Пользовательское соглашение
1.Основные понятия
Для целей настоящего Положения используются следующие основные понятия:
Персональные данные (ПДн) - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, а также сведения о фактах, событиях и обстоятельствах жизни субъекта персональных данных, позволяющая идентифицировать его личность.
Обработка персональных данных – действия (операции), включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. Обработка персональных данных субъектов персональных данных осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации, содействия работникам в исполнении должностных обязанностей, повышении квалификации и должностном росте, обеспечения личной безопасности при исполнении должностных обязанностей, учета результатов исполнения должностных обязанностей, обеспечения социальными льготами в соответствии с законодательством и нормативными документами университета.
Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким – либо иным способом.
Использование персональных данных - действия (операции) с персональными данными, совершаемые ООО Страховая Компания «Гелиос» в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных либо иным образом затрагивающих права и свободы субъекта персональных данных.
Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.
Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных (ИСПДн) - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
Конфиденциальность персональных данных - обязательное для соблюдения ООО Страховая Компания «Гелиос» или иными получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
2. Общие положения
Настоящее «Положение об обработке персональных данных» устанавливает порядок получения, учета, обработки, накопления, хранения, а также защиту сведений, отнесенных к персональным данным.
Цель разработки Положения — обеспечение защиты прав и свобод человека и гражданина при обработке их персональных данных в ООО Страховая Компания «Гелиос», а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
Порядок ввода в действие и изменения Положения.
- Настоящее Положение вступает в силу с момента его утверждения генеральным директором ООО Страховая Компания «Гелиос» и действует бессрочно, до замены его новым Положением.
- Все изменения в Положение вносятся приказом.
Все работники ООО Страховая Компания «Гелиос» должны быть ознакомлены с настоящим Положением под роспись. Режим конфиденциальности персональных данных снимается в случаях:
- обезличивания персональных данных;
- достижения цели обработки персональных данных;
- по истечении 75 лет срока хранения персональных данных работников ООО Страховая Компания «Гелиос»;
- продлевается на основании заключения экспертной комиссии ООО Страховая Компания «Гелиос», если иное не определено законом.
Нормативно-правовое основание для разработки Положения:
- Конституция РФ ст. 24. В ст. 24 Конституции РФ закреплено, что сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются (ч. 1), а органы государственной власти и местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом (ч. 2).
- Трудовой Кодекс Российской Федерации (ТК РФ):
- статья 85. Понятие персональных данных работника. Обработка персональных данных работника.
- статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты.
- статья 87. Хранения и использование персональных данных работников.
- статья 88. Передача персональных данных работника.
- статья 89. права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя.
- статья 90. ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника.
- Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» регулирует отношения, связанные с обработкой персональных данных и определяет в качестве основной цели - обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
- Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и защите информации» в качестве одной из целей защиты информации закрепил защиту конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах (ст. 20).
- Приказ ФСТЭК России №58 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных» от 5 февраля 2010 г. – устанавливает методы и способы защиты информации, применяемые для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных.
- Постановление Правительства РФ №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» от 17.11.2007 г. – определяет требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных; определяет федеральные органы (ФСБ, ФСТЭК), которые устанавливают методы и способы по обеспечению безопасности персональных данных и порядок проведения классификации информационных систем персональных данных.
- Постановление Правительства РФ от 2 июня 2008 г. № 419 «О федеральной службе по надзору в сфере связи и массовых коммуникаций» (Россвязькомнадзор) - о выполнении функций по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.
- Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 г. Москва “Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации”.
- Совместный приказ № 55/86/20 ФСТЭК, ФСБ, Мининформсвязь от 13.02.2008 г. «Порядок проведения классификации информационных систем персональных данных», утверждающий порядок проведения классификации информационных систем персональных данных.
- Методические документы ФСТЭК России:
- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- Методические документы ФСБ РФ:
- Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных;
- Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации.
- Документы Россвязькомнадзора:
- Приказ от 28 марта 2008 г. № 154 «Об утверждении положения о ведении реестра операторов, осуществляющих обработку персональных данных»;
- Приказ от 17 июля 2008 г. №8 «Об утверждении образца формы уведомления об обработке персональных данных».
- Закон об электронной цифровой подписи (10.01.2002 г. № 1 – ФЗ).
3. Правовое основание обработки персональных данных в ООО Страховая Компания «Гелиос»
- Трудовые договора с сотрудниками компании;
- Договора страхования;
- Согласие на обработку персональных данных.
4. Срок или условие прекращения обработки персональных данных
Обработка персональных данных прекращается в случае окончания действия трудовых договоров и договоров страхования. Срок хранения персональных данных после окончания действия трудовых договоров – не менее 75 лет. Срок хранения персональных данных после окончания действия договоров страхования (расписать виды) – не менее 3-х лет.
