Lb66.ru

Экономика и финансы
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Закон о защите личной информации граждан

Закон о защите личной информации граждан

Современный этап развития общества характеризуется возрастающей ролью информационной сферы и интенсивным развитием автоматизированных технологий в сфере обработки и передачи данных. Внедрение их во все социальные сферы повышают уязвимость частной жизни ребенка, создают угрозы незаконного оборота персональных данных несовершеннолетних.
В сегодняшнем мире уже трудно избежать идентификации, но запретить хранить информацию персонального характера, обрабатывать ее и использовать в целях, не согласованных с ее субъектом, возможно и, безусловно, необходимо, поэтому гражданам стоит обратить внимание на правовое регулирование данного вопроса.
В соответствии с пунктом 1 статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Согласно пункту 3 статьи 3 Федерального закона № 152-ФЗ обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых … с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (…), обезличивание, блокирование, удаление, уничтожении персональных данных.
Статья 9 указанного закона предполагает согласие гражданина на обработку его персональных данных: субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Такое согласие должно быть конкретным, информированным и сознательным и может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представительсубъекта персональных данных.
Дети — несовершеннолетние граждане, поэтому, согласно части 1 статьи 64 Семейного кодекса их права защищают родители и законные представители.
Таким образом, правом давать согласие на использование личных сведений о несовершеннолетнем наделены его родители (или иные представители). Свое согласие на работу с личной информацией они должны выразить в письменном виде с обязательной собственноручной подписью.
Большинство граждан уже привыкли к тому, что регулярно подписывают согласие на обработку своих персональных данных или персональных данных своих несовершеннолетних детей при обращении в медицинские учреждения, образовательные организации, в госорганы и в иных ситуациях.
Кроме того, требования к распространению информации о несовершеннолетнем в средствах массовой информации установлены Законом Российской Федерации «О средствах массовой информации» №2124-I от 27.12.1991 и Федеральным законом Российской Федерации «О защите детей от информации, причиняющей вред их здоровью и развитию» № 436-ФЗ.
Так статья 4 Закона РФ «О средствах массовой информации» предостерегает от злоупотребления свободой массовой информации: запрещается распространение в средствах массовой информации, а также в информационно-телекоммуникационных сетях информации о несовершеннолетнем, пострадавшем в результате противоправных действий (бездействия), включая фамилии, имена, отчества, фото- и видеоизображения такого несовершеннолетнего, его родителей и иных законных представителей, дату рождения такого несовершеннолетнего, аудиозапись его голоса, место его жительства или место временного пребывания, место его учебы или работы, иную информацию, позволяющую прямо или косвенно установить личность такого несовершеннолетнего, за исключением случаев, предусмотренных пунктами 1 — 3 части четвертой статьи 41 Закона о СМИ. Исключением являются ситуации, когда распространение такой информации осуществляется в целях защиты прав и законных интересов несовершеннолетнего, пострадавшего в результате противоправных действий (бездействия). В этих случаях такая информация может распространяться:
1) с согласия несовершеннолетнего, достигшего четырнадцатилетнего возраста и пострадавшего в результате противоправных действий (бездействия), и его законного представителя;
2) с согласия законного представителя несовершеннолетнего, не достигшего четырнадцатилетнего возраста и пострадавшего в результате противоправных действий (бездействия);
3) без согласия несовершеннолетнего, достигшего четырнадцатилетнего возраста и пострадавшего в результате противоправных действий (бездействия), и (или) законного представителя такого несовершеннолетнего, если получить это согласие невозможно либо если законный представитель такого несовершеннолетнего является подозреваемым или обвиняемым в совершении данных противоправных действий.
При этом к распространению информации, относящейся к несовершеннолетнему потерпевшему от преступления против половой неприкосновенности и половой свободы личности, установлены дополнительные требования. Такая информация может быть распространена в СМИ только в целях расследования преступления, установления лиц, причастных к совершению преступления, розыска пропавших несовершеннолетних в объеме, необходимом для достижения указанных целей, и с соблюдением требований, установленных статьями 161 и 241 Уголовно-процессуального кодекса Российской Федерации. Данные предварительного расследования могут быть преданы гласности лишь с разрешения следователя, дознавателя и только в том объеме, в каком ими будет признано это допустимым, если разглашение не противоречит интересам предварительного расследования и не связано с нарушением прав и законных интересов участников уголовного судопроизводства.

