Политика в отношении обработки персональных данных МИАЦ

return

О МИАЦ / Политика в отношении обработки персональных данных МИАЦ

Политика в отношении обработки персональных данных МИАЦ

1. Общие положения

Настоящая Политика в отношении обработки персональных данных (далее - Политика) государственного бюджетного учреждения здравоохранения «Самарский областной медицинский информационно-аналитический центр» (далее - МИАЦ) разработана в соответствии с требованиями пункта 2 части 1 статьи 18.1 Федерального закона Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Федеральный закон «О персональных данных») и определяет основные цели, задачи, общие принципы и направления обеспечения надлежащей обработки персональных данных в МИАЦ.

Политика обязательна для исполнения всеми лицами, непосредственно осуществляющими обработку персональных данных в МИАЦ.

Основные понятия, используемые в Политике:

персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

персональные данные, разрешенные субъектом персональных данных для распространения - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом «О персональных данных»;

субъект персональных данных - физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных;

оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

безличивание персональных данных - действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных;

блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

предоставление персональных данных - действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц;

распространение персональных данных - действия, направленные на раскрытие персональных данных неопределённому кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

конфиденциальность персональных данных - обязательное для соблюдения требование не раскрывать третьим лицам персональные данные и не допускать их распространения без согласия субъекта персональных данных;

информационная система - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Настоящая Политика определяет основные права и обязанности МИАЦ и субъектов персональных данных, цели обработки персональных данных, правовые основания обработки персональных данных, категории и перечень персональных данных, категории субъектов, персональных данные которых обрабатываются, порядок, сроки обработки, хранения и уничтожения персональных данных.

Политика подлежит опубликованию в информационно-телекоммуникационной сети "Интернет" на страницах официального сайта МИАЦ, с использованием которых осуществляется сбор персональных данных, с целью ознакомления с ней субъектов персональных данных. К настоящей Политике должен иметь неограниченный доступ любой субъект персональных данных.

Основные права и обязанности МИАЦ:

Должностные лица МИАЦ, в обязанности которых входит обработка персональных данных субъектов персональных данных, обязаны:

обрабатывать персональные данные, полученные в установленном действующим законодательством порядке;
не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных;
принимать меры по защите персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, от их предоставления, распространения, а также от иных неправомерных действий;
обеспечить каждому субъекту персональных данных возможность ознакомления с документами и материалами, содержащими их персональные данные, если иное не предусмотрено законом;
рассматривать обращения субъекта персональных данных (законного представителя субъекта персональных данных, уполномоченного органа по защите прав субъектов персональных данных) по вопросу обработки его персональных данных и давать мотивированные ответы в срок, не превышающий 10 (десяти) рабочих дней с даты поступления обращения (запроса).

Должностные лица МИАЦ, в обязанности которых входит обработка персональных данных субъектов персональных данных, в зависимости от целей обработки, вправе:

получать документы, содержащие персональные данные;
требовать от субъекта персональных данных своевременного уточнения предоставленных персональных данных.

Основные права и обязанности субъектов персональных данных: Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Субъект персональных данных имеет право на:

полную информацию о целях, способах и сроках обработки персональных данных;
доступ к своим персональным данным, включая право на получение копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законом;
уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
отзыв согласия на обработку персональных данных;
ограничение способов и форм обработки персональных данных, запрет на распространение персональных данных без его согласия;
принятие предусмотренных законом мер по защите своих прав;
обжалование действия или бездействия МИАЦ, осуществляемого с нарушением требований законодательства Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;
осуществление иных прав, предусмотренных законодательством Российской Федерации.

Субъекты персональных данных обязаны:

в случаях, предусмотренных законом или трудовым договором/соглашением, передавать в МИАЦ достоверные документы, содержащие персональные данные;
не предоставлять неверные персональные данные, а в случае изменений в персональных данных, обнаружения ошибок или неточностей в них (фамилия, место жительства и т. д.), незамедлительно сообщить об этом в МИАЦ.

2. Цели обработки персональных данных

В МИАЦ обрабатываются персональные данные в следующих целях:

обеспечение соблюдения трудового законодательства Российской Федерации;
подбор персонала (соискателей) на вакантные должности МИАЦ;
обеспечение соблюдения законодательства Российской Федерации в сфере здравоохранения;
обеспечение дистанционного обучения медицинских работников Самарской области;
оперативное обслуживание пользователей ОНМБ (читателей);
обеспечение пропускного режима на территорию МИАЦ;
ведение официального сайта МИАЦ;
оформление электронных подписей, доверенностей на использование электронной подписи;
обеспечение информационной поддержки участников системы здравоохранения Самарской области;
подготовка, заключение и исполнение гражданско-правовых договоров;
организация приема граждан, рассмотрения устных и письменных обращений граждан.

3. Правовое основание обработки персональных данных

Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми МИАЦ осуществляет обработку персональных данных.

Правовые основания обработки персональных данных в МИАЦ, соответствующие каждой цели обработки персональных данных, представлены в Приложении 1 к настоящей Политике.

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных,
способы обработки и перечень действий с персональными данными

Сведения о категориях субъектов, персональные данные которых обрабатываются МИАЦ, категориях и перечне обрабатываемых персональных данных, способах обработки персональных данных и перечне действий с персональными данными представлены в Приложении № 1 к настоящей Политике.

