Политика в отношении обработки персональных данных МИАЦ
1. Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных (далее - Политика) Государственного бюджетного учреждения здравоохранения «Самарский областной медицинский информационно-аналитический центр» (далее - МИАЦ) составлена в соответствии с требованиями пункта 2 части 1 и части 2 статьи 18.1 Федерального закона Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Федеральный закон «О персональных данных») и определяет основные цели, задачи, общие принципы и направления обеспечения надлежащей обработки персональных данных в МИАЦ.
1.2. Политика обязательна для исполнения всеми лицами, непосредственно осуществляющими обработку персональных данных в МИАЦ.
1.3. Основные понятия, используемые в Политике:
автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
конфиденциальность персональных данных - обязательное для соблюдения требование не раскрывать третьим лицам персональные данные и не допускать их распространения без согласия субъекта персональных данных;
информационная система (ИС) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
обезличивание персональных данных - действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному субъекту персональных данных;
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая, сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом «О персональных данных»;
предоставление персональных данных - действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределённому кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
субъект персональных данных - физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных;
трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Все персональные данные в МИАЦ, за исключением обезличенных и сделанных общедоступными субъектом персональных данных, признаются информацией ограниченного доступа. Необходимость соблюдения конфиденциальности такой информации определена требованиями Федерального закона «О персональных данных».
1.4. Настоящая Политика предназначена для размещения в информационных ресурсах общественного пользования МИАЦ. К настоящей Политике должен иметь доступ любой субъект персональных данных.
1.5. Основные права и обязанности МИАЦ.
Должностные лица МИАЦ, в обязанности которых входит обработка персональных данных субъектов, обязаны:
- обрабатывать персональные данные, полученные в установленном действующим законодательством порядке;
- не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта;
- принимать меры по защите персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, от их предоставления, распространения, а также от иных неправомерных действий;
- обеспечить каждому субъекту возможность ознакомления с документами и материалами, содержащими их персональные данные, если иное не предусмотрено законом;
- рассматривать обращения субъекта персональных данных (законного представителя субъекта персональных данных, уполномоченного органа по защите прав субъектов персональных данных) по вопросу обработки его персональных данных и давать мотивированные ответы в срок, не превышающий 7 (семи) рабочих дней с даты поступления обращения (запроса).
- Должностные лица МИАЦ, в обязанности которых входит обработка персональных данных субъектов, в зависимости от целей обработки, вправе:
- получать документы, содержащие персональные данные;
- требовать от субъекта персональных данных своевременного уточнения предоставленных персональных данных.
1.6. Основные права и обязанности субъектов персональных данных. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в Федеральном законе «О персональных данных», возлагается на МИАЦ.
Субъект персональных данных имеет право на:
- полную информацию о целях, способах и сроках обработки персональных данных;
- доступ к своим персональным данным, включая право на получение копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законом;
- уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- отзыв согласия на обработку персональных данных;
- ограничение способов и форм обработки персональных данных, запрет на распространение персональных данных без его согласия;
- принятие предусмотренных законом мер по защите своих прав;
- обжалование действия или бездействия МИАЦ, осуществляемого с нарушением требований законодательства Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;
- осуществление иных прав, предусмотренных законодательством Российской Федерации.
Если субъект персональных данных считает, что МИАЦ осуществляет обработку его персональных данных с нарушением требований Федеральном законе «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие МИАЦ в Уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Субъекты персональных данных обязаны:
- в случаях, предусмотренных законом или трудовым договором/соглашением, передавать в МИАЦ достоверные документы, содержащие персональные данные;
- не предоставлять неверные персональные данные, а в случае изменений в персональных данных, обнаружения ошибок или неточностей в них (фамилия, место жительства и т. д.), незамедлительно сообщить об этом в МИАЦ.
2. Цели обработки персональных данных
2.1. В МИАЦ обрабатываются персональные данные в целях:
- обеспечения соблюдения Конституции Российской Федерации, законов и иных нормативных правовых актов Российской Федерации, локальных нормативных актов МИАЦ;
- обеспечения безопасных условий труда;
- подбора персонала;
- регулирования трудовых отношений с работниками МИАЦ;
- ведения налогового и бухгалтерского учёта;
- ведения кадрового делопроизводства;
- формирования документов индивидуального (персонифицированного) учёта;
- расчёта заработной платы работников;
- ведения воинского учёта;
- предоставления в государственные органы регламентированной отчётности;
- исполнения прав и законных интересов МИАЦ в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами МИАЦ;
- оказания услуг по повышению квалификации;
- оперативного обслуживания пользователей ОНМБ (читателей);
- исполнения обязательств, предусмотренных договорами;
- исполнения приказов и распоряжений министерства здравоохранения Самарской области;
- обеспечения пропускного и внутриобъектового режимов на территорию МИАЦ;
- в иных законных целях.
3. Правовое основание обработки персональных данных
3.1. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми МИАЦ осуществляет обработку персональных данных.
3.2. В качестве правового основания обработки персональных данных в МИАЦ выступают:
- ст. ст. 23, 24 Конституции Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Федеральный закон от 21.11.2011 № 323-ФЭ "Об основах охраны здоровья граждан в Российской Федерации";
- Федеральный закон от 29.11.2010 № 326-ФЭ "Об обязательном медицинском страховании в Российской Федерации";
- Распоряжение Правительства Российской Федерации от 17.12.2009 №1993-р «Об утверждении сводного перечня первоочередных государственных и муниципальных услуг, предоставляемых в электронном виде»;
- Приказ МЗиСР СО от 29.06.2009 № 1260 «О порядке представления сведений для формирования Единого областного банка данных оказанных медицинских услуг населению Самарской области»;
- ст. ст. 86-90 Трудового кодекса Российской Федерации;
- Устав МИАЦ.
