Положение об обработке и защите персональных данных в обществе с ограниченной ответственностью «Система Телемед»

1. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Информационная система персональных данных (далее также – «ИСПДн») – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Неавтоматизированная обработка персональных данных – обработка персональных данных в случае, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Оператор (далее — «Общество») –обществом с ограниченной ответственностью «Система Телемед» самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Персональные данные (далее также – «ПДн») – любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных);

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу/кругу лиц;

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Сервис «Hello, Doc!» – программно-аппаратный комплекс в форме приложений для мобильных устройств «Hello, Doc! для пациента», «Hello, Doc! для работы», а также веб-сайты в сети Интернет: https://hellodoc.app, https://hello-doc.ru, исключительные права на которые принадлежат Обществу.

2. ОБЩИЕ ПОЛОЖЕНИЯ

2.1. Настоящий документ устанавливает порядок организации и проведения работ по обеспечению безопасности персональных данных, обрабатываемых обществом с ограниченной ответственностью «Система Телемед» (Оператор ПДн) , а также цели, сроки хранения, порядок уточнения и уничтожения при их обработке в информационных системах Общества.

2.2. Положение разработано с целью обеспечения защиты прав и свобод граждан при обработке их персональных данных Обществом, а также с целью установления ответственности работников Общества, имеющих доступ к персональным данным, за невыполнение требований по обработке и защите персональных данных.

2.3. Действие настоящего Положения распространяется на все процессы по обработке ПДн, осуществляемых с использованием средств автоматизации и без их использования.

2.4. Настоящее Положение вступает в силу с момента его утверждения Генеральным директором Общества и действует бессрочно, до замены его новым Положением.

2.5. Все изменения в Положение вносятся приказом Генерального директора Общества.

2.6. Все работники Общества должны быть ознакомлены с настоящим Положением под роспись.

3. ОСНОВНЫЕ УСЛОВИЯ ОБРАБОТКИ ПДН

3.1. Автоматизированная, равно как и неавтоматизированная обработка ПДн должна осуществляться на основании принципов, определенных законодательством Российской Федерации, а именно:

3.2. Общество не имеет права получать и обрабатывать персональные данные субъектов, содержащие сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, кроме как с согласия субъекта ПДн, кроме случаев, когда обработка таких ПДн возложена на Общество законодательством Российской Федерации.

3.4. Общество обрабатывает ПДн Пользователей сервиса «Hello, Doc!» о состоянии здоровья, только с их письменного согласия.

3.5. Общество распространяет ПДн Врачей, только с их письменного согласия на распространение ПДн.

3.6. Процедура оформления доступа к ПДн включает в себя:

3.7. Доступ к персональным данным имеют должностные лица, непосредственно использующие их в служебных целях, в пределах своей компетенции. В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией генерального директора Общества, доступ к персональным данным может быть предоставлен иному работнику, должность которого не включена в Перечень должностей работников, имеющих доступ ПДн.

3.6. Передача (обмен и т.д.) ПДн осуществляется только между работниками, имеющими доступ к ПДн, а также на основании согласия субъекта ПДн в организации-контрагенты, с которыми заключено соглашение о сотрудничестве.

3.7. Передача ПДн государственным органам производится в соответствии с требованиями действующего законодательства и настоящим Положением.

3.8. При увольнении работника, имеющего доступ к ПДн, документы и иные носители, содержащие персональные данные, передаются другому работнику, имеющему доступ к персональным данным по указанию руководителя структурного подразделения.

3.9. Персональные данные субъекта могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъекта ПДн, за исключением случаев, когда передача ПДн без согласия субъекта допускается действующим законодательством Российской Федерации.

3.10. Ответственность за соблюдение вышеуказанного порядка предоставления ПДн несет работник, а также руководитель структурного подразделения, осуществляющего передачу ПДн третьим лицам.

3.11. Приказом генерального директора Общества назначается работник, ответственный за организацию обработки и защиту ПДн, обрабатываемых в Обществе, и утверждается перечень должностей, доступ которых к обработке ПДн необходим для выполнения ими должностных обязанностей.

3.12. Лица, по вине которых было допущено нарушение норм, регулирующих обработку ПДн, могут быть привлечены к дисциплинарной и материальной, а также к гражданско-правовой, административной и уголовной ответственности.

3.13. Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.

