Положение об обеспечении безопасности и конфиденциальности при обработке персональных данных
ГЛАВА 1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Положение устанавливает применяемые в обществе с ограниченной ответственностью «Педиатр и я» (далее – Оператор) способы обеспечения безопасности и конфиденциальности при обработке персональных данных, которыми являются любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
1.2. Требование обеспечения конфиденциальности при обработке персональных данных означает обязательное для соблюдения должностными лицами Оператора, допущенными к обработке персональных данных, иными получившими доступ к персональным данным лицами требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания
1.3. Обеспечение конфиденциальности персональных данных не требуется в случае:
- обезличивания персональных данных (действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных);
- для общедоступных персональных данных (персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов).
1.4. В целях обеспечения требований соблюдения конфиденциальности и безопасности при обработке персональных данных Оператор предоставляет сотрудникам, работающим с персональными данными, необходимые условия для выполнения указанных требований:
- знакомит всех работников под подпись с требованиями Политики в отношении обработки персональных данных, с Положением об обработке и защите персональных данных, с настоящим Положением;
- предоставляет хранилища для документов, средства для доступа к информационным ресурсам (ключи, пароли и т.п.);
- обучает правилам эксплуатации средств защиты информации;
- проводит иные необходимые мероприятия.
1.5. Сотрудникам Оператора, работающим с персональными данными, запрещается сообщать их устно или письменно кому бы то ни было, если это не вызвано служебной необходимостью.
1.6 .
1.7. При прекращении выполнения трудовой функции, связанной с обработкой персональных данных, все носители информации, содержащие персональные данные (оригиналы и копии документов, машинные и бумажные носители, пр.), которые находились в распоряжении должностного лица в связи с выполнением должностных обязанностей, данный работник должен передать директору Оператора.
1.8. Запрещается передача персональных данных по телефону, факсу, электронной почте. Ответы на запросы граждан и организаций даются в том объеме, который позволяет не разглашать в ответах персональные данные.
1.9. Сотрудники Оператора, работающие с персональными данными, обязаны немедленно сообщать директору обо всех ставших им известными фактах получения третьими лицами несанкционированного доступа либо попытки получения доступа к персональным данным, об утрате или недостаче носителей информации, содержащих персональные данные, ключей от сейфов (хранилищ), личных печатей, электронных ключей и других фактах, которые могут привести к несанкционированному доступу к персональным данным, а также о причинах и условиях возможной утечки этих сведений.
1.10. Сотрудники Оператора, осуществляющие обработку персональных данных, за невыполнение требований конфиденциальности, защиты персональных данных несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Республики Беларусь.
ГЛАВА 2. ПОРЯДОК ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОСУЩЕСТВЛЯЕМОЙ БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ
2.1. Обработка персональных данных, в том числе содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такая обработка осуществляется при непосредственном участии человека.
2.2. Сотрудник, осуществляющий обработку персональных данных без использования средств автоматизации:
- использует места хранения персональных данных на бумажных носителях, определенное директором Оператора;
- осуществляет контроль наличия условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ;
- информирует лиц, осуществляющих обработку персональных данных без использования средств автоматизации, о перечне обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки;
- организует раздельное, т.е. не допускающее смешения, хранение материальных носителей персональных данных (документов, дисков, дискет, USB-флеш-накопителей, пр.), обработка которых осуществляется в различных целях.
2.3. При несовместимости целей обработки персональных данных сотрудник должен обеспечить раздельную обработку персональных данных.
ГЛАВА 3. ПОРЯДОК ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОСУЩЕСТВЛЯЕМОЙ С ИСПОЛЬЗОВАНИЕМ СРЕДСТВ АВТОМАТИЗАЦИИ
3.1. Обработка персональных данных с использованием средств автоматизации означает совершение действий (операций) с такими данными с помощью объектов вычислительной техники в компьютерной сети (далее - КС). Безопасность персональных данных при их обработке в КС обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации, а также используемые в КС информационные технологии. Технические и программные средства защиты информации должны удовлетворять устанавливаемым в соответствии с законодательством Республики Беларусь требованиям, обеспечивающим защиту информации. Средства защиты информации, применяемые в КС, в установленном порядке проходят процедуру оценки соответствия.