Стоит отметить, что изображение человека также относится к его персональным данным, а значит, использование фотографий всех граждан (в том числе несовершеннолетних) регулируется нормами закона.
Охрана изображения гражданина защищена статьей 152.1 Гражданского кодекса РФ, которая гласит, что обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен) допускаются только с согласия этого гражданина. После смерти гражданина его изображение может использоваться только с согласия детей и пережившего супруга, а при их отсутствии — с согласия родителей. Такое согласие не требуется в случаях:
1. Использование изображения осуществляется в государственных, общественных или иных публичных интересах;
2. Изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях), за исключением случаев, когда такое изображение является основным объектом использования;
3. Гражданин позировал за плату.

Если фото ребенка было опубликовано без согласия родителей в Интернете, то они вправе обратиться с жалобой в прокуратуру на нарушение их прав, предусмотренных статьей 24 Конституции и статьей 152.1 ГК РФ. В случае, если публикация фотографий причинила ребенку (или его законным представителям) нравственные страдания, родители вправе обратиться в суд с иском о возмещении морального вреда, причиненного незаконным использованием изображения гражданина.

За публикацию фотографий детей в интернете без согласия их родителей предусмотрена ответственность статьей 137 Уголовного кодекса РФ. В случае, если суд признает вину, лицо, опубликовавшее фотографию, будет наказано штрафом в размере до 200 000 рублей или в размере заработной платы или иного их дохода за период до 18 месяцев, либо обязательными работами на срок от 120 до 180 часов, либо исправительными работами на срок до 1 года, либо арестом на срок до 4 месяцев.

Родителям, которые нередко выкладывают фотографии любимых детей в социальных сетях, следует понимать, что публикуя что-либо в интернете, вы публикуете это навсегда. И ребенок, даже через много лет может иметь последствия от публикации фотографии, сделанной, когда он был в детском саду. Без крайней необходимости не публикуйте в сети ФИО детей, сведения о них (а это — персональные данные) и их фотографии. И не забывайте о возможных последствиях, когда даете свое согласие на использование изображения своего ребенка (подопечного) в СМИ.

В Европе вступил в силу закон о защите персональных данных. Как его выполнить?

Сегодня, 25 мая в Европейском Союзе вступил в силу закон, устанавливающий принципы и требования к защите персональных данных — General Data Protection Regulation (GDPR). Аналитический центр компании InfoWatch подготовил справку об обеспечении требований GDPR.

GDPR: General или все же Global?

Цель принятого закона — укрепить права субъектов персональных данных (ПДн). GDPR подразумевает более серьезную ответственность за несоблюдение правил хранения и обработки персональной информации, устанавливает глобальные стандарты защиты данных и регламентирует их трансграничную передачу.

Под действие нового регламента попадают все европейские и иностранные компании, в том числе и российские, оказывающие услуги на территории ЕС или обрабатывающие большое количество персональных данных субъектов, находящихся на территории Европейского Союза (например, интернет-магазины, авиакомпании, банки). Основное требование GDPR — обеспечение прозрачности процесса обработки персональных данных.

В соответствии с законом вводятся два термина — организация-контролер и организация-обработчик. Контролер — это организация, которая сама инициирует процесс обработки персональных данных своих сотрудников или клиентов, отвечает за его надлежащее исполнение, обеспечивает права субъектов и отчитывается перед надзорным органом. Контролер может передать фактическую функцию обработки данных организации-обработчику. Обработчик — организация, которая обрабатывает личные данные от имени контролера. При этом контролер будет нести ответственность за безопасность обработки персональных данных, в том числе и за действия обработчика. Организации одновременно могут выполнять роль и контролера, и обработчика, например, организация может быть обработчиком персональных данных клиентов, но являться контролером персональных данных собственных сотрудников.

