ПОЛОЖЕНИЕ

о защите, хранении, обработке и передаче

персональных данных

Общество с ограниченной ответственностью «КЛИНСТОМ»

 
1. Общие положения
1.1. Настоящее Положение устанавливает требования к организации хранения, защиты, передачи и уничтожения персональных данных в Общество с ограниченной ответственностью «КЛИНСТОМ» (далее — Оператор) в соответствии с ФЗ-152, ПП РФ № 1119 от 01.11.2012, приказами ФСТЭК России № 21 от 18.02.2013 и № 17 от 11.02.2013.
1.2. Положение обязательно для исполнения всеми работниками Оператора, допущенными к обработке персональных данных.
2. Организация хранения персональных данных
2.1. Персональные данные на бумажных носителях хранятся:
— в помещениях, доступ в которые ограничен для посторонних лиц;
— в запираемых металлических шкафах или сейфах;
— отдельно от иных документов, не содержащих ПД;
— в систематизированном виде (папки, дела) с ведением описи документов.
2.2. Электронные персональные данные хранятся в ИСПДн Оператора:
— с разграничением прав доступа пользователей;
— с применением сертифицированных средств антивирусной защиты;
— с обязательным резервным копированием не реже одного раза в неделю;
— с использованием паролей доступа, отвечающих требованиям сложности (не менее 8 символов, сочетание букв и цифр).
2.3. Сроки хранения персональных данных:
— данные работников: в течение срока действия трудового договора и 75 лет после его расторжения (для документов, связанных с начислением заработной платы и стажем);
— данные пациентов: в течение сроков, установленных законодательством об охране здоровья граждан (амбулаторные карты — 5 лет, медицинские карты — 25 лет);
— данные посетителей сайта: не более 1 года с момента получения;
— данные контрагентов: в течение срока действия договора и 5 лет после его окончания.
3. Организация защиты персональных данных
3.1. Для определения уровня защищённости ИСПДн Оператор в соответствии с ПП № 1119 проводит классификацию обрабатываемых данных и составляет акт классификации.
3.2. В зависимости от установленного уровня защищённости принимаются технические меры защиты:
— организация контролируемой зоны, в пределах которой размещены технические средства ИСПДн;
— идентификация и аутентификация пользователей при входе в систему;
— регистрация событий безопасности в журнале доступа;
— защита машинных носителей информации от несанкционированного доступа;
— обнаружение (предотвращение) вторжений и вредоносного кода.
3.3. Работники, получившие доступ к ПД, обязаны подписать обязательство о неразглашении персональных данных.
4. Порядок передачи персональных данных
4.1. Передача ПД внутри организации осуществляется только тем работникам, которым они необходимы для выполнения должностных обязанностей. Перечень таких работников утверждается приказом директора.
4.2. Передача ПД третьим лицам допускается только:
— при наличии согласия субъекта ПД;
— по требованию уполномоченных государственных органов (суд, прокуратура, Роскомнадзор, налоговые органы) в порядке, установленном законодательством;
— при исполнении договора поручения обработки ПД, заключённого в соответствии со ст. 6 ФЗ-152.
4.3. Передача ПД третьим лицам оформляется в письменной форме с указанием цели передачи и перечня передаваемых данных.
4.4. Трансграничная передача ПД не осуществляется.
5. Порядок уничтожения персональных данных
5.1. ПД уничтожаются в следующих случаях: достижение цели обработки; истечение срока хранения; отзыв согласия субъектом; требование субъекта о прекращении обработки; выявление неправомерной обработки.
5.2. Бумажные носители уничтожаются путём измельчения в шредере (степень измельчения DIN 66399 уровень P-4 и выше) или сжигания с составлением акта.
5.3. Электронные ПД уничтожаются путём гарантированного удаления с носителя методами, исключающими восстановление информации, с составлением акта уничтожения.
5.4. Акт уничтожения ПД подписывается комиссией в составе не менее двух работников и хранится у ответственного за организацию обработки ПД.
6. Реагирование на инциденты
6.1. При выявлении утечки, несанкционированного доступа или иного инцидента, повлёкшего нарушение прав субъектов ПД, Оператор уведомляет Роскомнадзор:
— в течение 24 часов — о факте инцидента, предполагаемых причинах и принятых мерах (ч. 3.1 ст. 21 ФЗ-152);
— в течение 72 часов — о результатах внутреннего расследования и виновных лицах.
6.2. Уведомление направляется через портал Роскомнадзора (rkn.gov.ru) или на электронный адрес территориального органа.
7. Заключительные положения
7.1. Положение вступает в силу с момента утверждения директором ООО «КЛИНСТОМ» и пересматривается при изменении законодательства, но не реже одного раза в два года.