ПОЛИТИКА
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ И РЕАЛИЗУЕМЫХ ТРЕБОВАНИЯХ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
Настоящая Политика обработки персональных данных и реализуемых требованиях к защите персональных данных (далее — Политика) разработана в соответствии с целями, задачами и принципами обеспечения безопасности персональных данных (ПДн) и действует в отношении всей информации, которую Государственное бюджетное учреждение здравоохранения «Республиканское Бюро судебно-медицинской экспертизы» (далее — ГБУЗ «РБ СМЭ», оператор) может получить в рамках осуществления своей деятельности. Политика разработана в соответствии с федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) и предназначена для ознакомления неограниченного круга лиц.
В Политике определены требования к персоналу оператора, степень ответственности персонала, структура и необходимый уровень защищенности, статус и должностные обязанности работников, ответственных за обеспечение безопасности персональных данных в информационных системах персональных данных (ИСПДн) оператора.
I. ОБЩИЕ ПОЛОЖЕНИЯ
v Целью настоящей Политики является обеспечение безопасности объектов защиты оператора информационной системы от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности ПДн (УБПДн) информационной системы.
v Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
v Информация и связанные с ней ресурсы должны быть доступны для субъектов ПДн. Должно осуществляться своевременное обнаружение и реагирование на УБПДн.
v Должно осуществляться предотвращение преднамеренных или случайных, частичных или полных несанкционированных модификаций или уничтожения данных.
v Состав объектов защиты представлен в разделе II «Правовой режим обработки персональных данных», подлежащих защите.
Область действия:
Требования настоящей Политики распространяются на всех работников оператора, а также всех прочих лиц (подрядчики, аудиторы и т.п.).
II. ПРАВОВОЙ РЕЖИМ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Субъекты персональных данных.
В ГБУЗ «РБ СМЭ» обрабатываются персональные данные следующих категорий физических лиц (субъектов персональных данных):
- работников (лиц, состоящих в трудовых отношениях с ГБУЗ «РБ СМЭ»);
- контрагентов в рамках договорных правоотношений;
- объектов судебно-медицинских экспертиз и исследований в соответствии с действующим законодательством Российской Федерации;
- иных лиц, давших согласие на обработку своих персональных данных, либо сделавших общедоступными свои персональные данные или чьи персональные данные получены из общедоступного источника, а также в других случаях, предусмотренных законодательством Российской Федерации.
2. Категории обрабатываемых персональных данных
ГБУЗ «РБ СМЭ» обрабатывает следующие категории персональных данных:
2.1. в отношении работников: фамилия, имя, отчество; данные паспорта (серия, номер, кем и когда выдан); дата и место рождения; адрес места жительства и регистрации; индивидуальный номер налогоплательщика (ИНН); номер страхового свидетельства (СНИЛС); контактный телефон; сведения о доходах; информация об образовании; сведения о повышении квалификации; сведения о воинском учете; сведения водительского удостоверения; сведения о составе семьи; сведения о социальных льготах; автобиография; характеристика; другие данные, вносимые в личную карточку работника (унифицированная форма Т-2);
2.2. в отношении контрагентов: фамилия, имя, отчество; дата рождения; пол; адрес; сведения о состоянии здоровья, диагнозе, содержащиеся в акте (заключении) судебно-медицинской экспертизы или исследования (в отношении лиц, проходящих экспертизу (исследование) по собственной инициативе).
2.3. в отношении объектов судебно-медицинской экспертизы и исследования: фамилия, имя, отчество; дата рождения; данные паспорта (серия, номер, кем и когда выдан); пол; адрес; сведения о состоянии здоровья, диагнозе, причине смерти, содержащиеся в акте (заключении) судебно-медицинской экспертизы или исследования; место захоронения.