Новый закон призван повысить защищенность персональной информации субъектов, находящихся на территории ЕС. По данным аналитического центра InfoWatch, доля утечек персональных данных граждан за 2017 год составила 64,8% от совокупного числа утечек информации из организаций в мире. Украденные ПДн используются злоумышленниками для совершения мошенничества, которое может привести к ущербу репутации и материальным потерям для пострадавшего.

Читать еще:  Размер алиментов на 2 детей

Для юридических лиц соответствие новому регламенту означает возможность расширения бизнеса и работы с европейскими клиентами, поскольку к организациям, выполняющим требования нового закона, повышается уровень доверия со стороны клиентов и контрагентов. Кроме того, теперь на всей территории ЕС действует один регламент, а не несколько региональных, как это было раньше, что более удобно для российских компаний, которые имеют филиалы на территории ЕС, поскольку они могут привести все филиалы в соответствие требованиям одного законодательства, а не к положениям в каждой отдельной стране. Это касается и тех случаев, когда филиалов нет в ЕС, но все равно ведется обработка ПДн субъектов в данных европейских странах (например, продажа авиабилетов).

Тем не менее, закон предусматривает огромные штрафы для компаний-нарушителей. Так, за нарушение базовых принципов обработки данных, нарушение правил передачи персональных данных, игнорирование запрета надзорного органа на обработку данных, нарушение прав субъекта и др. на компанию будет наложен штраф в размере 4% от общего годового оборота предприятия или 20 млн евро (в зависимости от того, какая сумма окажется больше). За нарушение порядка уведомления об инциденте, отсутствие сотрудника по защите данных, где это необходимо, незаконную обработку ПДн ребенка и др. предусмотрены меньшие, однако не менее существенные штрафы — 10 млн евро или 2% от общего годового оборота предприятия. На данный момент процедура наложения штрафов на неевропейские компании не регламентирована. Поэтому пока возможны два сценария наказания за нарушение правил обработки. Первый — запрет на обработку персональных данных субъектов, находящихся на территории ЕС, что сделает невозможным работу с европейскими клиентами. Второй — в случае если российская компания выступает в роли обработчика, за нарушения оштрафуют европейскую компанию-контролера, а она, в свою очередь обработчика (в договорах, заключенных между компаниями будут прописаны эти аспекты).

В связи с этим, компаниям, обрабатывающим персональные данные, стоит тщательно проверить, не нарушают ли они требования GDPR.

10 основных шагов для обеспечения соответствия GDPR

Шаг 1. Провести аудит персональных данных (ПДн) и задокументировать весь процесс обработки ПДн

Аудит персональных данных является первым шагом для организации в выполнении обязательств по ведению учета обработки ПДн.

Полнота аудита персональных данных может отличаться в зависимости от организации, однако, по меньшей мере, аудит должен отвечать на следующие вопросы:

  • что именно является персональными данными в рамках GDPR;
  • какие персональные данные собираются и обрабатываются организацией;
  • где данные хранятся, включая сторонние системы, и где географически расположены сервера;
  • по какому пути проходят ПДн в процессе обработки: начиная со сбора и заканчивая их удалением, а также передаются ли третьим лицам;
  • какой срок и формат хранения данных, а также тип базы данных.

Шаг 2. Определить законные основания для обработки ПДн

После того как персональные данные выявлены, прокатегорированы и проанализированы, необходимо выяснить еще один вопрос: для каких целей они обрабатываются? Статья 5 GDPR требует, чтобы обработка была «справедливой и законной» и цель сбора данных была четко определенной, прозрачной и легитимной. Включение данного пункта в процесс аудита ПДн значительно ускорит приведения к соответствию процессов обработки данных к требованиям GDPR.

Шаг 3. Разработать политику по обработке и защите персональных данных

Политика обработки персональных данных — внутренний документ организации, устанавливающий основные принципы по обработке и защите персональных данных. Политика должна регулярно обновляться. Правки также необходимо вносить, когда в компании происходят изменения, которые могут затронуть обработку персональных данных.

