
2 Получение, обработка и защита персональных данных
2.1. Порядок получения персональных данных
— все персональные данные следует получать лично у субъекта ПДн. Если персональные данные, возможно, получить только у третьей стороны, то субъект ПДн должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Общество должно сообщить субъекту ПДн о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных и последствиях отказа субъекта ПДн дать письменное согласие на их получение;
— Общество вправе обрабатывать персональные данные субъектов ПДн только с их письменного разрешения;
— письменное согласие субъекта ПДн на обработку своих персональных данных должно включать в себя персональные данные, указанные в перечне ПДн, подлежащих защите в ИСПДн;
— Общество не имеет права получать и обрабатывать персональные данные субъекта ПДн о его политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях или его профсоюзной деятельности;
— работники Общества имеют право получать только те ПДн, которые необходимы им для выполнения своих служебных обязанностей;
— работники Общества, получающие персональные данные субъекта ПДн, обязаны соблюдать режим конфиденциальности.
2.2. Порядок обработки персональных данных.
— при определении объема и содержания, обрабатываемых персональных данных, Общество должно руководствоваться Конституцией Российской Федерации, Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и иными федеральными законами в области защиты персональных данных;
— при принятии решений, затрагивающих интересы субъекта ПДн, Общество не имеет права основываться на персональных данных субъекта ПДн, полученных исключительно в результате их автоматизированной обработки или электронно.
2.3. Порядок защиты персональных данных.
— защита персональных данных субъекта ПДн от неправомерного их использования или утраты должна быть обеспечена Обществом за счет ее средств в порядке, установленном федеральными законами Российской Федерации в области защиты персональных данных;
— Общество обязано при обработке персональных данных субъектов персональных данных принимать необходимые организационные и технические меры для защиты персональных данных от несанкционированного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий;
— соблюдать порядок получения, учета и хранения персональных данных субъектов ПДн;
— применять технические средства охраны и сигнализации;
— взять со всех работников, связанными с получением, обработкой и защитой персональных данных субъектов ПДн, Обязательство о неразглашении персональных данных;
— привлекать к дисциплинарной ответственности работников, виновных в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта ПДн;
— запретить допуск к персональным данным субъектов ПДн работников Общества, не включенных в Перечень лиц, допущенных к обработке персональных данных, обрабатываемых в ИСПДн;
— защита доступа к электронной базе данных, содержащей персональные данные субъектов ПДн, должна обеспечиваться путем использованием сертифицированных программных и программно-аппаратных средств защиты информации, предотвращающих несанкционированный доступ третьих лиц к персональным данным субъектов ПДн;
— копировать и делать выписки персональных данных субъектов ПДн разрешается исключительно в служебных целях с письменного разрешения руководителя Общества;
— субъекты ПДн не должны отказываться от прав на сохранение и защиту своих персональных данных;
— Общество, субъекты ПДн и их представители должны совместно вырабатывать меры защиты персональных данных субъектов ПДн.
3 Хранение персональных данных
Сведения о субъектах ПДн в Обществе на бумажных носителях должны храниться в специально оборудованных шкафах и сейфах, которые запираются и опечатываются. Ключи от шкафов и сейфов, в которых хранятся сведения о субъектах ПДн, находятся у Ответственного за хранилища.
Обязанности по хранению сведений о субъектах ПДн, заполнению, хранению и выдаче документов, содержащих персональные данные, в ИСПДн возлагаются на Ответственного за организацию обработки персональных данных.
Съемные электронные носители, на которых хранятся резервные копии персональных данных субъектов ПДн, должны быть промаркированы и учтены в журнале регистрации, учета и выдачи внешних носителей для хранения резервных копий ПДн.
В процессе хранения персональных данных субъектов ПДн необходимо обеспечивать контроль за достоверностью и полнотой персональных данных, их регулярное обновление и внесение по мере необходимости соответствующих изменений.
4 Передача персональных данных
При передаче персональных данных субъекта ПДн Общество должно соблюдать следующие требования:
— при передаче персональных данных субъекта ПДн использовать выделенную WAN (глобальную компьютерную сеть) с применением сертифицированных средств криптографической защиты информации;
— передавать персональные данные субъекта ПДн представителю субъекта ПДн в порядке, установленном федеральными законами Российской Федерации.
5 Уничтожение персональных данных
При необходимости уничтожения персональных данных Общество должно руководствоваться следующими требованиями:
— уничтожение персональных данных в ИСПДн осуществляется комиссией по проведению мероприятий по защите персональных данных;
— бумажные носители персональных данных должны уничтожаться при помощи специального оборудования (измельчителя бумаги);
— персональные данные, представленные в электронном виде, должны уничтожаться специализированным программным обеспечением, гарантирующим предотвращение восстановления удаленных данных;
— после окончания процедуры удаления персональных данных комиссией по проведению мероприятий по защите персональных данных должен быть составлен акт уничтожения персональных данных.