3.14. Случаи уничтожения, блокирования и уточнения ПДн:

3.14. Уничтожение носителей, содержащих ПДн, осуществляется в следующем порядке:

3.15. Об уничтожении электронного носителя информации составляется Акт.

4. КАТЕГОРИИ СУБЪЕКТОВ ПДН, ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ

4.1. Пользователи сервиса «Hello, Doc!» (физические лица):

4.1.1. Способ обработки ПДн: автоматизированный и неавтоматизированный.

4.1.2. Источник получения ПДн: субъект ПДн или медицинская организация, оказывающая субъекту ПДн медицинские услуги.

4.1.3. Основание для обработки ПДн: согласие субъекта ПДн.

4.1.4. Цель обработки ПДн: предоставление доступа к сервису «Hello, Doc!», в том числе для получения субъектом ПДн медицинских услуг на основании договора с медицинской организацией, а также для возможности осуществлять коммуникацию с другими пользователями сервиса.

4.1.5. Содержание обрабатываемых ПДн:

4.1.6. Срок обработки ПДн: до истечения установленного действующим законодательством срока хранения медицинской документации (сопутствующих материалов) или до отзыва согласия на обработку персональных данных.

4.2. Работники общества:

4.2.1. Способ обработки ПДн: неавтоматизированный.

4.2.2. Источник получения ПДн: субъект ПДн.

4.2.3. Основание для обработки ПДн: ч.ч.5,7 п.1 ст.6 ФЗ №152-ФЗ «О персональных данных» (исполнение трудового договора, реализация прав и исполнение обязанностей работодателя).

4.2.4. Цель обработки ПДн: исполнение трудовых договоров с субъектами ПДн.

4.2.5. Содержание обрабатываемых ПДн:

4.2.6. Срок обработки ПДн: до прекращения срока действия трудового договора, в части хранения кадровой документации – до истечения установленного действующим законодательством срока хранения кадровой документации.

4.3. Физические лица – контрагенты по гражданско-правовым договорам.

4.3.1. Способ обработки ПДн: неавтоматизированный.

4.3.2. Источник получения ПДн: субъект ПДн.

4.3.3. Основание для обработки ПДн: ч.ч.5,7 п.1 ст.6 ФЗ №152-ФЗ «О персональных данных» (исполнение гражданско-правовых договоров, реализация прав и законных интересов Общества).

4.3.4. Цель обработки ПДн: Исполнение гражданско-правовых договоров, реализация прав и законных интересов Общества.

4.3.5. Содержание обрабатываемых ПДн:

4.3.6. Срок обработки ПДн: до прекращения срока действия гражданско-правового договора, в части хранения договора и первичной документации для целей исполнения законодательства о налогообложении и бухгалтерском учете – до истечения, установленного действующим законодательством срока хранения договора и первичной документации.

4.4. Физические лица – представители контрагентов или Пользователей сервиса «Hello, Doc!».

4.4.1. Способ обработки ПДн: неавтоматизированный.

4.4.2. Источник получения ПДн: субъект ПДн или работодатель (доверитель) субъекта ПДн.

4.4.3. Основание для обработки ПДн: ч.7 п.1 ст.6 ФЗ №152-ФЗ «О персональных данных» (реализация прав и законных интересов Общества).

4.4.4. Цель обработки ПДн: Исполнение гражданско-правовых договоров, реализация прав и законных интересов Общества.

4.4.5. Содержание обрабатываемых ПДн:

4.4.6. Срок обработки ПДн: до прекращения срока действия гражданско-правового договора, в части хранения договора и первичной документации для целей исполнения законодательства о налогообложении и бухгалтерском учете – до истечения установленного действующим законодательством срока хранения договора и первичной документации.

4.5. Физические лица – участники Общества.

4.5.1. Способ обработки ПДн: неавтоматизированный.

4.5.2. Источник получения ПДн: субъект ПДн.

4.5.3. Основание для обработки ПДн: ч.ч.2,7 п.1 ст.6 ФЗ №152-ФЗ «О персональных данных» (исполнение обязанностей, возложенных на Общество законодательством Российской Федерации).

4.5.4. Цель обработки ПДн: исполнение обязанностей, возложенных на Общество законодательством Российской Федерации, реализация прав и законных интересов Общества.

4.5.5. Содержание обрабатываемых ПДн:

4.5.6. Срок обработки ПДн: до момента ликвидации Общества.

4.6. Физические лица – соискатели на замещение вакантных должностей, открытых в Обществе.