3.2. Допуск лиц к обработке персональных данных с использованием средств автоматизации осуществляется на основании приказа директора Оператора при наличии паролей доступа.
3.3. Работа с персональными данными в КС должна быть организована таким образом, чтобы обеспечивалась сохранность носителей персональных данных и средств защиты информации, а также исключалась возможность неконтролируемого пребывания в этих помещениях посторонних лиц.
3.4. Компьютеры и (или) электронные папки, в которых содержатся файлы с персональными данными, для каждого пользователя должны быть защищены индивидуальными паролями доступа.
3.5. При обработке персональных данных в КС пользователями должно быть обеспечено:
а) использование предназначенных для этого разделов (каталогов) носителей информации, встроенных в технические средства, или съемных маркированных носителей;
б) недопущение физического воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
в) постоянное использование антивирусного обеспечения для обнаружения зараженных файлов и незамедлительное восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
г) недопущение несанкционированных выноса из помещений, установки, подключения оборудования, а также удаления, инсталляции или настройки программного обеспечения.
3.7. При обработке персональных данных в КС разработчиками и администраторами информационных систем должны обеспечиваться:
а) обучение лиц, использующих средства защиты информации, применяемые в КС, правилам работы с ними;
б) учет лиц, допущенных к работе с персональными данными в КС, прав и паролей доступа;
в) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;
г) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
д) описание системы защиты персональных данных.
3.8. Специфические требования по защите персональных данных в отдельных автоматизированных системах Оператора определяются утвержденными в установленном порядке инструкциями по их использованию и эксплуатации.
ГЛАВА 4. ПОРЯДОК УЧЕТА, ХРАНЕНИЯ И ОБРАЩЕНИЯ СО СЪЕМНЫМИ НОСИТЕЛЯМИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ТВЕРДЫМИ КОПИЯМИ И ИХ УТИЛИЗАЦИИ
4.1. Все находящиеся на хранении и в обращении у Оператора съемные носители, содержащие персональные данные, подлежат учету. Каждый съемный носитель с записанными на нем персональными данными должен иметь этикетку, на которой указывается его уникальный учетный номер.
4.2. Сотрудники Оператора получают учтенный съемный носитель от уполномоченного сотрудника для выполнения работ на конкретный срок. По окончании работ пользователь сдает съемный носитель для хранения уполномоченному сотруднику.
4.3. При работе со съемными носителями, содержащими персональные данные, запрещается:
- хранить съемные носители с персональными данными вместе с носителями открытой информации, на рабочих столах, либо оставлять их без присмотра или передавать на хранение другим лицам;
- выносить съемные носители с персональными данными из служебных помещений для работы с ними на дому, в гостиницах и т.д.
4.4. При отправке или передаче персональных данных адресатам на съемные носители записываются только предназначенные адресатам данные. Отправка персональных данных адресатам на съемных носителях осуществляется в порядке, установленном для документов для служебного пользования. Вынос съемных носителей персональных данных для непосредственной передачи адресату осуществляется только с письменного разрешения директора Оператора.
4.5. О фактах утраты съемных носителей, содержащих персональные данные, либо разглашения содержащихся в них сведений должно быть немедленно сообщено директору Оператора. На утраченные носители составляется акт.
ГЛАВА 5. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
5.1. С настоящим Положением должны быть ознакомлены под подпись все работники Оператора и лица, выполняющие работы по договорам и контрактам, имеющие отношение к обработке персональных данных Оператора.
Ответственный за инструктаж – заместитель директора по медицинской части ООО «Педиатр и я».
5.2. Настоящее Положение является обязательным для исполнения всеми сотрудниками Оператора, имеющими доступ к персональным данным и к обработке персональных данных.
