Политика в области обеспечения безопасности персональных данных, обрабатываемых в ТФОМС Свердловской области регламентируется Положением о порядке организации и проведения работ по обеспечению безопасности персональных данных в «Территориальном фонде обязательного медицинского страхования Свердловской области», утвержденного приказом ТФОМС Свердловской области от 27.07.2015 № 263 "Об утверждении Положения о порядке организации и проведения работ по обеспечению безопасности персональных данных":
5.1. Настоящая Политика в области обеспечения безопасности персональных данных, обрабатываемых в информационных системах персональных данных ТФОМС Свердловской области разработана в соответствии с положениями действующего законодательства и локальными нормативными актами ТФОМС Свердловской области.
5.2. Настоящей политикой ТФОМС Свердловской области подтверждает, что обработка персональных данных в информационных системах персональных данных, осуществляется в полном соответствии с требованиями законодательства Российской Федерации.
5.3. Настоящая Политика устанавливает правила и процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований, правила рассмотрения запросов субъектов персональных данных или их представителей, а также правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
5.4. Настоящая Политика может быть изменена, уточнена или дополнена в установленном порядке, в соответствии с требованиями нормативных правовых документов в области обеспечения безопасности персональных данных, действующих в Российской Федерации.
5.6. Обеспечение безопасности персональных данных является одной из приоритетных задач в ТФОМС Свердловской области.
5.7. Информация об операторе:
5.7.1. ТФОМС Свердловской области в соответствии с федеральным законом является оператором, организующим и осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
5.7.2. Наименование оператора: Территориальный фонд обязательного медицинского страхования Свердловской области (ТФОМС Свердловской области).
5.7.3. Адрес местонахождения: 620102, г. Екатеринбург, ул. Московская, 54.
5.8. Правовые основания обработки персональных данных:
- Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
- Федеральный закон от 01 апреля 1996 года № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
- Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» и принятые в соответствии с ним нормативные правовые акты Российской Федерации;
- Федеральный закон от 29 ноября 2010 года № 326-Ф3 «Об обязательном медицинском страховании в Российской Федерации» и принятые в соответствии с ним нормативные правовые акты Российской Федерации.
5.9. Цели обработки персональных данных:
- исполнение требований законодательства Российской Федерации в сфере обязательного медицинского страхования;
- осуществление защиты прав и законных интересов лиц, застрахованных в сфере обязательного медицинского страхования;
- осуществление информационного взаимодействия в сфере обязательного медицинского страхования между субъектами обязательного медицинского страхования;
- исполнение договоров, стороной которых является субъект персональных данных;
- соблюдение трудового законодательства.
5.8. Категорий субъектов, персональные данные которых обрабатываются:
- лица, застрахованные по обязательному медицинскому страхованию;
- сотрудники оператора, близкие родственники сотрудников оператора;
- страхователи (индивидуальные предприниматели, физические лица, не признаваемые индивидуальными предпринимателями, занимающиеся частной практикой нотариусы, адвокаты, арбитражные управляющие);
- физические лица, являющиеся контрагентами или представителями (работниками) контрагентов.
5.9. Источники получения персональных данных:
- непосредственно субъекты персональных данных (работники, эксперты качества медицинской помощи, граждане, обратившиеся в ТФОМС Свердловской области, контрагенты);
- медицинские организации и страховые медицинские организации, осуществляющие деятельность на территории Свердловской области;
- Федеральный фонд обязательного медицинского страхования;
- Территориальные фонды обязательного медицинского страхования субъектов Российской Федерации;
- Министерство здравоохранения Свердловской области;
- Управление записи актов гражданского состояния Свердловской области;
- Отделение Пенсионного фонда Российской Федерации по Свердловской области;
- Свердловское региональное отделение Фонда социального страхования Российской Федерации;
- Иные государственные органы и уполномоченные организации в случаях, предусмотренных законодательством Российской Федерации.
5.10. Содержание и объём обрабатываемых персональных данных категорий субъектов персональных данных, определяются в соответствии с целями обработки персональных данных. Организация не обрабатывает персональные данные, которые являются избыточными по отношению к указанным целям обработки или несовместимы с такими целями.