4.6.1. Способ обработки ПДн: неавтоматизированный.

4.6.2. Источник получения ПДн: субъект ПДн.

4.6.3. Основание для обработки ПДн: ч.1 п.1 ст.6 ФЗ № 152-ФЗ «О персональных данных» (согласие Субъекта ПДн).

4.6.4. Цель обработки ПДн: заключение трудового договора.

4.6.5. Содержание обрабатываемых ПДн:

  1. фамилия, имя, отчество;
  2. сведения об образовании;
  3. сведения о предыдущей трудовой деятельности;
  4. сведения о регистрации в системе индивидуального (персонифицированного) учета;
  5. номер контактного телефона;
  6. сведения о судимости;
  7. адрес электронной почты.

4.6.6. Срок обработки ПДн: до момента заключения трудового договора.

5. ОРГАНИЗАЦИЯ ЗАЩИТЫ ПДН

5.1. Защита ПДн представляет собой совокупность организационных и технических мер, предупреждающих нарушение установленного режима доступности, целостности, достоверности и конфиденциальности ПДн и обеспечивающая безопасность информации в процессе обработки ПДн Обществом.5.2. Объектами защиты являются:

5.3. Работники, имеющие доступ к персональным данным в связи с исполнением трудовых обязанностей:

5.4. При обработке ПДн в информационной системе Общество обеспечивает:

5.5. Для разработки требований по обеспечению безопасности и внедрения системы обеспечения безопасности ПДн Обществом разработана «Модель угроз безопасности ПДн при их обработке в ИСПДн» на основе нормативно-методического документа ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных».

5.6. Обществом в соответствии с руководящим документом государственных органов - Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» осуществлена классификация ИСПДн Общества. Комиссией Общества составлен Акт классификации ИСПДн, обрабатываемых с использованием средств автоматизации:

Акт классификации ИСПДн Дата классификации ИСПДн Необходимый уровень защищенности
Информационный комплекс (система) ООО «СИСТЕМА ТЕЛЕМЕД, Платформа Яндекс.Облако
ООО «Яндекс.Облако»
АКТ классификации информационной системы персональных данных № 1-ПДн от 09 июля 2020 года Класс ИСПДн К3

5.7. Обществом на основании Акта проверки ИСПДн и в соответствии с нормативно-методическим документом ФСТЭК России «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» разработан и внедрен комплекс мер по защите и обеспечению безопасности ПДн «План мероприятий по обеспечению безопасности ПДн».

5.8. Обществом используется технические средства и программное оборудование для обработки и защиты ПДн. Также ведется журнал учета средств защиты ПДн и журнал учета и хранения съемных носителей информации.

5.9. Технические средства ИСПДн размещаются в офисе и помещениях Общества.

5.10. Обеспечение конфиденциальности ПДн, обрабатывающихся Обществом, является обязательным требованием для всех лиц, которым ПДн стали известны

5.11. ПДн субъектов на бумажных носителях, обрабатываемые Обществом, хранятся в отделах (у работников Общества), имеющих допуск к обработке соответствующих ПДн.

5.12. Документов и информационных носителей, содержащих ПДн хранятся в специальных отведенных помещениях и сейфах, которые запираются на ключ.

5.13. Особенности обработки ПДн, содержащихся на бумажных носителях, без использования средств автоматизации (при составлении документов не используется ЭВМ) установлены в соответствии с Постановлением Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

5.14. В целях защиты ПДн при неавтоматизированной обработке ПДн Общество соблюдает следующие условия:

5.15. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн (далее — типовые формы), должны соблюдаться следующие условия:

5.16. Офис, помещения Общества, по окончании рабочего дня и отсутствия сотрудников в офисе помещениях, должны запираться, окна должны быть закрыты, должна быть включена сигнализация (при наличии).

5.15. Сетевое оборудование, серверы следует располагать в местах, недоступных для посторонних лиц (в специальных помещениях, шкафах, коробах).

5.16. Уборка помещений и обслуживание технических средств ИСПДн должна осуществляться под контролем ответственных за данные помещения и технические средства работников Общества с соблюдением мер, исключающих несанкционированный доступ к ПДн, носителям информации, программным и техническим средствам обработки, передачи и защиты информации ИСПДн.