1.1. Настоящее Положение устанавливает применяемые в обществе с ограниченной ответственностью «Педиатр и я» (далее – Оператор) способы обеспечения безопасности и конфиденциальности при обработке персональных данных, которыми являются любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
1.2. Требование обеспечения конфиденциальности при обработке персональных данных означает обязательное для соблюдения должностными лицами Оператора, допущенными к обработке персональных данных, иными получившими доступ к персональным данным лицами требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания
1.3. Обеспечение конфиденциальности персональных данных не требуется в случае:
- обезличивания персональных данных (действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных);
- для общедоступных персональных данных (персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов).
1.4. В целях обеспечения требований соблюдения конфиденциальности и безопасности при обработке персональных данных Оператор предоставляет сотрудникам, работающим с персональными данными, необходимые условия для выполнения указанных требований:
- знакомит всех работников под подпись с требованиями Политики в отношении обработки персональных данных, с Положением об обработке и защите персональных данных, с настоящим Положением;
- предоставляет хранилища для документов, средства для доступа к информационным ресурсам (ключи, пароли и т.п.);
- обучает правилам эксплуатации средств защиты информации;
- проводит иные необходимые мероприятия.
1.5. Сотрудникам Оператора, работающим с персональными данными, запрещается сообщать их устно или письменно кому бы то ни было, если это не вызвано служебной необходимостью.
1.6 .
1.7. При прекращении выполнения трудовой функции, связанной с обработкой персональных данных, все носители информации, содержащие персональные данные (оригиналы и копии документов, машинные и бумажные носители, пр.), которые находились в распоряжении должностного лица в связи с выполнением должностных обязанностей, данный работник должен передать директору Оператора.
1.8. Запрещается передача персональных данных по телефону, факсу, электронной почте. Ответы на запросы граждан и организаций даются в том объеме, который позволяет не разглашать в ответах персональные данные.
1.9. Сотрудники Оператора, работающие с персональными данными, обязаны немедленно сообщать директору обо всех ставших им известными фактах получения третьими лицами несанкционированного доступа либо попытки получения доступа к персональным данным, об утрате или недостаче носителей информации, содержащих персональные данные, ключей от сейфов (хранилищ), личных печатей, электронных ключей и других фактах, которые могут привести к несанкционированному доступу к персональным данным, а также о причинах и условиях возможной утечки этих сведений.
1.10. Сотрудники Оператора, осуществляющие обработку персональных данных, за невыполнение требований конфиденциальности, защиты персональных данных несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Республики Беларусь.
ГЛАВА 2. ПОРЯДОК ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОСУЩЕСТВЛЯЕМОЙ БЕЗ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ
2.1. Обработка персональных данных, в том числе содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такая обработка осуществляется при непосредственном участии человека.
2.2. Сотрудник, осуществляющий обработку персональных данных без использования средств автоматизации:
- использует места хранения персональных данных на бумажных носителях, определенное директором Оператора;
- осуществляет контроль наличия условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ;
- информирует лиц, осуществляющих обработку персональных данных без использования средств автоматизации, о перечне обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки;
- организует раздельное, т.е. не допускающее смешения, хранение материальных носителей персональных данных (документов, дисков, дискет, USB-флеш-накопителей, пр.), обработка которых осуществляется в различных целях.
2.3. При несовместимости целей обработки персональных данных сотрудник должен обеспечить раздельную обработку персональных данных.
ГЛАВА 3. ПОРЯДОК ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОСУЩЕСТВЛЯЕМОЙ С ИСПОЛЬЗОВАНИЕМ СРЕДСТВ АВТОМАТИЗАЦИИ
3.1. Обработка персональных данных с использованием средств автоматизации означает совершение действий (операций) с такими данными с помощью объектов вычислительной техники в компьютерной сети (далее - КС). Безопасность персональных данных при их обработке в КС обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации, а также используемые в КС информационные технологии. Технические и программные средства защиты информации должны удовлетворять устанавливаемым в соответствии с законодательством Республики Беларусь требованиям, обеспечивающим защиту информации. Средства защиты информации, применяемые в КС, в установленном порядке проходят процедуру оценки соответствия.
