ЧАСТЬ ПЕРВАЯ.
Обеспечение безопасности персональных данных при их обработке
с использованием технических средств
1. Часть первая настоящего Положения разработана в соответствии с Федеральным законом РФ «О персональных данных» № 152 - ФЗ от 27.07.2006 года и устанавливает требования к ответственным должностным лицам ООО «Медикор» по обеспечению безопасности персональных данных сотрудников и пациентов ООО «Медикор» при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее – информационные системы).
1. Часть первая настоящего Положения разработана в соответствии с Федеральным законом РФ «О персональных данных» № 152 - ФЗ от 27.07.2006 года и устанавливает требования к ответственным должностным лицам ООО «Медикор» по обеспечению безопасности персональных данных сотрудников и пациентов ООО «Медикор» при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее – информационные системы).
2. Под выражением «персональные данные» подразумевается любая информация, относящаяся к определенному сотруднику или пациенту ООО «Медикор» (субъект персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение, состояние здоровья, социальное, имущественное положение, образование, профессия, доходы и другая информация.
Учитывая, что ООО «Медикор» является медицинским учреждением, то обработка персональных данных пациентов обратившихся за медицинской помощью осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну.
3. Директор ООО «Медикор» приказом по учреждению утверждает список ответственных должностных лиц, которые получают допуск к использованию технических средств и осуществляют действия по обработке персональных данных сотрудников и пациентов учреждения, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, блокирование или уничтожение персональных данных. Должностные лица с текстом приказа должны быть ознакомлены под роспись. Они несут персональную ответственность за конфиденциальность персональных данных. В приказе также должны быть указаны фамилии сотрудников, которые имеют право только получать информацию о персональных данных. Они также несут ответственность за разглашение персональных данных.
4. Под техническими средствами, позволяющими осуществлять обработку персональных данных сотрудников и пациентов ООО «Медикор», понимаются средства вычислительной техники, информационно – вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео – и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах с целью обеспечения безопасности персональных данных.
5. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа посторонних лиц к персональным данным сотрудников или пациентов ООО «Медикор», результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также других несанкционированных действий.
Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью комплекса мероприятий, по защите персональных данных. Для этих целей дирекция ООО «Медикор» проводит как организационные мероприятия ,так и осуществляет приобретение и внедрение в практику технических и программных средств защиты информации ( средства предотвращения несанкционированного доступа к персональным данным, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных). Технические и программные средства защиты персональных данных должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации персональных данных.
Организационные мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:
а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;
б) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;
в) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
ж) учет лиц, допущенных к работе с персональными данными в информационной системе;
з) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
и) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использование средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
к) описание системы защиты персональных данных.
6. Методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности Российской Федерации в пределах их полномочий. Достаточность принятых мер по обеспечению безопасности персональных данных при их обработке в информационных системах оценивается при проведении государственного контроля и надзора. Реализация требований по обеспечению безопасности информации в средствах защиты информации возлагается на их разработчиков.
7. Информационные системы классифицируются в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства. Порядок проведения классификации информационных систем устанавливается совместно Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности Российской Федерации и Министерством информационных технологий и связи Российской Федерации.
8. Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия. К средствам защиты информации, предназначенным для обеспечения безопасности персональных данных при их обработке в информационных системах, прилагаются правила пользования этими средствами, согласованные с Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности РФ в пределах их полномочий. Изменение условий применения средств защиты информации, предусмотренных указанными правилами, согласовывается с этими федеральными органами исполнительной власти в пределах их полномочий.
9. Средства защиты информации, предназначенные для обеспечения безопасности персональных данных при их обработке в информационных системах, подлежат учету с использованием индексов или условных наименований и регистрационных номеров. Перечень индексов, условных наименований и регистрационных номеров определяется Федеральной службой по техническому и экспортному контролю и Федеральной службой безопасности РФ в пределах их полномочий.
10. Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.
11. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных (далее – уполномоченное лицо). Существенным условием договора является обязанность уполномоченного лица обеспечить конфиденциальность персональных данных и безопасность персональных данных при их обработке в информационной системе
12. Конфиденциальность персональных данных – это обязательное для соблюдения оператором требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания. Лица виновные в незаконном распространении персональных данных, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность.
13. Запросы пользователей информационной системы на получение персональных данных, а также факты предоставления персональных данных по этим запросам регистрируются автоматизированными средствами информационной системы в электронном журнале обращений. Содержание электронного журнала обращений периодически проверяется дирекцией ООО «Медикор».
14. При обнаружении нарушений порядка предоставления персональных данных представитель дирекции учреждения или оператор незамедлительно приостанавливают предоставление персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин.
ЧАСТЬ ВТОРАЯ.
Обеспечение безопасности обработки персональных данных,
осуществляемой без использования технических средств автоматизации.
1. Часть вторая настоящего Положения разработана в соответствии с Федеральным законом РФ «О персональных данных» №152-ФЗ от 27.07.2006 года, и устанавливает требования к ответственным должностным лицам ООО «Медикор» по обеспечению безопасности персональных данных сотрудников и пациентов ООО «Медикор» при их обработке без использования технических средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение – осуществляются при непосредственном участии человека.
2.Правила обработки персональных данных, осуществляемой без использования средств автоматизации, установленные нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами ООО «Медикор», должны применяться с учетом требований настоящего Положения.
3.Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.
4. Под выражением «персональные данные» подразумевается любая информация, относящаяся к определенному сотруднику или пациенту ООО «Медикор» (субъект персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное положение, состояние здоровья, социальное, имущественное положение, образование, профессия, доходы и другая информация.
Учитывая, что ООО «Медикор» является медицинским учреждением, то обработка персональных данных пациентов, обратившихся за медицинской помощью, осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну.
5. Директор ООО «Медикор» приказом по учреждению утверждает список ответственных должностных лиц, которые получают разрешение на осуществление действий по обработке персональных данных сотрудников и пациентов учреждения без использования средств автоматизации, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, блокирование или уничтожение персональных данных. Эти должностные лица с текстом приказа должны быть ознакомлены под роспись и они несут персональную ответственность за конфиденциальность персональных данных. В приказе должны быть указаны и фамилии сотрудников, которые имеют право только получать информацию о персональных данных. Они также несут персональную ответственность за разглашение персональных данных.
6. Работу по обработке персональных данных, без использования технических средств автоматизации, могут выполнять лица (физические или юридические), не являющиеся сотрудниками ООО «Медикор», но оформленные для выполнения такой работы по специальному договору с дирекцией учреждения. В договоре оговариваются условия соблюдения конфиденциальности персональных данных этими лицами.
7. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от другой информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее – материальные носители), в специальных разделах или на полях форм (бланков).
8. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
9. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – типовая форма), должны соблюдаться следующие условия:
а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес учреждения (оператора), фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, а при необходимости и получения письменного его согласия на обработку персональных данных;
в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов других субъектов персональных данных;
г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
10. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработке персональных данных, в частности:
а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется или распространяется копия персональных данных;
б) при необходимости блокирования или уничтожения части персональных данных блокируется или уничтожается материальный носитель с предварительным копированием сведений не подлежащих блокированию или уничтожению, способом, исключающим одновременное копирование персональных данных, подлежащих блокированию или уничтожению.
11. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки других данных, зафиксированных на материальном носителе (удаление, вымарывание).
12. Правила, предусмотренные пунктами 10 и 11 настоящего Положения, применяются также в случае, когда необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.
13. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, то путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
14. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
15. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
16. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются директором ООО «Медикор».