3. Цели обработки персональных данных
ГБУЗ «РБ СМЭ» осуществляет обработку персональных данных в следующих целях:
3.1. в отношении работников: содействие в трудовой деятельности, обеспечение личной безопасности, учет результатов исполнения договорных обязательств, осуществление безналичных платежей на счет работника, обеспечение работоспособности и сохранности ресурсов и имущества работодателя, осуществление коллективного взаимодействия и совместного использования информационных ресурсов, аттестация, повышение квалификации, а также наиболее полное исполнение обязательств в соответствии с Трудовым кодексом Российской Федерации и другими нормативно-правовыми актами в сфере трудовых отношений.
3.2. в отношении контрагентов: с целью исполнения договорных отношений, а также требований законодательства Российской Федерации.
3.3 в отношении объектов судебно-медицинской экспертизы и исследования: с целью исполнения требований законодательства Российской Федерации (Уголовно-процессуального кодекса РФ, Гражданского процессуального кодекса РФ, федерального закона от 31.05.2001 г. № 73-ФЗ «О государственной судебно-экспертной деятельности в Российской Федерации», приказа Минздравсоцразвития РФ от 12.05.2010 г. № 346н «Об утверждении Порядка организации и производства судебно-медицинских экспертиз в государственных судебно-экспертных учреждениях Российской Федерации» и др.).
4. Правовое основание обработки персональных данных
ГБУЗ «РБ СМЭ» осуществляет обработку персональных данных на основании:
4.1. Уголовно-процессуального кодекса Российской Федерации;
4.2. Гражданского процессуального кодекса Российской Федерации
4.3. Кодекса об административных правонарушениях Российской Федерации;
4.4. Трудового кодекса Российской Федерации;
4.5. Гражданского кодекса Российской Федерации;
4.6. федерального закона от 21.11.2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
4.7. Закона о персональных данных;
4.8. федерального закона от 31.05.2001 г. № 73-ФЗ «О государственной судебно-экспертной деятельности в Российской Федерации»;
4.9. приказа Министерства здравоохранения и социального развития Российской Федерации от 12.05.2010 г. № 346н «Об утверждении Порядка организации и производства судебно-медицинских экспертиз в государственных судебно-экспертных учреждениях Российской Федерации»;
4.10. иных нормативно-правовых актов.
5. Перечень действий с персональными данными
ГБУЗ «РБ СМЭ» осуществляет обработку (сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных с использованием средств автоматизации, а также без использования таких средств.
ГБУЗ «РБ СМЭ» вправе поручить обработку персональных данных третьим лицам в случаях, если:
- субъект дал согласие на осуществление таких действий (при наличии условий в договоре с третьим лицом о соблюдении им принципов и правил обработки персональных данных, предусмотренных Законом о персональных данных);
- для осуществления и выполнения возложенных законодательством Российской Федерации на ГБУЗ «РБ СМЭ» функций, полномочий и обязанностей;
- в других случаях, предусмотренных законодательством Российской Федерации.
Трансграничная передача персональных данных не осуществляется.
6. Права субъекта
Субъект персональных данных, согласно законодательству Российской Федерации, имеет право:
- получать информацию, касающуюся обработки своих персональных данных;
- требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- требовать прекращения обработки своих персональных данных в случаях, предусмотренных законодательством Российской Федерации;
- обжаловать действия или бездействие ГБУЗ «РБ СМЭ» в судебном порядке;
- на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
7. Оценка вреда, меры по обеспечению безопасности персональных данных
Таблица 1. Соотношение возможного вреда и принимаемых мер
№ п/п |
КАТЕГОРИИ ДАННЫХ |
ОЦЕНКА ВРЕДА |
МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ |
1. |
Общедоступные персональные данные, первичные учетные данные(ФИО, пол)
|
Не приводит к негативным последствиям для субъектов персональных данных
|
Назначение лица, ответственного за организацию обработки персональных данных
|
2. |
Контактная информация (место жительства, место работы, дата и место рождения, номер телефона и т.п.) |
Может привести к незначительным негативным последствиям для субъектов персональных данных |
v Назначение лица, ответственного за организацию обработки персональных данных; v издание локальных актов по вопросам обработки персональных данных; v определение перечня обрабатываемых персональных данных и защищаемых информационных ресурсов, мест хранения; v учет лиц, получивших доступ к персональным данным, и лиц, которым такая информация была передана или предоставлена; v ознакомление работников, обрабатывающих персональные данные, с локальными актами и законодательством Российской Федерации в области обработки персональных данных; v принятие организационных и технических мер по защите персональных данных, закрепление в инструкциях и положениях; v осуществление внутреннего контроля и аудита соответствия обработки персональных данных Закону о персональных данных |