4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
4.1. Объем персональных данных, обрабатываемых в МИАЦ, определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами МИАЦ с учётом целей обработки персональных данных, указанных в разделе 2 настоящей Политики.
4.2. В МИАЦ осуществляется обработка персональных данных следующих категорий субъектов:
- работников, их родственников;
- лиц, ранее состоявших в трудовых отношениях с МИАЦ;
- кандидатов на замещение вакантных должностей;
- физических лиц по договорам гражданско-правового характера;
- пользователей ОНМБ (читателей);
- тестируемого медицинского персонала;
- посетителей, пропускаемых на территорию МИАЦ.
4.3. МИАЦ обрабатывает персональные данные, которые может получить от медицинских учреждений Самарской области, ТФОМС, Министерства здравоохранения Самарской области в целях исполнения уставных задач МИАЦ.
5. Порядок и условия обработки персональных данных
5.1. МИАЦ при осуществлении обработки персональных данных:
- принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации и локальных нормативных актов МИАЦ в области персональных данных;
- принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- назначает лицо, ответственное за организацию обработки персональных данных в МИАЦ;
- назначает лицо, ответственное за обеспечение безопасности персональных данных в МИАЦ, и администратора безопасности в информационных системах;
- издает локальные нормативные акты, определяющие политику и вопросы обработки и защиты персональных данных в МИАЦ;
- получает согласия субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
- осуществляет ознакомление работников МИАЦ, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации и локальными нормативными актами МИАЦ в области персональных данных, в том числе требованиями к защите персональных данных, и обучение указанных работников;
- обособляет персональные данные, обрабатываемые без использования средств автоматизации, от иной информации, в частности путем их фиксации на отдельных материальных носителях персональных данных, в специальных разделах;
- обеспечивает раздельное хранение персональных данных и их материальных носителей, обработка которых осуществляется в разных целях;
- осуществляет хранение материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним. Осуществляет хранение документов, содержащих персональные данные, при неавтоматизированной обработке (документы на бумажных носителях) в специально оборудованных помещениях, в сейфах или металлических шкафах с замками;
- публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;
- сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Российской Федерации;
- прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Российской Федерации в области персональных данных;
- осуществляет внутренний контроль соответствия обработки персональных данным нормативно правовым актам, требованиям к защите персональных данных, настоящей Политике, локальным нормативным актам МИАЦ;
- совершает иные действия, предусмотренные законодательством Российской Федерации в области персональных данных.
5.2. Обработка персональных данных в МИАЦ осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных.
5.3. МИАЦ без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом. МИАЦ вправе осуществлять передачу данных третьим лицам (федеральной налоговой службе, государственному пенсионному фонду и иным государственным органам) в случаях, предусмотренных законодательством Российской Федерации.
5.4. Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 Федерального закона «О персональных данных».
5.5. МИАЦ не осуществляет трансграничную передачу персональных данных.
5.6. МИАЦ без согласия субъекта передает информацию о нём органам дознания, следствия и др. в случаях, предусмотренных законом.
5.7. МИАЦ вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также требования к их защите.
5.8. В целях внутреннего информационного обеспечения МИАЦ может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской
Федерации, могут включаться его фамилия, имя, отчество, должность, дата рождения, абонентский номер, адрес электронной почты.
5.9. Доступ к обрабатываемым в МИАЦ персональным данным разрешается только работникам МИАЦ, согласно утверждённому перечню лиц, имеющим доступ к таким данным.
5.10. МИАЦ осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.
5.11. Обработка персональных данных в МИАЦ осуществляется следующими способами:
- без использования средств вычислительной техники (неавтоматизированная обработка персональных данных);
- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
- смешанная обработка персональных данных.
5.12. При осуществлении хранения персональных данных МИАЦ использует базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона «О персональных данных».
6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
6.1. В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации, а обработка должна быть прекращена, соответственно.
6.2. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку, персональные данные подлежат уничтожению, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- МИАЦ не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;
- иное не предусмотрено иным соглашением между МИАЦ и субъектом персональных данных.
6.3. МИАЦ обязан сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего.
7. Организация защиты персональных данных
7.1. Защита персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных обеспечивается МИАЦ выполнением организационных, физических и технических мер. В отдельных случаях для выполнения части функций по обеспечению безопасности персональных данных МИАЦ может привлекаться сторонние организации, имеющие оформленные в установленном порядке лицензии на осуществление деятельности по технической защите конфиденциальной информации.
7.2. Защите подлежат все обрабатываемые в МИАЦ персональные данные, за исключением обезличенных персональных данных и персональных данных, сделанных общедоступными субъектом.
7.3. Общую организацию защиты персональных данных субъектов и контроль над соблюдением сотрудниками МИАЦ мер и мероприятий по защите персональных данных осуществляет Ответственный за обеспечение безопасности персональных данных в МИАЦ.
8. Заключительные положения
8.1. Настоящая Политика вводится в действие с момента её утверждения директором.
8.2. Настоящая Политика может быть пересмотрена в любом из следующих случаев:
- при изменении законодательства Российской Федерации в области обработки и защиты персональных данных;
- в случаях получения предписаний от компетентных государственных органов на устранение несоответствий, затрагивающих область действия Политики;
- при изменении целей обработки персональных данных;
- при изменении организационной структуры, структуры информационных и/или телекоммуникационных систем (или введении новых);
- при применении новых технологий обработки и защиты персональных данных (в т. ч. передачи, хранения);
- при появлении необходимости в изменении процесса обработки персональных данных, связанной с деятельностью МИАЦ.
8.3. Должностные лица МИАЦ, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.