5. ИСПДн ООО Страховая Компания «Гелиос»
Ниже перечислены все ИСПДн, функционирующие в ООО Страховая Компания «Гелиос»:
- ИСПДн ООО Страховая Компания «Гелиос» - специальная с характеристиками по обеспечению безопасности ПДн при их обработке в ИСПДн соответствующими классу К2. ИСПДн размещена в структурных подразделениях ООО Страховая Компания «Гелиос» по адресам, указанным в Приложении №1 к настоящему Положению.
6. Состав персональных данных
- Персональные данные сотрудников ПДн ООО Страховая Компания «Гелиос» включают:
- ФИО;
- пол;
- дата рождения;
- паспортные данные;
- фактический адрес проживания;
- контактные номера телефонов;
- семейное положение;
- образование;
- ИНН;
- ПФР;
- свидетельство о браке;
- свидетельство о рождении;
- военный билет;
- занимаемая должность.
- Персональные данные клиентов включают:
- ФИО;
- паспортные данные;
- фактический адрес проживания;
- семейное положение;
- образование;
- номер транспортного средства;
- данные миграционной карты;
- ИНН;
- VIN;
- водительский стаж;
- контактный телефон;
- e-mail;
- номер водительского удостоверения;
- ФИО врача;
- диагноз;
- код диагноза;
- пол;
- дата прихода в ЛПУ;
- оказанная услуга;
- стоимость;
- № полиса;
- должность;
- программа:
- наименование ЛПУ;
- условия страхования;
- страховой случай;
- список застрахованных клиентов.
- Обеспечения конфиденциальности персональных данных не требуется:
- в случае обезличивания персональных данных;
- в отношении общедоступных персональных данных.
7. Доступ к персональным данным
Внутренний доступ
Право доступа к персональным данным имеют:
- Заместители по направлениям деятельности.
- Руководители структурных подразделений имеют доступ к данным своих сотрудников. При переводах - начальники отделов могут посмотреть личное дело переводимого сотрудника.
- Сотрудники организации, в должностные обязанности которых входит обработка персональных данных.
- Другие сотрудники организации.
Внешний доступ
К числу массовых потребителей персональных данных вне ООО Страховая Компания «Гелиос» можно отнести государственные и негосударственные структуры: ООО «Барклайс Банк», Пенсионный фонд РФ, Фонд социального страхования РФ, МГФОМС, Медицинские страховые организации, Сервисные компании (ООО «МЛДЦ-НТ», Класс-Асист), ЛПУ, Управление Федеральной налоговой службы по г. Москве.
Для проведения работ по защите персональных данных в ООО Страховая Компания «Гелиос» могут привлекаться на договорной основе специализированные организации, имеющие соответствующие лицензии на право проведения работ в области защиты персональных данных.
Обязанности за соблюдение мер по обеспечению информационной безопасности персональных данных включаются в должностные обязанности сотрудников, участвующих в обработке персональных данных.
При наделении должностными обязанностями, предусматривающими работу с персональными данными, сотрудники должны быть под подпись ознакомлены с требованиями нормативных и руководящих документов в области обработки и защиты персональных данных и настоящего Положения в части, их касающейся, а также с ответственностью за нарушение требований по обработке и защиты персональных данных.
8. Обязанности ООО Страховая Компания «Гелиос»
Обработка персональных данных субъектов персональных данных может осуществляться исключительно в целях обеспечения соблюдения закона и иных нормативных правовых актов, а также для осуществления основной деятельности ООО Страховая Компания «Гелиос».
При определении объема и содержания обрабатываемых персональных данных субъектов персональных данных должно руководствоваться Конституцией Российской Федерации, Трудовым кодексом РФ, ФЗ «О персональных данных» и иными федеральными законами.
ООО Страховая Компания «Гелиос» должно сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта персональных данных дать письменное согласие на их получение.
Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены ООО Страховая Компания «Гелиос» на основании федерального закона или если персональные данные являются общедоступными, ООО Страховая Компания «Гелиос» до начала обработки таких персональных данных обязано предоставить субъекту персональных данных следующую информацию:
- наименование (фамилия, имя, отчество) и адрес представителя ООО Страховая Компания «Гелиос»;
- цель обработки персональных данных и ее правовое основание;
- предполагаемые пользователи персональных данных;
- установленные федеральным законом № 152-ФЗ от 27 июля 2006г. «О персональных данных» права субъекта персональных данных.