3. |
Сведения о реквизитах (данные паспорта, индивидуальный номер налогоплательщика (ИНН), номер страхового свидетельства (СНИЛС); социальное положение (гражданство; сведения о составе семьи; сведения о воинском учете; сведения о социальных льготах; знание иностранных языков и т.п.); трудовая деятельность (доход, информация об образовании и повышении квалификации) |
Может привести к негативным последствиям для субъектов персональных данных |
v Назначение лица, ответственного за организацию обработки персональных данных; v издание локальных актов по вопросам обработки персональных данных; v определение перечня обрабатываемых персональных данных и защищаемых информационных ресурсов, мест хранения; v установление правил и ограничение доступа к персональным данным; v учет лиц, получивших доступ к персональным данным; v ознакомление работников, обрабатывающих персональные данные, с локальными актами и законодательством Российской Федерации в области обработки персональных данных; v принятие организационных и технических мер по защите персональных данных, которые закреплены в инструкциях и положениях; v осуществление внутреннего контроля и аудита соответствия обработки персональных данных Закону о персональных данных |
8. Условия прекращения обработки персональных данных
Срок или условие прекращения обработки персональных данных в ГБУЗ «РБ СМЭ»:
- ликвидация ГБУЗ «РБ СМЭ» или прекращение деятельности;
- истечение 75 лет – хранение персональных данных работников;
- исполнение обязательств по договорам и в течение срока исковой давности;
- отзыв согласия, если иное не предусмотрено законодательством Российской Федерации, либо - в течение срока хранения документов согласно установленным срокам хранения для определенных категорий документов, если иное не предусмотрено действующим законодательством.
9. ГБУЗ «РБ СМЭ» принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных граждан - субъектов персональных данных.
К мерам, применяемым для защиты персональных данных относятся:
- назначение работника, ответственного за организацию обработки персональных данных;
- осуществление внутреннего контроля соответствия обработки персональных данных Закону о персональных данных»;
- разработка документов, определяющие политику ГБУЗ «РБ СМЭ» в отношении обработки персональных данных, локальные документы по вопросам обработки персональных данных;
- ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, с требованиями к защите персональных данных, с документами, определяющими политику ГБУЗ «РБ СМЭ» в отношении обработки персональных данных, локальными документами по вопросам обработки персональных данных;
- опубликование в сети Интернет документа, определяющего политику ГБУЗ «РБ СМЭ» в отношении обработки персональных данных;
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применение прошедшей в установленном порядке процедуры оценки соответствия средств защиты информации;
- систематическое осуществление оценки эффективности принимаемых мер по обеспечению безопасности персональных данных;
- установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных;
- осуществление контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.
9.1. Методы защиты персональных данных
Методами защиты персональных данных являются:
- реализация разрешительной системы допуска к обработке персональных данных;
- ограничение доступа в помещения, где размещены технические средства, осуществляющие обработку персональных данных, а также хранятся носители информации;
- разграничение доступа к персональным данным;
- регистрация действий работников, контроль несанкционированного доступа к персональным данным;
- использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
- использование защищенных каналов связи.
III. ТРЕБОВАНИЯ К ПЕРСОНАЛУ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ
1. Сотрудники оператора, являющиеся пользователями ИСПДн, должны четко знать и строго выполнять установленные правила и обязанности по доступу к защищаемым объектам и соблюдению принятого режима безопасности ПДн.
2. При вступлении в должность нового работника непосредственный руководитель структурного подразделения, в которое он поступает, обязан организовать его ознакомление с должностной инструкцией и необходимыми документами, регламентирующими требования по защите ПДн, а также обучение навыкам выполнения процедур, необходимых для санкционированного использования ИСПДн.