Шаг 4. Назначить ответственных за защиту персональных данных

В организации должны быть назначены ответственные за защиту персональных данных. Кроме того, если в компании ведется регулярная и систематическая обработка персональных данных (к примеру, услуги сотовой связи или поведенческая реклама), а также обработка специальных категорий персональных данных (в первую очередь это медицинские и страховые организации), должно быть назначено лицо, ответственное за организацию обработки персональных данных (Data Protection Officer (DPO)). Для государственных органов назначение DPO является обязательным.

Для компаний, которые не располагаются на территории ЕС, существует требование по назначению представителя в одной из стран ЕС, где ведется обработка персональных данных. В случае инцидента, связанного с обработкой персональных данных, представитель действует от имени контролера или обработчика и полностью отвечает за нарушения перед надзорным органом.

Шаг 5. Провести оценку информационных рисков, в том числе оценку воздействия на защиту персональных данных (DPIA)

Для эффективной защиты персональных данных организациям необходимо провести оценку рисков информационной безопасности. После того, как риски обнаружены и задокументированы, организация должна приступить к реализации мер по их минимизации и устранению. Например, может быть принято решение не начинать деятельность, приводящую к рискам, или стараться избегать их. Однако компания может принять эти риски и организовать свою деятельность в соответствии с ними.

При использовании новых технологий, а также если сфера применения и цели обработки ПДн могут привести к высокому риску для прав и свобод физических лиц, контролер должен проводить оценку воздействия этих факторов на защиту персональных данных.

Шаг 6. Обеспечить права субъектов данных

GDPR устанавливает ряд прав субъектов данных (право на получение, доступ, исправление, забвение, ограничение обработки информации и т.д), уделяя особое внимание принципам прозрачности и подотчетности. В отношении каждого из этих прав, организации должны будут внедрить соответствующие процессы для управления запросами от физических лиц в указанные сроки. Возможно, компаниям потребуется провести системные изменения для реализации необходимых процедур.

Шаг 7. Внедрить систему обработки запросов субъектов данных

Физические лица должны иметь возможность беспрепятственно реализовать свои права на исправление, ограничение обработки ПДн, забвение и т.д. Организация, получающая соответствующий запрос от субъекта, должна ответить на него в течение одного месяца (либо двух месяцев, в зависимости от сложности и количества запросов). В GDPR не предусмотрены какие-либо конкретные средства, с помощью которых необходимо обрабатывать запросы, но указывается, что организации должны предоставлять средства для электронных запросов, в частности, когда данные обрабатываются с помощью электронных средств. Дла российских компаний, как и для европейских, это означает, что организация сама решает, в каком виде субъектам ПДн будет предоставлена возможность запрашивать свои персональные данные (например, через специальную форму на сайте или путем отправки запроса на отдельный адрес электронной почты). Важно, чтобы это был рабочий инструмент, и чтобы компании могли быстро обрабатывать эти запросы. Кроме того, российские компании должны предоставить субъектам возможность выбора языка запроса.

Стоит отметить, что организация может запросить плату за необоснованные или чрезмерные запросы либо вовсе отказать в их реализации. Если организация отказывает в удовлетворении запроса, то отказ необходимо письменно обосновать, указав его причину.

Шаг 8. Внедрить необходимые меры по защите персональных данных

Организации, попадающие под действие GDPR, должны принять соответствующие меры для защиты персональных данных, которые они обрабатывают, в частности:

  • принять меры по псевдонимации и шифрованию персональных данных;
  • обеспечить конфиденциальность, целостность, доступность и устойчивость систем обработки данных;
  • своевременно восстанавливать доступ как уполномоченных лиц, так и самих субъектов к персональным данным в случае инцидента, это может быть как технический инцидент (например, хакерская атака), так и инцидент иного характера (например, затопление серверов);
  • регулярно тестировать и оценивать эффективность технических и организационных мер для обеспечения безопасности обработки ПДн.