Согласия субъекта персональных данных не требуется:
- обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является работник;
- обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- обработка персональных данных осуществляется в целях обеспечения развития и нормального функционирования ООО Страховая Компания «Гелиос», при этом из обрабатываемых персональных данных должны быть исключены паспортные данные, данные о месте рождения, проживания, семейном, социальном, имущественном положении, доходах и другая информация, которая при несанкционированном доступе к ней может принести материальный и/или моральный вред субъекту персональных данных.
В случае выявления недостоверных персональных данных субъекта персональных данных или неправомерных действий с ними ООО Страховая Компания «Гелиос», при обращении или по запросу субъекта персональных данных или его законного представителя, либо уполномоченного органа по защите прав персональных данных субъектов ООО Страховая Компания «Гелиос» обязано осуществить блокирование персональных данных, относящихся к субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.
В случае подтверждения факта недостоверности персональных данных ООО Страховая Компания «Гелиос» на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязано уточнить персональные данные и снять их блокирование.
ООО Страховая Компания «Гелиос» не имеет права получать и обрабатывать персональные субъекта персональных данных о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ ООО Страховая Компания «Гелиос» вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
ООО Страховая Компания «Гелиос» не имеет права получать и обрабатывать персональные данные субъекта персональных данных о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных законом.
При принятии решений, затрагивающих интересы субъекта персональных данных, ООО Страховая Компания «Гелиос» не имеет права основываться на персональных данных субъекта персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.
Защита персональных данных субъекта от неправомерного их использования или утраты должна быть обеспечена ООО Страховая Компания «Гелиос» за счет его средств.
Работники ООО Страховая Компания «Гелиос» должны быть ознакомлены под роспись с документами ООО Страховая Компания «Гелиос», устанавливающими порядок обработки персональных данных субъектов персональных данных, а также об их правах и обязанностях в этой области.
В случае, если ООО Страховая Компания «Гелиос» на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
ООО Страховая Компания «Гелиос» обязано уничтожить персональные данные:
- В случае выявление неправомерных действий с персональными данными ООО Страховая Компания «Гелиос» в срок, не превышающий трех рабочих дней с даты такого выявления, обязано устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязано уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных ООО Страховая Компания «Гелиос» обязано уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган.
- В случае достижения цели обработки персональных данных ООО Страховая Компания «Гелиос» обязано незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган.
- В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных ООО Страховая Компания «Гелиос» обязано прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между ООО Страховая Компания «Гелиос» и субъектом персональных данных. Об уничтожении персональных данных ООО Страховая Компания «Гелиос» обязано уведомить субъекта персональных данных.
9. Обязанности и права субъекта персональных данных
Субъект персональных данных обязан:
- предоставлять ООО Страховая Компания «Гелиос» комплекс только достоверных персональных данных;
- своевременно в срок, не превышающий одного месяца, сообщать ООО Страховая Компания «Гелиос» об изменении своих персональных данных.
Субъект персональных данных имеет право:
- на полную информацию о своих персональных данных и обработке этих данных;
- на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законодательством РФ;
- на доступ к медицинским данным;
- требовать исключения, исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований закона, их блокирования, уничтожения;
- дополнить заявлением, выражающим его собственное мнение, персональные данные оценочного характера;
- обжаловать неправомерные действия ООО Страховая Компания «Гелиос» при обработке и защите персональных данных.
Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю ООО Страховая Компания «Гелиос» при обращении либо получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдаче указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных ООО Страховая Компания «Гелиос», а также цель такой обработки;
- способы обработки персональных данных, применяемые ООО Страховая Компания «Гелиос»;
- сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
- перечень обрабатываемых персональных данных и источник их получения;
- сроки обработки персональных данных, в том числе сроки их хранения;
- сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:
- обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
- обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими ему обвинение по уголовному делу, либо применившими к нему меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно- процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
- предоставление персональных данных нарушает конституционные права и свободы других лиц.
10. Меры по обеспечению безопасности персональных данных при их обработке
ООО Страховая Компания «Гелиос» при обработке персональных данных обязано принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
Объем принимаемых мер по защите персональных данных, в зависимости от возможного ущерба в случае их утечки, разрушения или утраты определяют генеральный директор ООО Страховая Компания «Гелиос», а также руководители структурных подразделений.
Порядок действий по реализации мероприятий по защите персональных данных определяется инструкциями и регламентами, разрабатываемыми и утверждаемыми в соответствии с принятым в ООО Страховая Компания «Гелиос» порядком.
Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
11. Ответственность за разглашение информации, составляющей персональные данные
Лица, виновные в нарушении или ненадлежащем выполнении требований законодательства в области защиты персональных данных, несут гражданскую, уголовную, административную, дисциплинарную и иную, предусмотренную законодательством РФ, ответственность.