Регламент реагирования на инциденты ПДн

реагирования на инциденты, связанные с персональными данными
в сервисе CLINILINK

1. Общие положения

1.1. Настоящий Регламент определяет порядок выявления, фиксации, оценки и реагирования на инциденты, связанные с нарушением безопасности персональных данных (далее — Инциденты ПДн) в сервисе CLINILINK.

1.2. Регламент разработан в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», иными нормативными правовыми актами Российской Федерации и обязателен для исполнения всеми сотрудниками ООО «КЛИНИЛИНК» (далее — CLINILINK).

1.3. Настоящий Регламент применяется с учётом условий Публичной оферты CLINILINK, Политики обработки персональных данных и Поручения на обработку персональных данных (DPA), заключённого с Клиниками.

1.4. Целями Регламента являются:
— минимизация последствий Инцидентов ПДн;
— соблюдение требований законодательства Российской Федерации;
— защита прав и законных интересов субъектов персональных данных;
— обеспечение готовности CLINILINK к проверкам уполномоченных органов.

2. Термины и определения

Инцидент ПДн — любое событие, повлёкшее или способное повлечь:
— несанкционированный доступ к персональным данным;
— утрату, уничтожение, изменение, блокирование персональных данных;
— незаконное распространение персональных данных;
— нарушение конфиденциальности, целостности или доступности персональных данных.

Утечка персональных данных — подтверждённый факт неправомерного раскрытия или передачи персональных данных третьим лицам.

3. Классификация инцидентов

3.1. Инциденты ПДн классифицируются по степени потенциального риска:

Низкий риск
— попытки несанкционированного доступа без подтверждённого воздействия на ПДн;
— технические сбои, не повлиявшие на безопасность персональных данных.

Средний риск
— компрометация учётных данных;
— ограниченный доступ третьих лиц к персональным данным без их распространения.

Высокий риск
— утечка персональных данных;
— доступ к медицинским или иным чувствительным данным;
— массовое затрагивание субъектов персональных данных.

4. Выявление и фиксация инцидентов

4.1. Инциденты могут выявляться посредством:
— систем мониторинга и логирования;
— сообщений пользователей или Клиник;
— обращений третьих лиц;
— уведомлений от уполномоченных органов.

4.2. Любой сотрудник CLINILINK, выявивший возможный Инцидент ПДн, обязан незамедлительно сообщить об этом ответственному лицу.

4.3. Каждый Инцидент подлежит обязательной фиксации во внутреннем журнале инцидентов с указанием:
— даты и времени выявления;
— источника информации;
— краткого описания обстоятельств;
— предварительной оценки риска.

5. Первичные меры реагирования

5.1. При выявлении Инцидента CLINILINK без необоснованной задержки принимает следующие меры:

— ограничивает доступ к затронутым системам;
— предотвращает дальнейшее распространение персональных данных;
— обеспечивает сохранность технических логов и доказательств;
— определяет предварительный масштаб Инцидента.

5.2. При необходимости CLINILINK вправе временно ограничить работу отдельных функций сервиса.

6. Оценка инцидента и принятие решений

6.1. Ответственное лицо CLINILINK проводит оценку Инцидента с учётом:
— объёма затронутых персональных данных;
— категорий субъектов персональных данных;
— вероятности причинения вреда субъектам;
— наличия медицинских или иных чувствительных данных.

6.2. По результатам оценки принимается решение:
— является ли Инцидент утечкой персональных данных;
— требуется ли уведомление Клиники;
— требуется ли уведомление уполномоченных органов и субъектов персональных данных в соответствии с законодательством.

6.3. Все решения принимаются с учётом сроков, установленных законодательством Российской Федерации для реагирования на инциденты персональных данных.

7. Уведомление Клиник

7.1. В случае Инцидента, затрагивающего персональные данные, обрабатываемые CLINILINK по поручению Клиники, CLINILINK уведомляет соответствующую Клинику без необоснованной задержки после обнаружения Инцидента.

7.2. Уведомление включает, по возможности:
— описание Инцидента;
— предполагаемые последствия;
— предпринятые или планируемые меры реагирования;
— рекомендации Клинике по дальнейшим действиям.

8. Взаимодействие с Роскомнадзором и субъектами ПДн

8.1. CLINILINK уведомляет уполномоченные органы исключительно в случаях, когда такая обязанность прямо возложена на него законодательством Российской Федерации.

8.2. Во всех иных случаях обязанность уведомления Роскомнадзора и субъектов персональных данных возлагается на Клинику как оператора персональных данных.

8.3. CLINILINK оказывает Клиникам разумное содействие в подготовке информации, необходимой для исполнения ими обязанностей по уведомлению.

9. Инциденты вне зоны ответственности CLINILINK

9.1. CLINILINK не несёт ответственности за Инциденты ПДн, возникшие вследствие:

— использования Клиникой сторонних программных решений, скриптов, аналитических и маркетинговых сервисов, независимо от способа их установки, включая установку по поручению Клиники;
— нарушений Клиникой требований законодательства о персональных данных;
— компрометации учётных данных Клиники по вине её сотрудников;
— действий третьих лиц вне зоны контроля CLINILINK.

10. Документирование и анализ

10.1. Информация обо всех Инцидентах ПДн подлежит хранению не менее трёх лет.

10.2. По итогам значимых Инцидентов проводится внутренний анализ причин и разрабатываются меры по предотвращению повторных Инцидентов.

11. Ответственные лица

11.1. Ответственным за организацию реагирования на Инциденты ПДн назначается уполномоченное лицо CLINILINK.

11.2. Ответственное лицо наделяется полномочиями:
— классифицировать Инциденты;
— инициировать меры реагирования;
— координировать взаимодействие с Клиниками;
— контролировать исполнение настоящего Регламента.

12. Заключительные положения

12.1. Настоящий Регламент вступает в силу с момента его утверждения руководителем ООО «КЛИНИЛИНК».

12.2. Регламент подлежит пересмотру при изменении законодательства Российской Федерации, либо инфраструктуры сервиса CLINILINK.