Политика обработки персональных данных

ПОЛИТИКА в отношении обработки персональных данных в Муниципальном автономном учреждении «Детская городская больница № 8»

1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных в (далее - Политика) Муниципальном автономном учреждении «Детская городская больница № 8» (далее - Оператор) является официальным документом, в котором определены общие принципы, цели и порядок обработки персональных данных, а также сведения о реализуемых мерах защиты персональных данных.

1.2. В настоящей Политике используются следующие основные понятия:

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных. подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

1.3. Настоящая политика распространяется на всех сотрудников Оператора, включая сотрудников, работающих по договору подряда, а также на сотрудников сторонних организаций, взаимодействующих с оператором на основании соответствующих нормативных, правовых и организационно-распорядительных документов.

1.4. Настоящая политика вступает в силу с момента ее утверждения и действует бессрочно, до замены ее новой политикой.

2. Правовые основания обработки персональных данных

2.1. Оператор обрабатывает персональные данные в соответствии со следующими нормативными и правовыми актами:

- ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»; - ст, ст. 86-90 Трудового кодекса РФ; - ст. 25, ст. 41 Конституция РФ; - ст. 779 Гражданский кодекс РФ; - ст. 24 Налоговый кодекс РФ; - ст. 8, ст. 10, ст. 11, ст, 14 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; - ст. 2 Федерального закона от 06.12.2011 г. № 402-ФЗ «О бухгалтерском учете»; - ст. 3, ст. 15 Федерального закона от 01.04.1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»; - ст, 2, ст. 10 Федерального закона от 02.05.2006 г. №59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»; - ст. 14 Федерального закона от 21.11.2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»; - ст. 11 Федерального закона от 29.1 1.2010 г. № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации».

3. Принципы обработки персональных данных

3.1. Обработка персональных данных должна осуществляться на законной и справедливой основе.

3.2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

3.4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

3.5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

3.6. При обработке персональных данных Должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.

3.7. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных работников (в том числе справочники, электронные базы). В общедоступные источники персональных данных с письменного согласия работника могут включаться его фамилия, имя, отчество, год рождения, сведения о профессии и иные персональные данные, предоставленные работником.

3.8. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъект персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, но которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3.9. При сборе персональных данных, в ТОМ числе посредством информационно- телекоммуникационной сети «Интернет», должна быть обеспечена запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, установленных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

4. Категория и субъекты обрабатываемых персональных данных

4.1. Оператор осуществляет обработку иных категорий персональных данных работников Оператора.

4.2. Оператор осуществляет обработку иных и специальных категорий персональных данных физических лиц, не являющиеся работниками Оператора.

5. Цели обработки персональных данных

5.1. Оператор обрабатывает персональные данные работников исключительно в следующих целях:

- обеспечения соблюдения Конституции Российской Федерации. законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Оператора;

- осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Оператора. в том числе по предоставлению персональных данных в органы государственной власти, в Пенсионный фонд Российской Федерации. в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;

- регулирования трудовых отношений с работниками (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);

- защиты жизни, здоровья или иных жизненно важных интересов работников;

- формирования справочных материалов для внутреннего информационного обеспечения деятельности Оператора

- исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве.

5.2. Оператор обрабатывает персональные данные физических лиц, не являющихся работниками Оператора исключительно в следующих целях:

- оказания медицинской помощи в соответствии с уставом МАУ «ДГБ № 8» и Федеральным законом от 21.11.2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;

- обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации. локальных нормативных актов Оператора;

- подготовки, заключения, исполнения и прекращения договоров, стороной которых, либо выгодоприобретателем или поручителем по которым являются субъекты персональных данных:

- осуществления прав и законных интересов Оператора в рамках осуществления видов деятельности, предусмотренных локальными нормативными актами Оператора.

6. Условия обработки персональных данных

6.1. Обработка персональных данных осуществляется Оператором, как с использованием средств автоматизации, так и без использования таких средств (на бумажных носителях информации).

6.2. Обработка персональных данных допускается в следующих случаях:

- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

- обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;

- обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном;

- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

- обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

- осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;

- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

6.3 Обработка персональных данных объектов государственной охраны и членов их семей осуществляется с учетом особенностей, предусмотренных Федеральным законом от 27 мая 1996 года № 57-ФЗ «О государственной охране».

6.4. Оператор не предоставляет и не раскрывает сведения, содержащие персональные данные субъектов, третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы ЖИЗНИ и здоровью, а также в случаях, установленных федеральными законами.

6.5. По мотивированному запросу исключительно для выполнения возложенных законодательством функций и полномочий персональные данные субъекта персональных без его согласия могут быть переданы:

- в судебные органы в связи с осуществлением правосудия;

- в органы федеральной службы безопасности;

- в органы прокуратуры;

- в органы полиции;

- в иные органы и организации в случаях, установленных нормативными правовыми актами, обязательными для исполнения.

6.6. Оператор прекращает обработку персональных данных в следующих случаях:

- достижение целей обработки персональных данных или максимальных сроков хранения - в течение 30 дней;

- утрата необходимости в достижении целей обработки персональных данных - в течение 30 дней;

- предоставление субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки - в течение 7 дней;

- невозможность обеспечения правомерности обработки персональных данных - В течение 10 дней;

- отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных - в течение 30 дней;

-истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных.

7. Меры обеспечения безопасности персональных данных

7.1. Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных, технических и программных мер, необходимых и достаточных для обеспечения требований законодательства в области защиты персональных данных.

7.2. Оператор предпринимает необходимые организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.

7.3. Оператор предпринимает следующие организационно-технические меры необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами:

- назначение должностных лиц, ответственных за организацию обработки и защиту персональных данных;

- издание локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора;

- оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых оператором мер;

- ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;

- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

- применение при необходимости прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

- оценка эффективности принимаемых мер по обеспечению безопасности персональных данных;

- учет машинных носителей персональных данных;

- обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;

- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий. совершаемых с персональными данными в информационной системе персональных данных;

- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

8. Права субъектов персональных данных

8.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

- подтверждение факта обработки персональных данных Оператором;

- правовые основания и цели обработки персональных данных;

- цели и применяемые Оператором способы обработки персональных данных;

- наименование и место нахождения Оператора. сведения о лицах (за исключением сотрудников/работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения. если иной порядок представления таких данных не предусмотрен федеральным законом;

- сроки обработки персональных данных, в том числе сроки их хранения;

- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;

- информацию об осуществленной или о предполагаемой трансграничной передаче данных;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;

- иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

8.2. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных. их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. а также принимать предусмотренные законом меры по защите своих прав.

8.3. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в вышестоящий орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи. информационных технологий и массовых коммуникаций - Роскомнадзор) или в судебном порялке.

8.4. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

9. Заключительные положения

9.1 Контроль исполнения требований настояшей Политики осуществляется ответственным за организацию обработки персональных данных в МАУ «ДГБ № 8».

9.2 Иные права и обязанности Оператора персональных данных, определяются Федеральным законом «О персональных данных» и иными нормативными правовыми актами в области защиты персональных данных.

9.3 Должностные лица, виновные в нарушении норм. регулирующих обработку и защиту персональных данных. несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.

Задать вопрос главному врачу