Шаг 9. Реализовать безопасную трансграничную передачу персональных данных

GDPR проводит четкое различие между странами, которые обеспечивают адекватный уровень защиты персональных данных, и остальными. К странам, обеспечивающим адекватный уровень защиты, признанным Европейской комиссией, относятся Андорра, Аргентина, Канада, Фарерские острова, остров Гернси, Израиль, остров Мэн, остров Джерси, Новая Зеландия, Швейцария, Уругвай и США. Передача персональных данных в эти страны разрешена и законна в соответствии с GDPR и не требует предварительного одобрения со стороны надзорного органа ЕС. Во все остальные страны передача данных может осуществляться только в том случае, если организации, получающие эти данные, обеспечивают надлежащие гарантии защиты персональных данных.

Шаг 10. Разработать и внедрить процесс реагирования на инциденты

Необходимо выстроить и ввести в действие процедуры по реагированию и расследованию инцидентов, связанных с персональными данными. Нарушение требования по уведомлению об инциденте в течение 72 часов обернется для компании серьезным наказанием.

«Технические меры по защите персональных данных включают в себя множество технологий, такие как предотвращение утечки данных (DLP), сетевая безопасность, шифрование, реагирование на инциденты (SIEM), защита периметра организации, псевдонимизацию, защита конечных пользователей, управление мобильными устройствами (MDM), антивирусные средства и управление доступом (IDM), — отметила Мария Воронова, руководитель отдела консалтинга InfoWatch. — Исследования Osterman Research, Inc. показали, что именно на DLP-системах организации будут акцентировать свое основное внимание при выборе необходимых технических средств защиты для установления соответствия GDPR. DLP-системы обеспечивают конфиденциальность персональных данных, именно поэтому внедрение такой системы является необходимым для выполнения целого ряда требований, предъявляемых регламентом».

Читать еще:  Аренда мест общего пользования в нежилом помещении

Политика в отношении обработки персональных данных и реализации требований к защите персональных данных

1.1. Настоящий документ определяет Политику Акционерного Общества «Региональный Сетевой Информационный Центр» (далее — «Общество», «Организация») в отношении обработки персональных данных и реализации требований к защите персональных данных (далее — «Политика») в соответствии с требованиями ст. 18.1. Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

1.2. В настоящей Политике используются следующие основные понятия:

персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

субъект персональных данных — физическое лицо, к которому прямо или косвенно относятся персональные данные.

2. Принципы обработки персональных данных в Обществе:

2.1. Обработка персональных данных осуществляется на законной и справедливой основе;

2.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

2.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

2.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки;

2.5. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки и не являются избыточными по отношению к заявленным целям их обработки;

2.6. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Принимаются необходимые меры по удалению или уточнению неполных или неточных данных;

2.7. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, подлежат уничтожению либо обезличиванию.

2.8. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечивается запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использование баз данных, находящихся на территории Российской Федерации.

3. Правовые основания обработки персональных данных:

Обработка персональных данных в Обществе осуществляется в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», ст. 53 Федерального закона РФ от 07.07.2003 г, №126-ФЗ «О связи», Трудовым кодексом Российской Федерации, Постановлением Правительства РФ от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и иных нормативно-правовых актов в области защиты персональных данных.

4. Цели обработки персональных данных:

4.1. Общество собирает, хранит и обрабатывает только те персональные данные, которые необходимы для оказания услуг и для осуществления своей деятельности, а также для обеспечения прав и законных интересов третьих лиц при условии, что при этом не нарушаются права субъекта персональных данных.

4.2. Персональные данные субъекта персональных данных могут быть обработаны в следующих целях;

4.2.1. Для идентификации субъекта персональных данных;

4.2.2. Для осуществления возможности регистрации и обслуживания доменного имени;

4.2.3. Для связи с субъектом персональных данных в случае необходимости, в том числе для направления уведомлений, запросов и информации, связанной с оказанием услуг, а также для обработки запросов и заявок от субъектов персональных данных;

4.2.4. Для проведения статистических и иных исследований на основе обезличенных данных.