5.11. Сроки обработки и хранения персональных данных определяются для каждой цели обработки персональных данных в соответствии с законодательно установленными сроками хранения документации, в соответствии со сроком действия договора с субъектом персональных данных, сроками исковой давности, сроками хранения документов бухгалтерского учёта.
5.12. ТФОМС Свердловской области в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в статье 5 Федерального закона от 27.07.06 г. «О персональных данных»;
5.13. ТФОМС Свердловской области осуществляет обработку персональных данных путём сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), использования, передачи, обезличивания, блокирования, уничтожения.
5.14. В ТФОМС Свердловской области используется смешанный (с использованием средств автоматизации и без использования средств автоматизации) способ обработки персональных данных с передачей информации по внутренней локальной сети и с передачей информации по сети интернет в защищенном режиме.
5.15. ТФОМС Свердловской области может осуществлять обработку специальных категорий персональных данных, касающихся, состояния здоровья и биометрических персональных данных субъектов персональных данных (фотографическое изображение).
5.16. ТФОМС Свердловской области не осуществляет трансграничную передачу персональных данных на территории иностранных государств.
5.17. ТФОМС Свердловской области передает обрабатываемые персональные данные в уполномоченные организации, государственные органы, государственные внебюджетные фонды только на основаниях и в случаях, предусмотренных законодательством Российской Федерации.
5.18. ТФОМС Свердловской области прекращает обработку персональных данных в следующих случаях:
- достижение цели обработки персональных данных;
- изменение, признание утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;
- ликвидация организации.
5.19. Уничтожение персональных данных осуществляется в порядке и сроки, предусмотренные законодательством Российской Федерации.
5.20. ТФОМС Свердловской области обеспечивает конфиденциальность обрабатываемых персональных данных: не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральными законами.
5.21. ТФОМС Свердловской области обеспечивает защиту персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
5.22. ТФОМС Свердловской области принимает необходимые правовые, организационные, технические, физические, криптографические меры защиты персональных данных, а также меры, направленные на обеспечение выполнения обязанностей, предусмотренных федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Такие меры, в том числе, включают следующие:
- назначение работника, ответственного за организацию обработки персональных данных;
- издание локальных актов, регламентирующих вопросы обработки и защиты персональных данных;
- ознакомление работников, непосредственно осуществляющих обработку персональных данных, под роспись с положениями локальных нормативных актов ТФОМС Свердловской области содержащих нормы законодательства Российской Федерации о персональных данных, в том числе требования к защите персональных данных, порядку обработки и ответственностью за разглашение персональных данных, нарушение порядка обращения с документами, содержащими такие данные, и иные неправомерные действия в отношении персональных данных;
- создание системы внутреннего контроля соответствия обработки персональных данных законодательству Российской Федерации, в том числе требованиям к защите персональных данных;
- моделирование угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- реализация разрешительной системы доступа работников и иных лиц к персональным данным и связанным с их использованием работам, материальным носителям; обеспечение соблюдения условий, при которых работники организации, иные лица получают доступ к персональным данным только в пределах, необходимых для выполнения своих обязанностей, либо в объёмах, вызванных необходимостью;
- регистрация и учёт действий работников, допущенных к персональным данным;
- ограничение доступа работников и иных лиц в помещения, где размещены технические средства, предназначенные для обработки персональных данных, и хранятся носители персональных данных, к информационным ресурсам, программным средствам обработки и защиты информации;
- учет материальных (машинных, бумажных) носителей персональных данных и обеспечение их сохранности;
- определение мест хранения материальных носителей персональных данных и обеспечение раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
- использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
- предотвращение внедрения в информационные системы вредоносных программ;
- резервирование технических средств и дублирование массивов и носителей информации;
- обеспечение защиты персональных данных при подключении информационных систем к информационно-телекоммуникационным сетям, в том числе сети интернет;
- обеспечение защиты персональных данных при их передаче по каналам связи, в том числе каналам связи сети интернет, с использованием средств криптографической защиты информации и электронной подписи;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- своевременное обнаружение фактов разглашения, утечки, несанкционированного доступа к персональным данным и принятие мер по таким фактам;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных.