5. Принципы и условия обработки персональных данных

Обработка персональных данных в МИАЦ осуществляется в соответствии со следующими принципами:

обработка персональных данных осуществляется на законной и справедливой основе;
обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей; не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
обработке подлежат только персональные данные, которые отвечают целям их обработки;
содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки; обрабатываемые персональные данные не избыточны по отношению к заявленным целям их обработки;
не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Условиями, в которых в МИАЦ ведется обработка персональных данных, являются:

обработка персональных данных в МИАЦ осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных;
доступ к обрабатываемым в МИАЦ персональным данным разрешается только работникам МИАЦ, согласно утверждённому перечню лиц, имеющим доступ к таким данным;
персональные данные хранятся в МИАЦ на бумажных и иных материальных, в том числе внешних электронных, носителях в структурных подразделениях, в функции которых входит обработка персональных данных, а также в информационных системах персональных данных.

Персональные данные на бумажных носителях хранятся МИАЦ в течение сроков, предусмотренных Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утвержденным приказом Росархива от 20.12.2019 № 236.

Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.

при осуществлении хранения персональных данных МИАЦ использует базы данных, находящиеся на территории Российской Федерации.

МИАЦ без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом. МИАЦ вправе осуществлять передачу данных третьим лицам (федеральной налоговой службе, пенсионному фонду органам дознания, следствия и иным государственным органам) в случаях, предусмотренных законодательством Российской Федерации.

трансграничная передача персональных данных МИАЦ не осуществляется;
МИАЦ вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к их защите.

6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации, а обработка должна быть прекращена, соответственно.

При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку, персональные данные подлежат уничтожению, если:

иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
МИАЦ не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;
иное не предусмотрено иным соглашением между МИАЦ и субъектом персональных данных.

Уничтожение персональных данных в МИАЦ регламентируется Инструкцией по уничтожению персональных данных в МИАЦ, утвержденной директором МИАЦ.

МИАЦ обязан сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего.

Порядок взаимодействия с субъектами персональных данных регламентирован Федеральным законом «О персональных данных» № 152-ФЗ от 27.07.2006г и Положением о порядке организации обработки и обеспечении безопасности персональных данных в МИАЦ, утвержденным директором МИАЦ.

7. Организация защиты персональных данных

Защите подлежат все обрабатываемые в МИАЦ персональные данные, за исключением обезличенных персональных данных и персональных данных, сделанных общедоступными субъектом.

Все персональные данные в МИАЦ, за исключением обезличенных и сделанных общедоступными субъектом персональных данных, признаются информацией ограниченного доступа. Необходимость соблюдения конфиденциальности такой информации определена требованиями Федерального закона «О персональных данных» № 152-ФЗ от 27.07.2006г.

Защита персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных обеспечивается МИАЦ выполнением организационных и технических мер. В отдельных случаях для выполнения части функций по обеспечению безопасности персональных данных МИАЦ может привлекаться сторонние организации, имеющие оформленные в установленном порядке лицензии на осуществление деятельности по технической защите конфиденциальной информации.

Общую организацию защиты персональных данных субъектов и контроль над соблюдением сотрудниками МИАЦ мер и мероприятий по защите персональных данных осуществляет Ответственный за обеспечение безопасности персональных данных в МИАЦ.

МИАЦ при осуществлении обработки персональных данных:

принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации и локально-нормативной документации МИАЦ в области персональных данных;
принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
назначает лицо, ответственное за организацию обработки персональных данных в МИАЦ;
назначает лицо, ответственное за обеспечение безопасности персональных данных в МИАЦ, и администратора информационной безопасности;
издает и поддерживает в актуальном состоянии локально-нормативную документацию, регламентирующую вопросы обработки и защиты персональных данных в МИАЦ;
осуществляет ознакомление работников МИАЦ, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации и локально-нормативной документацией МИАЦ в области персональных данных, в том числе требованиями к защите персональных данных;
осуществляет внутренний контроль и аудит соответствия обработки персональных данных в МИАЦ законодательству Российской Федерации в области персональных данных;
осуществляет внутренний контроль и аудит получения работниками МИАЦ, обрабатывающими персональные данные, согласий субъектов персональных данных на обработку персональных данных в случаях, прямо предусмотренных законодательством Российской Федерации;
проводит работникам инструктаж по информационной безопасности;
осуществляет внутренние проверки соблюдения требований инструктажа по информационной безопасности;
определяет перечень лиц, имеющих доступ в серверное помещение. При этом серверное помещение закрывается на ключ, опечатывается специальным устройством, сигнализирующем о несанкционированном вскрытии;
определяет перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
обеспечивает раздельное хранение персональных данных и их материальных носителей, обработка которых осуществляется в разных целях;
осуществляет хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним. Хранение документов, содержащих персональные данные, при неавтоматизированной обработке (документы на бумажных носителях) производится в специально отведенных металлических шкафах, запираемых на ключ и оборудованных опечатывающим устройством, сигнализирующем о несанкционированном вскрытии;
ведет журналы учета в области обработки и защиты персональных данных;
применяет прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации;
совершает иные действия, предусмотренные законодательством Российской Федерации в области персональных данных.

8. Заключительные положения

8.1. Настоящая Политика вводится в действие с момента её утверждения директором МИАЦ.

8.2. Настоящая Политика может быть пересмотрена в любом из следующих случаев:

при изменении законодательства Российской Федерации в области обработки и защиты персональных данных;
в случаях получения предписаний от компетентных государственных органов на устранение несоответствий, затрагивающих область действия Политики;
при изменении целей обработки персональных данных.

8.3. Должностные лица МИАЦ, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут ответственность в порядке, установленном законодательством Российской Федерации.