4.3. Организация не обрабатывает специальные категории персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных убеждений, состояния здоровья, а также биометрические персональные данные.

5. Состав персональных данных:

5.1. Персональные данные субъекта персональных данных — работника Общества — информация, необходимая Обществу в связи с оформлением, изменением, расторжением трудовых отношений.

5.2. Персональные данные субъекта персональных данных — клиента Общества — информация, необходимая Обществу для выполнения своих обязательств в рамках договорных отношений с субъектом персональных данных (клиентом Общества) и для выполнения требований законодательства Российской Федерации в области защиты персональных данных.

6. Обработка персональных данных:

6.1. Обработка персональных данных субъектов персональных данных Общества осуществляется с целью обеспечения соблюдения законов и иных нормативных правовых актов РФ, обучения субъектов персональных данных-работников Общества, обеспечения личной безопасности субъектов персональных данных, контроля количества и качества выполняемой работы и обеспечения сохранности имущества Общества.

6.2. Обработка персональных данных осуществляется Обществом с согласия субъектов персональных данных, как с использованием средств автоматизации, так и без использования таких средств.

6.3. Общество не предоставляет и не раскрывает сведения, содержащие персональные данные субъектов персональных данных, третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных действующим законодательством в области защиты персональных данных.

6.4. По мотивированному запросу уполномоченного органа и исключительно в рамках выполнения действующего законодательства персональные данные субъекта без его согласия могут быть переданы:

  • в судебные органы в связи с осуществлением правосудия;
  • в органы федеральной службы безопасности;
  • в органы прокуратуры;
  • в органы полиции;
  • в иные органы и организации в случаях, установленных нормативными правовыми актами, обязательными для исполнения.

6.5. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Обществом.

6.6. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Общество вправе продолжить обработку персональных данных без согласия субъекта при наличии оснований, указанных в действующем законодательстве.

6.7. Правовое регулирование порядка и сроков хранения документов, содержащих персональные данные субъектов персональных данных, осуществляется на основе «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», утвержденного Приказом Минкультуры России от 25.08.2010 г. № 558,

6.8. Уничтожение документов, содержащих персональные данные, производится любым способом, исключающим ознакомление посторонних лиц с уничтожаемыми материалами и возможность восстановления их текста.

7. Конфиденциальность персональных данных

7.1. Информация, относящаяся к персональным данным, ставшая известной в связи с реализацией трудовых отношений и в связи с оказанием Обществом услуг, является конфиденциальной информацией и охраняется действующим законодательством.

7.2. Лица, получившие доступ к обрабатываемым персональным данным, подписали обязательство о неразглашении конфиденциальной информации, а также предупреждены о возможной дисциплинарной, административной, гражданско-правовой и уголовной ответственности в случае нарушения норм и требований действующего законодательства Российской Федерации в области защиты персональных данных.

7.3. Лица, получившие доступ к обрабатываемым персональным данным, не имеют права сообщать персональные данные субъекта персональных данных третьей стороне без письменного согласия такого субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных законодательством РФ.

7.4. Лица, получившие доступ к персональным данным, обязуются не сообщать персональные данные в коммерческих целях без письменного согласия субъекта персональных данных. Обработка персональных данных субъектов персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия,

8. Меры, направленные на обеспечение выполнения Обществом обязанностей, предусмотренных ст. 18.1., 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»:

Читать еще:  Как через суд подтвердить трудовой стаж

8.1. Назначено ответственное лицо за организацию обработки персональных данных в Обществе.

8.2. Приказом руководителя Общества утверждены локальные акты, устанавливающее процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;

8.3. Применяются предусмотренные соответствующими нормативными правовыми актами правовые, организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Общества,

8.4. При обработке персональных данных, осуществляемой без использования средств автоматизации, выполняются требования, установленные Постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

8.5. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям действующего законодательства в Обществе организовано проведение периодических проверок условий обработки персональных данных.

8.6. Производится ознакомление работников Общества, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных.