5.23. Меры по обеспечению безопасности персональных данных при их обработке принимаются организацией с соблюдением требований федерального закона, иных нормативных правовых актов Российской Федерации.
5.1. Настоящая Политика в области обеспечения безопасности персональных данных, обрабатываемых в информационных системах персональных данных ТФОМС Свердловской области разработана в соответствии с положениями действующего законодательства и локальными нормативными актами ТФОМС Свердловской области.
5.2. Настоящей политикой ТФОМС Свердловской области подтверждает, что обработка персональных данных в информационных системах персональных данных, осуществляется в полном соответствии с требованиями законодательства Российской Федерации.
5.3. Настоящая Политика устанавливает правила и процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований, правила рассмотрения запросов субъектов персональных данных или их представителей, а также правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.
5.4. Настоящая Политика может быть изменена, уточнена или дополнена в установленном порядке, в соответствии с требованиями нормативных правовых документов в области обеспечения безопасности персональных данных, действующих в Российской Федерации.
5.6. Обеспечение безопасности персональных данных является одной из приоритетных задач в ТФОМС Свердловской области.
5.7. Информация об операторе:
5.7.1. ТФОМС Свердловской области в соответствии с федеральным законом является оператором, организующим и осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
5.7.2. Наименование оператора: Территориальный фонд обязательного медицинского страхования Свердловской области (ТФОМС Свердловской области).
5.7.3. Адрес местонахождения: 620102, г. Екатеринбург, ул. Московская, 54.
5.8. Правовые основания обработки персональных данных:
- Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
- Федеральный закон от 01 апреля 1996 года № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
- Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» и принятые в соответствии с ним нормативные правовые акты Российской Федерации;
- Федеральный закон от 29 ноября 2010 года № 326-Ф3 «Об обязательном медицинском страховании в Российской Федерации» и принятые в соответствии с ним нормативные правовые акты Российской Федерации.
5.9. Цели обработки персональных данных:
- исполнение требований законодательства Российской Федерации в сфере обязательного медицинского страхования;
- осуществление защиты прав и законных интересов лиц, застрахованных в сфере обязательного медицинского страхования;
- осуществление информационного взаимодействия в сфере обязательного медицинского страхования между субъектами обязательного медицинского страхования;
- исполнение договоров, стороной которых является субъект персональных данных;
- соблюдение трудового законодательства.
5.8. Категорий субъектов, персональные данные которых обрабатываются:
- лица, застрахованные по обязательному медицинскому страхованию;
- сотрудники оператора, близкие родственники сотрудников оператора;
- страхователи (индивидуальные предприниматели, физические лица, не признаваемые индивидуальными предпринимателями, занимающиеся частной практикой нотариусы, адвокаты, арбитражные управляющие);
- физические лица, являющиеся контрагентами или представителями (работниками) контрагентов.
5.9. Источники получения персональных данных:
- непосредственно субъекты персональных данных (работники, эксперты качества медицинской помощи, граждане, обратившиеся в ТФОМС Свердловской области, контрагенты);
- медицинские организации и страховые медицинские организации, осуществляющие деятельность на территории Свердловской области;
- Федеральный фонд обязательного медицинского страхования;
- Территориальные фонды обязательного медицинского страхования субъектов Российской Федерации;
- Министерство здравоохранения Свердловской области;
- Управление записи актов гражданского состояния Свердловской области;
- Отделение Пенсионного фонда Российской Федерации по Свердловской области;
- Свердловское региональное отделение Фонда социального страхования Российской Федерации;
- Иные государственные органы и уполномоченные организации в случаях, предусмотренных законодательством Российской Федерации.
5.10. Содержание и объём обрабатываемых персональных данных категорий субъектов персональных данных, определяются в соответствии с целями обработки персональных данных. Организация не обрабатывает персональные данные, которые являются избыточными по отношению к указанным целям обработки или несовместимы с такими целями.
5.11. Сроки обработки и хранения персональных данных определяются для каждой цели обработки персональных данных в соответствии с законодательно установленными сроками хранения документации, в соответствии со сроком действия договора с субъектом персональных данных, сроками исковой давности, сроками хранения документов бухгалтерского учёта.
