Политика конфиденциальности

Справочной службы «КРЫМ ЗДОРОВЬЕ»

1. Назначение политики

1.1.     Данная Политика представляет концептуальные основы ведения деятельности информационного портала «КРЫМ ЗДОРОВЬЕ» (далее – Портала) по обеспечению защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

2. Сфера применения

2.1. Данная Политика распространяется на деятельность всех специалистов и соискателей региональной справочной Службы (далее – Службы), участвующих в обработке персональных данных.

2.2.     Настоящая Политика в соответствии с требованиями п. 2 ст. 18.1 Федерального закона «О персональных данных» подлежит опубликованию на официальном сайте Службы ( https://крымздоровье.рф.).

3. Срок действия

3.1 Данная Политика вводится в действие сроком на 3 года.

3.2. Настоящая Политика может пересматриваться и заново утверждаться по мере внесения изменений:

·  в нормативные правовые акты в сфере персональных данных;

· в локальные акты Службы, регламентирующие организацию обработки и обеспечение безопасности персональных данных.

4. Термины и определения

4.1.     Персональные данные − любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

4.2.     Обработка персональных данных − любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, представление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

4.3.     Автоматизированная обработка персональных данных − обработка персональных данных с помощью средств вычислительной техники.

4.4.     Представление персональных данных − действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

4.5.     Уничтожение персональных данных − действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных, и (или) в результате которых уничтожаются материальные носители персональных данных.

4.6.     Обезличивание персональных данных − действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

4.7.     Информационная система персональных данных − совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

4.8.     Трансграничная передача персональных данных − передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

5. Нормативные ссылки

5.1. Настоящая Политика разработана в соответствии с положениями следующих нормативных правовых актов:

· Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 № 195-ФЗ;

· Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

· Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;

· Федеральный закон от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части

уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»;

· Федеральный закон от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности»;

· Положение о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (утв. Постановлением Правительства Российской Федерации от 16.03.2009 № 228);

· Требования к защите персональных данных при их обработке в информационных системах персональных данных (утв. Постановлением Правительства Российской Федерации от 01.11.2012 № 1119);

· Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. Постановлением Правительства Российской Федерации от 15.09.2008 № 687);

· Административный регламент Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по исполнению государственной функции «Ведение реестра операторов, осуществляющих обработку персональных данных» (утв. приказом Министерства связи и массовых коммуникаций Российской Федерации от 21.12.2011 № 346);

· Административный регламент исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (утв. приказом Министерства связи и массовых коммуникаций Российской Федерации от 14.11.2011 № 312);

· Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утв. приказом Федеральной службы по техническому и экспортному контролю Российской Федерации от 18.02.2013 № 21);

· Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с

использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности (утв. приказом Федеральной службы безопасности Российской Федерации от 10.07.2014 № 378).

5.2. Во исполнение данной Политики Службой утверждены Положение о порядке организации и проведения работ по защите персональных данных, Положение о защите персональных данных Службы, Положение о защите персональных данных рекламодателей портала и иных субъектов персональных данных, и иные локальные акты в сфере обработки и защиты персональных данных.

6. Описание политики

6.1.     Принципы, цели, содержание и способы обработки персональных данных.

6.1.1. Служба в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

6.1.2. Обработка персональных данных с использованием средств автоматизации и без использования средств автоматизации на портале Службы включает в себя сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных

6.1.3. Служба осуществляет сбор и дальнейшую обработку персональных данных следующих категорий субъектов персональных данных:

· действительные рекламодатели на портале Службы;

· потенциальные рекламодатели данного портала;

· представители действительных и потенциальных рекламодателей данного портала;

· сотрудники и представители медицинских организаций и учреждений;

· сайты и порталы аналогичных служб (юридических лиц), включая медицинские и информационные порталы, форумы, справочные службы и др.;

· лица, являющиеся соискателями на замещение вакантных должностей Службы;

· пользователи портала Службы; 

- лица, подписавшиеся на рассылку новостей Портала.

6.1.4. Служба осуществляет сбор и дальнейшую обработку персональных данных в следующих целях:

· организация и осуществление комплекса мероприятий, направленных на информирование пользователей о существующих методах профилактики, диагностики и лечения граждан, организациях и специалистах, занимающихся вопросами поддержания/восстановления здоровья в Крыму, а также   медицинских и оздоровительных, консультативных услугах, в том числе медицинской реабилитации и санаторно-курортном лечении в регионе, и позиционировании организаций и специалистов, занимающихся реализацией товаров для здоровья;

· осуществление дистанционного взаимодействия Службы с пользователями и иными заинтересованными лицами в рамках предоставления информационных услуг путем использования телефонной связи, служб мгновенных сообщений, IP-телефонии, электронной почты и других сервисов интернета;

· организация и проведение мероприятий, направленных на повышение узнаваемости и лояльности в отношении портала Службы;   

· выделение/подключение вычислительных средств, создание новых пользователей в информационных системах Службы;

- предоставления доступа к ресурсам информационных систем Службы, а также решения проблем, возникающих у пользователей в процессе работы с компьютерами (аппаратным и программным обеспечением) и оргтехникой;

· учёт информации об использовании услуг корпоративной стационарной и мобильной связи сотрудниками Службы.  

6.1.5. В службе установлены следующие условия прекращения обработки персональных данных:

· достижение целей обработки персональных данных и максимальных сроков хранения;

· утрата необходимости в достижении целей обработки персональных данных; 

· невозможность обеспечения правомерности обработки персональных данных;

· отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных.  

6.1.6. Службой осуществляется обработка специальных категорий персональных данных о состоянии здоровья в соответствии с требованиями законодательства, а также с письменного согласия субъектов персональных данных.

6.1.7. Службой не принимаются решения, порождающие юридические последствия в отношении субъектов персональных данных или иным образом затрагивающие их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.

6.1.8.  Интернет-портал Службы уведомляет о своем намерении осуществлять обработку персональных данных.

6.2.  Меры по надлежащей организации обработки и обеспечению безопасности персональных данных.

6.2.1. Обеспечение безопасности персональных данных на портале Службы достигается, в частности, следующими способами:

· назначением ответственного лица за организацию обработки персональных данных; 

· осуществлением внутреннего контроля и/или аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, требованиями к защите персональных данных, локальными актами Службы»;

· ознакомлением сотрудников Службы, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных и/или обучением указанных сотрудников;

· определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

· применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;

· оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

· учетом машинных (материальных) носителей персональных данных;

· выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер;

· восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

· установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

· контролем соблюдения требований в сфере обеспечения безопасности персональных данных и к уровням защищенности информационных систем персональных данных.

6.2.2. Обязанности сотрудников Службы, непосредственно осуществляющих обработку персональных данных, а также их ответственность определяются её локальными нормативными актами.

6.3. Права субъектов персональных данных.

6.3.1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных на портале Службы.

6.3.2. Субъект персональных данных вправе требовать уточнения этих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

6.3.3. Для реализации и защиты своих прав и законных интересов субъект персональных данных имеет право обратиться к руководству Службы, которое рассматривает обращения и запросы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения. 

6.3.5. Субъект персональных данных вправе обжаловать действия или бездействие руководства Службы путем обращения в уполномоченный орган по защите прав субъектов персональных данных.