8.7. Общество несет ответственность за нарушение обязательств по обеспечению безопасности и конфиденциальности персональных данных при их обработке в соответствии с законодательством Российской Федерации.

Закон о защите личной информации граждан

о защите персональных данных пациента в ООО «МЕДИС»

1. К персональным данным относятся любые сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность. Персональные данные пациента всегда являются конфиденциальной, охраняемой информацией.

2. Под обработкой персональных данных понимаются действия (операции) с персональными данными, включая сбор, накопление, хранение, уточнение, обновление, изменение, использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

3. Конфиденциальная информация — это документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации:

  • Конституция РФ;
  • Федеральный закон от 21.11.2011г. № 323-ФЗ «Об основах охраны здоровья граждан Российской Федерации»;
  • Федеральный Закон «О персональных данных» No152-ФЗ от 27.07.2006 г;
  • Федеральный Закон от 27.07.2006 г. No149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • другие действующие нормативно-правовые акты РФ.

4. Основные понятия:

Информация ограниченного доступа в структурных подразделениях – это профессиональная (медицинская) тайна и конфиденциальные персональные данные пациентов.

Режим конфиденциальности — принятие правовых, организационных и технических мер,

направленных на исключение и ограничение свободного доступа к информации не уполномоченных лиц.

Медицинская тайна — это информация о состоянии здоровья пациента, полученная при его обращении за медицинской помощью, в процессе обследования и лечения, в отношении которой введен режим конфиденциальности.

Персональные данные пациента — это любая информация о пациенте и членах его семьи, полученная при обращении за медицинской помощью, обследовании и лечении.

Неуполномоченное лицо — лицо, не имеющее допуска к информации.

Допуск к информации — это разрешение на ознакомление и использование информации, составляющей медицинскую тайну и персональные данные пациента.

Доступ к информации — это возможность ознакомления и использования информации, составляющей медицинскую тайну и персональные данные пациента.

Обладатель информации ограниченного доступа (оператор) – структурные подразделения Медицинских центров ООО «МЕДИС» или иное лицо, которому принадлежит или которого касается данная информация.

Субъект персональных данных — пациент в отношении своих персональных данных.

Общедоступные персональные данные — персональные данные, к которым пациентом предоставлен доступ неограниченного круга лиц или на которые, в соответствии с законом, не распространяется требование о сохранении конфиденциальности.

5. В целях обеспечения прав и свобод человека и гражданина, оператор при обработке персональных данных пациента обязан соблюдать следующие требования:

  • обработка персональных данных пациента может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, приказов Министерств здравоохранения РФ и Нижегородской области, договоров, заключенных между оператором и Территориальным фондом ОМС, другим оператором;
  • при определении объема и содержания обрабатываемых персональных данных пациента, оператор должен руководствоваться п.1.3 настоящего Положения;
  • перед обработкой и передачей персональных данных пациента оператор должен получить на это действие письменное согласие пациента (его законного представителя), за исключением случаев, предусмотренных действующим законодательством;
  • оператор не имеет права получать и обрабатывать персональные данные пациента о его политических, религиозных и иных убеждениях, частной жизни, за исключением случаев, предусмотренных действующим законодательством;

6. В соответствии с законодательством медицинскую тайну составляют сведения:

  • о факте обращения пациента за медицинской помощью
  • о состоянии здоровья пациента
  • о диагнозе заболевания пациента
  • др. сведения, полученные при обследовании и лечении пациента.

7. Под персональными данными пациентов понимается информация, необходимая оператору в связи с исполнением им деятельности при проведении лечебно-профилактических, оздоровительных мероприятий и касающаяся конкретного пациента, а также сведения о фактах, событиях и обстоятельствах жизни пациента, позволяющие идентифицировать его личность.