5.12. ТФОМС Свердловской области в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в статье 5 Федерального закона от 27.07.06 г. «О персональных данных»;
5.13. ТФОМС Свердловской области осуществляет обработку персональных данных путём сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), использования, передачи, обезличивания, блокирования, уничтожения.
5.14. В ТФОМС Свердловской области используется смешанный (с использованием средств автоматизации и без использования средств автоматизации) способ обработки персональных данных с передачей информации по внутренней локальной сети и с передачей информации по сети интернет в защищенном режиме.
5.15. ТФОМС Свердловской области может осуществлять обработку специальных категорий персональных данных, касающихся, состояния здоровья и биометрических персональных данных субъектов персональных данных (фотографическое изображение).
5.16. ТФОМС Свердловской области не осуществляет трансграничную передачу персональных данных на территории иностранных государств.
5.17. ТФОМС Свердловской области передает обрабатываемые персональные данные в уполномоченные организации, государственные органы, государственные внебюджетные фонды только на основаниях и в случаях, предусмотренных законодательством Российской Федерации.
5.18. ТФОМС Свердловской области прекращает обработку персональных данных в следующих случаях:
- достижение цели обработки персональных данных;
- изменение, признание утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;
- ликвидация организации.
5.19. Уничтожение персональных данных осуществляется в порядке и сроки, предусмотренные законодательством Российской Федерации.
5.20. ТФОМС Свердловской области обеспечивает конфиденциальность обрабатываемых персональных данных: не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральными законами.
5.21. ТФОМС Свердловской области обеспечивает защиту персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
5.22. ТФОМС Свердловской области принимает необходимые правовые, организационные, технические, физические, криптографические меры защиты персональных данных, а также меры, направленные на обеспечение выполнения обязанностей, предусмотренных федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Такие меры, в том числе, включают следующие:
- назначение работника, ответственного за организацию обработки персональных данных;
- издание локальных актов, регламентирующих вопросы обработки и защиты персональных данных;
- ознакомление работников, непосредственно осуществляющих обработку персональных данных, под роспись с положениями локальных нормативных актов ТФОМС Свердловской области содержащих нормы законодательства Российской Федерации о персональных данных, в том числе требования к защите персональных данных, порядку обработки и ответственностью за разглашение персональных данных, нарушение порядка обращения с документами, содержащими такие данные, и иные неправомерные действия в отношении персональных данных;
- создание системы внутреннего контроля соответствия обработки персональных данных законодательству Российской Федерации, в том числе требованиям к защите персональных данных;
- моделирование угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- реализация разрешительной системы доступа работников и иных лиц к персональным данным и связанным с их использованием работам, материальным носителям; обеспечение соблюдения условий, при которых работники организации, иные лица получают доступ к персональным данным только в пределах, необходимых для выполнения своих обязанностей, либо в объёмах, вызванных необходимостью;
- регистрация и учёт действий работников, допущенных к персональным данным;
- ограничение доступа работников и иных лиц в помещения, где размещены технические средства, предназначенные для обработки персональных данных, и хранятся носители персональных данных, к информационным ресурсам, программным средствам обработки и защиты информации;
- учет материальных (машинных, бумажных) носителей персональных данных и обеспечение их сохранности;
- определение мест хранения материальных носителей персональных данных и обеспечение раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
- использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
- предотвращение внедрения в информационные системы вредоносных программ;
- резервирование технических средств и дублирование массивов и носителей информации;
- обеспечение защиты персональных данных при подключении информационных систем к информационно-телекоммуникационным сетям, в том числе сети интернет;
- обеспечение защиты персональных данных при их передаче по каналам связи, в том числе каналам связи сети интернет, с использованием средств криптографической защиты информации и электронной подписи;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- своевременное обнаружение фактов разглашения, утечки, несанкционированного доступа к персональным данным и принятие мер по таким фактам;
- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных.
5.23. Меры по обеспечению безопасности персональных данных при их обработке принимаются организацией с соблюдением требований федерального закона, иных нормативных правовых актов Российской Федерации.