6 Внутренние проверки состояния защищенности информационной системы персональных данных
Проверка состояния защищенности ИСПДн осуществляется комиссией по проведению мероприятий по защите персональных данных.
Проверка состояния защищенности ИСПДн осуществляется с целью определения соответствия нормативных, организационных, практических и технических мероприятий, реализуемых Обществом, требованиям законов и иных нормативных правовых актов Российской Федерации в области информационной безопасности и защиты персональных данных.
Проверка состояния защищенности ИСПДн включает в себя:
— определение характера циркулирующих персональных данных и установленных в ИСПДн режимов их обработки;
— определение актуальности организационно-распорядительной документации, учитывающей конкретные условия функционирования средств вычислительной техники различного уровня и назначения (рабочие станции пользователей, серверное и периферийное оборудование, технические средства защиты информации, в том числе средства криптографической защиты информации), порядок работы сотрудников организации при эксплуатации средств вычислительной техники;
— анализ принятых мер (программных, технических, организационных), обеспечивающих защиту средств вычислительной техники, информационной системы и баз данных от несанкционированного доступа, оценка продуктивности организационного процесса защиты информации. Достаточность технических средств обработки и защиты информации, наличие подтверждений соответствия по требованиям информационной безопасности (сертификатов соответствия);
— проведение анализа конфигураций активного сетевого оборудования, маршрутизаторов, коммутаторов, серверов с целью выявления уязвимых мест в системе защиты информации;
— проведение инструментального анализа сетевого и серверного оборудования локально-вычислительных сетей, информационных систем и баз данных с применением программно-аппаратных средств;
— проверка работоспособности используемых программных и программно-аппаратных
средств обнаружения и предотвращения компьютерных атак;
— проверка наличия лицензионных средств защиты от вредоносных программ и вирусов или сертифицированных свободно распространяемых антивирусных средств защиты;
— проверка оснащения серверных и кроссовых помещений средствами контроля доступа и пожаротушения, обеспечения температурного режима, регламент доступа к серверным и кроссовым помещениям;
— проверка состояния защищенности информационных ресурсов от сбоев в системе электропитания (система резервирования и автоматического ввода резерва);
— проверка состояния линейно-кабельного оборудования локально-вычислительных сетей (наличие запирающих и опечатывающих устройств, оборудования распределительных шкафов).
Внутренняя проверка Комиссии по проведению мероприятий по защите персональных данных завершается подведением итогов (обобщением) результатов проверки и составлением акта о результате проверки состояния защищенности ИСПДн.
Акт должен содержать:
— дата, время и место составления акта;
— дата и место проведения проверки;
— сведения о результатах проверки, в том числе о выявленных нарушениях и их характере;
— достоверное и обоснованное изложение состояния защищенности информационной системы и ресурсов, выявленных недостатков и нарушений со ссылками на соответствующие документы и факты, выводы и предложения по их устранению с указанием конкретных сроков.
7 Обязанности субъекта персональных данных и Оператора
В целях обеспечения достоверности персональных данных субъект ПДн обязан:
— предоставлять Обществу полные и достоверные данные о себе;
— в случае изменения своих персональных данных сообщать данную информацию Обществу.
Общество обязано:
— осуществлять защиту персональных данных субъекта ПДн;
— вести Журнал учета обращений субъектов персональных данных по вопросам обработки их ПДн в ИСПДн;
— обеспечивать хранение документации, содержащей персональные данные субъектов ПДн, при этом персональные данные не должны храниться дольше, чем это оправдано выполнением задач, для которых они собирались, или дольше, чем это требуется в интересах лиц, о которых собраны данные.
8 Права субъекта ПДн в целях защиты персональных данных
Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
— подтверждение факта обработки персональных данных Оператором;
— правовые основания и цели обработки персональных данных;
— цели и применяемые Оператором способы обработки персональных данных;
— сроки обработки персональных данных, в том числе сроки их хранения;
Субъект персональных данных имеет право на определение представителей для защиты своих персональных данных.
Субъект персональных данных имеет право требовать исключить или исправить неверные или неполные персональные данные, а также данные, обрабатываемые с нарушением требований Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
Субъект персональных данных имеет право требовать об извещении Обществом всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта ПДн, обо всех произведенных в них исключениях, исправлениях или дополнениях.
Субъект персональных данных имеет право на обжалование в судебном порядке любых неправомерных действий или бездействии Общества при обработке и защите его персональных данных.
9 Ответственность за нарушение норм, регулирующих получение, обработку и защиту персональных данных субъекта ПДн
Лица, виновные в нарушении требований федеральных законов РФ, несут предусмотренную законодательством РФ ответственность.
Моральный вред, причиненный субъекту ПДн вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных федеральными законами, а также нарушения требований к защите персональных данных подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.