5.17. Обществом для подержания функционирования технических средств ИСПДн из числа работников Общества назначаются администраторы ИСПДн. В обязанность администраторов ИСПДн входит:

5.18. В целях обеспечения распределения полномочий, реализации взаимного контроля и недопущения сосредоточения, критичных для безопасности ПДн, полномочий у одного лица не допускается совмещение ролей пользователя ИСПДн и администратора ИСПДн в лице одного работника Общества.

5.19. Квалификационные требования и детальный перечень прав и обязанностей администраторов ИСПДн закрепляются в соответствующих должностных инструкциях, с которыми работники, назначаемые на данные роли, ознакомлены под роспись.

5.20. Организация внутреннего контроля процесса обработки ПДн работниками Общества осуществляется Генеральным директором Общества в целях изучения и оценки фактического состояния защищенности ПДн, своевременного реагирования на нарушения установленного порядка их обработки, а также в целях совершенствования этого порядка и обеспечения его соблюдения.

5.21. Мероприятия по осуществлению внутреннего контроля обработки и обеспечения безопасности ПДн направлены на решение следующих задач:

6. ПОЛУЧЕНИЕ СОГЛАСИЯ НА ОБРАБОТКУ ПДН

6.1.Субъект ПДн принимает решение о предоставлении своих ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПДн должно быть конкретным, информированным и сознательным. Согласие на обработку ПДн (акцепт) может быть дано субъектом ПДн или его представителем посредством фактических (конклюдентных) действий в соответствии с п.3 ст.438 Гражданского кодекса РФ, а именно путем проставления отметок («галочек» или «сдвиг переключателя») об ознакомлении и согласии на обработку ПДн в сервисе «Hello, Doc!» акцептования в любой позволяющей подтвердить факт его получения форме, если иное не установлено законодательством РФ. В случае получения согласия на обработку ПДн от представителя субъекта ПДн полномочия данного представителя на дачу согласия от имени субъекта ПДн проверяются Обществом.

6.2. Получение письменного согласия на обработку ПДн осуществляется работником Общества, при получении ПДн от субъекта ПДн, путем оформления письменного согласия по форме, установленной Обществом.

7. ПРАВА СУБЪЕКТА В ОТНОШЕНИИ ПДН, ОБРАБАТЫВАЕМЫХ ОБЩЕСТВОМ

7.1. Субъект ПДн имеет право:

8. ПРАВА И ОБЯЗАННОСТИ ОБЩЕСТВА

8.1. Общество вправе:

8.2. Общество обязано:

9. ПОРЯДОК РЕАГИРОВАНИЯ НА ЗАПРОСЫ СУБЪЕКТОВ ПДН

9.1. При направлении субъектом ПДн запроса информации, касающейся обработки его ПДн (предусмотренных частью 7 Ст. 14 ФЗ № 152-ФЗ «О персональных данных»), а именно:

лицом, ответственным за обработку ПДн должен быть подготовлен ответ по существу запроса в адрес субъекта персональных данных. Каждое такое обращение должно регистрироваться в отдельном журнале учета обращений субъектов ПДн. Отметка об ответе на обращение регистрируется в журнале учета обращений субъектов в отдельной графе.

10. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НАСТОЯЩЕГО ПОЛОЖЕНИЯ

10.1. Общество несет ответственность за необеспечение конфиденциальности ПДн и несоблюдение прав и свобод субъектов ПДн в отношении их ПДн, в том числе прав на неприкосновенность частной жизни, личную и семейную тайну.

10.2. Работники Общества несут персональную ответственность за несоблюдение требований по обработке и обеспечению безопасности ПДн, установленных настоящим Положением, в соответствии с законодательством Российской Федерации.

10.3. Работник Общества может быть привлечен к ответственности в случаях:

Нарушения требований настоящего Положения и других нормативных документов Общества в части вопросов доступа и работы с ПДн.10.4. В случаях нарушения установленного порядка обработки и обеспечения безопасности ПДн, несанкционированного доступа к ПДн, раскрытия ПДн и нанесения Обществу, его работникам, клиентам и контрагентам материального или иного ущерба виновные лица несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

11. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

11.1. Настоящее Положение вступает в силу с момента утверждения и вводится в действие приказом генерального директора Общества.

11.2. Требования настоящего Положения распространяются на всех работников Общества, имеющих доступ к персональным данным;

11.3. Общество вправе вносить изменения и дополнения в настоящее Положение. Работники должны быть поставлены в известность о вносимых изменениях и дополнениях посредством издания работодателем приказа и ознакомления с ним всех работников.