3. Работник должен быть ознакомлен со сведениями настоящей Политики, принятыми процедурами работы с элементами ИСПДн и СЗПДн (системы защиты персональных данных).
4. Работники оператора, использующие технические средства аутентификации, должны обеспечивать сохранность идентификаторов (электронных ключей, логинов и паролей) и не допускать несанкционированного доступа к ним, а так же возможность их утери или использования третьими лицами. Пользователи несут персональную ответственность за сохранность идентификаторов.
5. Работники оператора должны следовать установленным процедурам поддержания режима безопасности ПДн при выборе и использовании паролей (если не используются технические средства аутентификации).
6. Работники оператора должны обеспечивать надлежащую защиту оборудования, оставляемого без присмотра, особенно в тех случаях, когда в помещение имеют доступ посторонние лица. Все пользователи должны знать требования безопасности ПДн и процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты.
7. Работникам запрещается устанавливать постороннее программное обеспечение, подключать личные мобильные устройства и носители информации, а так же записывать на них защищаемую информацию.
8. Работникам запрещается разглашать защищаемую информацию, которая стала им известна при работе с информационными системами оператора, третьим лицам.
9. При работе с ПДн в ИСПДн работники оператора обязаны обеспечить отсутствие возможности просмотра ПДн третьими лицами с мониторов.
10. При завершении работы с ИСПДн работники обязаны защитить монитор с помощью блокировки ключом или эквивалентного средства контроля, например, доступом по паролю, если не используются более усиленные средства защиты.
11. Работники оператора должны быть проинформированы об угрозах нарушения режима безопасности ПДн и ответственности за его нарушение. Они должны быть ознакомлены с утвержденной формальной процедурой наложения дисциплинарных взысканий на работников, которые нарушили принятые политику и процедуры безопасности ПДн.
12. Работники обязаны без промедления сообщать обо всех наблюдаемых подозрительных случаях работы ИСПДн, могущих повлечь за собой угрозу безопасности ПДн, а также о выявленных ими событиях, затрагивающих безопасность ПДн, своему непосредственному руководителю структурного подразделения и лицу, отвечающему за немедленное реагирование на угрозу безопасности ПДн.
13. Должностные обязанности работников, обрабатывающих персональные данные, описаны в следующих документах:
- положении, регламентирующем порядок и условия обработки персональных данных работников ГБУЗ «РБ СМЭ»;
- должностной инструкции ответственного за организацию обработки персональных данных оператора;
- должностной инструкции лица, непосредственно осуществляющего обработку ПД (ответственность лица, непосредственно осуществляющего обработку ПД);
- инструкции при возникновении внештатных ситуаций (по действиям в случае компрометации ключевой информации).
14. Ответственность работников оператора.
14.1. Действующее законодательство Российской Федерации позволяет предъявлять требования по обеспечению безопасной работы с защищаемой информацией и предусматривает ответственность за нарушение установленных правил эксплуатации электронно-вычислительных машин (ЭВМ) и систем, неправомерный доступ к информации, если эти действия привели к уничтожению, блокированию, модификации, копирование информации (статьи 272, 273 и 274 Уголовного Кодекса Российской Федерации).
14.2. Работники оператора несут ответственность за все действия, совершенные от имени их учетных записей или системных учетных записей, если не доказан факт несанкционированного использования учетных записей.
14.3. При нарушениях работниками оператора правил, связанных с безопасностью ПДн, они несут ответственность, установленную действующим законодательством Российской Федерации.
IV. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
1. Изменение Политики.
ГБУЗ «РБ СМЭ» имеет право вносить изменения в настоящую Политику. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее утверждения и размещения в общедоступном месте, если иное не предусмотрено новой редакцией Политики.
2. Обратная связь
Государственное бюджетное учреждение здравоохранения «Республиканское бюро судебно-медицинской экспертизы» (ГБУЗ «РБ СМЭ», оператор), юридический адрес: 670047, Республика Бурятия, г. Улан-Удэ, ул. Пирогова, д.3.