8. Состав персональных данных пациента:

  • фамилия, имя отчество
  • число, месяц, год и место рождения
  • адрес, домашний телефон
  • сведения о составе семьи, фамилии, имена, отчества, даты рождения, адрес места прописки и проживания, телефоны, социальное положение, место работы, занимаемая должность родителей, иных законных представителей,
  • свидетельство о рождении
  • паспортные данные
  • реквизиты полиса ОМС
  • страховой номер Индивидуального лицевого счета в пенсионном фонде России (СНИЛС)
  • справка МСЭ
  • наименование посещаемого образовательного учреждения (МДОУ, школы, ПУ, ССУЗ, ВУЗ),
  • в том числе номер группы, класса, курса
  • место работы, занимаемая должность
  • данные о состоянии здоровья, заболеваниях
  • данные о проведенных профилактических мероприятиях
  • иные сведения, относящиеся к персональным данным пациента

9. Лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев обезличивания персональных данных и за исключением общедоступных персональных данных.

10. В целях установления режима конфиденциальности сведений, составляющих медицинскую тайну и персональные данные пациентов в структурных подразделениях ООО «МЕДИС», руководство мед. центра принимает следующие меры:

  • осуществляет разработку локальных нормативных актов и инструкций по обеспечению защиты информации, ограниченного доступа и регламентации конфиденциального делопроизводства;
  • обеспечивает ограничение доступа к сведениям, составляющим медицинскую тайну и персональные данные;
  • принимает необходимые технические меры, направленные на ограничение доступа посторонних лиц к сведениям, составляющим медицинскую тайну и персональные данные;
  • организует работу персонала с информацией ограниченного доступа, в том числе с материальными носителями такой информации.

11. К лицам, обязанным обеспечивать конфиденциальность сведений, составляющих медицинскую тайну и персональные данные пациентов, относятся:

  • медицинский персонал структурных подразделений ООО «МЕДИС», включая врачей, средний медицинский персонал;
  • иные лица, получившие доступ к сведениям, составляющим медицинскую тайну и персональные данные пациентов, при осуществлении своей трудовой функции.

12. Допуск к информации ограниченного доступа включает в себя:

  • ознакомление работника с законодательством о защите медицинской тайны и персональных данных, об ответственности за его нарушение и с локальными нормативными актами о защите информации ограниченного доступа в структурных подразделениях ООО «МЕДИС»,
  • принятие работником на себя обязанности по обеспечению конфиденциальности информации, полученной при осуществлении своей трудовой функции в структурных подразделениях ООО «МЕДИС», а также после прекращения трудовых отношений на период действия режима конфиденциальности данных сведений.

13. Обработка персональных данных может осуществляться с согласия субъекта персональных данных, выраженного в письменном виде, за исключением обработки персональных данных, осуществляемой:

  • в целях исполнения договора об оказании платных медицинских услуг, стороной которого является пациент;
  • в статистических или иных целях в отношении обезличенных персональных данных пациента;
  • в иных случаях, установленных федеральным законом.

14. Предоставление сведений, составляющих медицинскую тайну, без согласия пациента или его законного представителя иным лицам допускается:

  • в целях обследования и лечения гражданина, не способного из-за своего состояния выразить свою волю;
  • при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;
  • по запросу органов дознания и следствия и суда в связи с проведением расследования или судебным разбирательством;
  • в случае оказания помощи несовершеннолетнему для информирования его родителей
  • или законных представителей;
  • при наличии оснований, позволяющих полагать, что вред здоровью гражданина причинен в результате противоправных действий.
  • двери помещения после окончания рабочего дня запираются.
  • в течение рабочего дня не допускается оставлять помещение открытым.
  • все медицинские документы должны храниться в шкафах, оборудованных замками в закрытых помещениях.

15. Использование сведений, составляющих медицинскую тайну или персональные данные пациентов, в структурных подразделениях ООО «МЕДИС» допускается только в

16. В целях обеспечения защиты персональных данных, хранящихся у оператора, пациенты имеют право на:

  • полную информацию об их персональных данных и обработке этих данных;
  • доступ к своим персональным данным, определенный Конституцией РФ, другими нормативными актами;
  • отказ от обработки персональных данных, оформленный и предоставленный оператору надлежащим образом;
  • обжалование в суд любых неправомерных действий или бездействия оператора при обработке и защите персональных данных пациента.
голоса
Рейтинг статьи
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector