Политика в отношении обработки ПДн

2.1.            Понятия и определения

Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

—                   Работника и их близких родственников работника;

—                   Пациента и его законного представителя (при наличии);

—    отстаивать свои интересы в суде;

—    предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);

—    отказывать в предоставлении персональных данных в случаях предусмотренных законодательством;

—    использовать персональные данные субъекта без его согласия, в случаях предусмотренных законодательством.

—    требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

—    требовать перечень своих персональных данных, обрабатываемых Учреждением и источник их получения;

—    получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;

—    требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;

—    обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;

—    на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

3.1 Согласие субъекта персональных данных на обработку его персональных данных Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

3.2 Права субъекта персональных данных Субъект персональных данных имеет право на получение у Оператора информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если Компания не докажет, что такое согласие было получено.

ПОДРОБНЕЕ:  Приказ о назначении ответственных за обработку персональных данных

Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных в вышеуказанных целях. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, или при наличии согласия в письменной форме субъекта персональных данных.

Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований ФЗ № 152-ФЗ или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в Уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

—                   назначением ответственных за организацию обработки и защиты ПДн;

—                   осуществлением внутреннего контроля и (или) аудита соответствия обработки ПДн ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, локальным актам;

—                   ознакомлением работников Учреждения, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, локальными актами в отношении обработки ПДн, и (или) обучением указанных работников.

—                   применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн;

—                   оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;

—                   учетом машинных носителей ПДн;

—                   обнаружением фактов несанкционированного доступа к ПДн и принятием мер;

—                   восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

—                   установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;

—                   контролем за принимаемыми мерами по обеспечению безопасности ПДн. 

  • назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;
  • ограничение состава лиц, имеющих доступ к персональным данным;
  • ознакомление субъектов с требованиями федерального законодательства и нормативных документов Оператора по обработке и защите персональных данных;
  • организация учета, хранения и обращения носителей информации;
  • определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
  • разработка на основе модели угроз системы защиты персональных данных;
  • проверка готовности и эффективности использования средств защиты информации;
  • разграничение доступа пользователей к информационным ресурсам и программно-аппаратным средствам обработки информации;
  • регистрация и учет действий пользователей информационных систем персональных данных;
  • использование антивирусных средств и средств восстановления системы защиты персональных данных;
  • применение в необходимых случаях средств межсетевого экранирования, обнаружения вторжений, анализа защищенности и средств криптографической защиты информации;
  • организация пропускного режима на территорию Оператора, охраны помещений с техническими средствами обработки персональных данных. У Оператора проводится регулярный контроль соответствия обработки персональных данных в соответствии с ФЗ от 27.07.2006г. № 152-ФЗ и принятым нормативным актам в сфере защиты персональных данных , локальным актам по вопросам обработки и обеспечения безопасности, а также контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности обрабатываемых персональных данных.
ПОДРОБНЕЕ:  ОБРАЗЕЦ ПРИКАЗА ОБ УЧЕТНОЙ ПОЛИТИКЕ. Журнал "Советник Бухгалтера"

2.5.            Сроки обработки персональных данных

—                   Обеспечения соблюдения норм и законодательства о государственной социальной помощи, трудового законодательства, законодательства Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;

—                   Содействия работникам в трудоустройстве, обучении и продвижении по службе, контроля количества и качества выполняемой работы; обеспечения личной безопасности работников, обеспечения сохранности имущества.

—                   Создание условий для обеспечения гарантий прав граждан на оказание (в т.ч. бесплатное) медицинской помощи надлежащего качества и в соответствующем объеме, а так же профилактики заболеваний, сохранения и укрепления физического и психического здоровья каждого человека, поддержания его долголетней активной жизни, предоставления ему медицинской помощи;

—                   Создание условий для осуществления контроля за использованием средств обязательного медицинского страхования, а так же оборотом медицинских аппаратов;

—                   Определение потребности в объемах медицинской помощи;

—                   Предупреждение распространения опасных заболеваний, представляющих угрозу безопасности граждан РФ;

Сроки обработки персональных данных определяются в соответствие со сроком действия договора с субъектом персональных данных, Приказом Минкультуры РФ от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», Постановлением ФКЦБ РФ от 16.07.

В Учреждении создаются и хранятся документы, содержащие сведения о субъектах персональных данных. Требования к использованию в Учреждении данных типовых форм документов установлены Постановлением Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

—                 законности и справедливости целей и способов обработки персональных данных;

—                 соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Учреждения;

—                 соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

—                 достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

—                 и других принципов, определенных ст. 5 Федерального закона №152 «О персональных данных»

ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

Иные права и обязанности Оператора, как оператора персональных данных определяются законодательством Российской Федерации в области персональных данных. Должностные лица Оператора, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.

Настоящая Политика является общедоступной. Настоящая Политика подлежит изменению, дополнению в случае внесения изменений в действующее законодательство РФ .

ПОДРОБНЕЕ:  Минимизация страховых взносов и налоговая учетная политика

2.4.            Состав обрабатываемых персональных данных

—                   ПДн работников:

  • первичные сведения (Ф. И. О., дата, год и место рождения и др.); 
  • сведения о документе, удостоверяющем личность (серия, номер и др.);
  • реквизиты (ИНН, СНИЛС, медицинский полис и др.);
  • сведения о занимаемой должности (место работы, должность, трудовой договор и др.);
  • сведения об образовании (наименование образовательного учреждения, сведения о документах, подтверждающих образование и др.);
  • сведения о трудовой деятельности (трудовой стаж, места работы и др.);
  • сведения о повышении квалификации (сведения о документах, подтверждающих квалификацию и др.);
  • бухгалтерские сведения (тарифная ставка, надбавка, данные о начисленных суммах и др.);
  • сведения о состоянии на воинском учете;
  • сведения о составе семьи;
  • иные сведения.

—                ПДн пациентов;

  • первичные сведения (Ф. И. О., дата, год и место рождения и др.); 
  • сведения о документе, удостоверяющем личность (серия, номер и др.);
  • реквизиты (СНИЛС, медицинский полис и др.);
  • сведения о месте работы (учебы);
  • сведения о месте жительства;
  • контактные номера телефонов;
  • сведения о состоянии здоровья;
  • Иные сведения;

Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются для установления личности субъекта персональных данных Учреждением не обрабатываются.

4.2.            В целях координации действий по обеспечению безопасности персональных данных в Учреждении создана постоянно действующая комиссия по защите персональных данных.

Учреждение осуществляет хранение ПДн и их материальных носителей в порядке, исключающем их утрату, неправомерное использование или несанкционированный доступ к ним;

Учреждение хранит ПДн субъектов ПДн и их материальные носители не дольше, чем этого требуют цели их обработки и требования действующего законодательства Российской Федерации, и уничтожает их по истечению установленных сроков хранения.

Сроки хранения документов, содержащих ПДн субъектов ПДн, а также сроки хранения сведений, содержащих ПДн субъектов ПДн в электронном виде (электронные документы, записи баз данных) определяются Перечнем обрабатываемых ПДн в соответствии с приказом Министерства культуры РФ от 25 августа 2010 г. № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», приказом Минздрава СССР от 04.10.1980 г.

В целях соблюдения законодательства Российской Федерации, для достижения целей обработки, а также в интересах субъектов ПДн, Учреждение в ходе своей деятельности предоставляет ПДн субъектов ПДн ряду организаций.

Передача ПДн на территорию иностранных государств, органам власти иностранных государств, иностранным физическим или юридическим лицам (трансграничная передача ПДн) Учреждением не осуществляется.

Учреждение вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.

https://www.youtube.com/watch?v=ytadvertiseru

Учреждение самостоятельно осуществляет обработку ПДн субъектов ПДн и не поручает ее третьим лицам. 

Понравилась статья? Поделиться с друзьями:
Adblock
detector