3.2. Допуск лиц к обработке персональных данных с использованием средств автоматизации осуществляется на основании приказа директора Оператора при наличии паролей доступа.
3.3. Работа с персональными данными в КС должна быть организована таким образом, чтобы обеспечивалась сохранность носителей персональных данных и средств защиты информации, а также исключалась возможность неконтролируемого пребывания в этих помещениях посторонних лиц.
3.4. Компьютеры и (или) электронные папки, в которых содержатся файлы с персональными данными, для каждого пользователя должны быть защищены индивидуальными паролями доступа.
3.5. При обработке персональных данных в КС пользователями должно быть обеспечено:
а) использование предназначенных для этого разделов (каталогов) носителей информации, встроенных в технические средства, или съемных маркированных носителей;
б) недопущение физического воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
в) постоянное использование антивирусного обеспечения для обнаружения зараженных файлов и незамедлительное восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
г) недопущение несанкционированных выноса из помещений, установки, подключения оборудования, а также удаления, инсталляции или настройки программного обеспечения.
3.7. При обработке персональных данных в КС разработчиками и администраторами информационных систем должны обеспечиваться:
а) обучение лиц, использующих средства защиты информации, применяемые в КС, правилам работы с ними;
б) учет лиц, допущенных к работе с персональными данными в КС, прав и паролей доступа;
в) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;
г) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
д) описание системы защиты персональных данных.
3.8. Специфические требования по защите персональных данных в отдельных автоматизированных системах Оператора определяются утвержденными в установленном порядке инструкциями по их использованию и эксплуатации.
ГЛАВА 4. ПОРЯДОК УЧЕТА, ХРАНЕНИЯ И ОБРАЩЕНИЯ СО СЪЕМНЫМИ НОСИТЕЛЯМИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ТВЕРДЫМИ КОПИЯМИ И ИХ УТИЛИЗАЦИИ
4.1. Все находящиеся на хранении и в обращении у Оператора съемные носители, содержащие персональные данные, подлежат учету. Каждый съемный носитель с записанными на нем персональными данными должен иметь этикетку, на которой указывается его уникальный учетный номер.
4.2. Сотрудники Оператора получают учтенный съемный носитель от уполномоченного сотрудника для выполнения работ на конкретный срок. По окончании работ пользователь сдает съемный носитель для хранения уполномоченному сотруднику.
4.3. При работе со съемными носителями, содержащими персональные данные, запрещается:
- хранить съемные носители с персональными данными вместе с носителями открытой информации, на рабочих столах, либо оставлять их без присмотра или передавать на хранение другим лицам;
- выносить съемные носители с персональными данными из служебных помещений для работы с ними на дому, в гостиницах и т.д.
4.4. При отправке или передаче персональных данных адресатам на съемные носители записываются только предназначенные адресатам данные. Отправка персональных данных адресатам на съемных носителях осуществляется в порядке, установленном для документов для служебного пользования. Вынос съемных носителей персональных данных для непосредственной передачи адресату осуществляется только с письменного разрешения директора Оператора.
4.5. О фактах утраты съемных носителей, содержащих персональные данные, либо разглашения содержащихся в них сведений должно быть немедленно сообщено директору Оператора. На утраченные носители составляется акт.
ГЛАВА 5. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
5.1. С настоящим Положением должны быть ознакомлены под подпись все работники Оператора и лица, выполняющие работы по договорам и контрактам, имеющие отношение к обработке персональных данных Оператора.
Ответственный за инструктаж – заместитель директора по медицинской части ООО «Педиатр и я».
5.2. Настоящее Положение является обязательным для исполнения всеми сотрудниками Оператора, имеющими доступ к персональным данным и к обработке персональных данных.