Политика обработки персональных данных

Официальный сайт ГКУ Центр Внедрения Изменений Министерства здравоохранения Московской области.

Политика в отношении обработки персональных данных

1. Общие положения
1.1. Политика в отношении обработки персональных данных (далее – Политика) определяет основные принципы обработки и обеспечения безопасности персональных данных в Государственном казенном учреждении Московской области «Центр внедрения изменений и обеспечения деятельности Министерства здравоохранения Московской области» (далее – Учреждение) и подлежит актуализации в случае изменения законодательства Российской Федерации в области персональных данных (далее – ПДн), а также в случае изменения процессов обработки ПДн и применяемых мер защиты ПДн в Учреждении.
1.2. Политика разработана в соответствии с требованиями действующего законодательства Российской Федерации в области ПДн, в том числе Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных»).
1.3. Действие Политики распространяется на все процессы обработки ПДн в Учреждении и на всех государственных гражданских служащих Учреждения, участвующих в таких процессах.

2. Термины и определения
В Политике используются следующие основные термины и определения:
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом «О персональных данных».
Оператор – Государственное казенное учреждение Московской области «Центр внедрения изменений и обеспечения деятельности Министерства здравоохранения Московской области».
Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без использования таких средств. К таким действиям (операциям) относятся, в том числе: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Неавтоматизированная обработка персональных данных – обработка персональных данных без использования средств автоматизации, а также обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Безопасность персональных данных – состояние защищенности информации (данных), при котором обеспечиваются ее (их) конфиденциальность, доступность и целостность.
Информационная система персональных данных (ИСПДн) –совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3. Принципы обработки ПДн
3.1. Обработка ПДн осуществляется Учреждением на законной и справедливой основе и ограничивается достижением конкретных, заранее определенных и законных целей.
3.2. Не допускается обработка ПДн, несовместимая с целями сбора ПДн и объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
Содержание и объем обрабатываемых Оператором ПДн соответствуют заявленным целям обработки.
3.3. При обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн.
3.4. Оператором принимаются необходимые меры по удалению или уточнению неполных или неточных ПДн.
3.5. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн.
3.6. Обрабатываемые ПДн подлежат уничтожению или обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.7. Обработка ПДн осуществляется в соответствии с целями, заранее определенными и заявленными при сборе ПДн, а также возложенными на Оператора функций, полномочий и обязанностей в соответствии с законодательством Российской Федерации, а также нормативными и иными правовыми актами города Москвы.
3.8. Допускается обработка ПДн, разрешенных субъектом ПДн для распространения в соответствии со статьей 10.1 Федерального закона «О персональных данных».
3.9. Оператор осуществляет передачу ПДн субъектов ПДн третьим лицам в соответствии с требованиями законодательства Российской Федерации в области ПДн.
3.10. Оператор вправе поручить обработку ПДн другим лицам в соответствии со статьей 6 Федерального закона «О персональных данных».
3.11. В случаях поручения обработки ПДн другому лицу издается правовой акт или заключается договор, в том числе государственный контракт, и Оператор получает согласие субъектов ПДн, если иное не предусмотрено федеральным законом.
3.12. В случаях, когда Учреждение поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Учреждение. Лицо, осуществляющее обработку ПДн по поручению Учреждения, несет ответственность перед Учреждением.
3.13. В Учреждении осуществляется как автоматизированная обработка ПДн, так и неавтоматизированная обработка ПДн.
3.14. Сроки обработки (в т.ч. хранения) ПДн, обрабатываемых Учреждением, определяются исходя из целей обработки ПДн и в соответствии с требованиями федеральных законов.

4. Права субъектов ПДн
4.1. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:
- подтверждение факта обработки ПДн;
- правовые основания и цели обработки ПДн;
- цели и применяемые способы обработки ПДн;
- наименование и место нахождения, сведения о лицах (за исключением служащих и работников Оператора государственных гражданских служащих Учреждения), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Учреждением или на основании федерального закона;
- обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки ПДн, в том числе сроки их хранения;
- порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом «О персональных данных»;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Учреждения, если обработка поручена или будет поручена такому лицу;
- информацию о способах исполнения Учреждением обязанностей, установленных статьей 18.1 Федерального закона «О персональных данных»;
- иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
4.2. Субъект ПДн вправе требовать от Учреждения уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
4.3. Субъект ПДн имеет право на отзыв согласия на обработку ПДн, данного Учреждению.
4.4. Доступ субъекта ПДн к своим ПДн может быть ограничен в соответствии с федеральными законами, в том числе если доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц.

5. Обязанности оператора
5.1. Учреждение обязано предоставить субъекту ПДн по его просьбе информацию, предусмотренную частью 7 статьи 14 Федерального закона «О персональных данных». Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.
5.2. Если предоставление ПДн субъектом ПДн является обязательным в соответствии с федеральным законом, Учреждение обязано разъяснить субъекту ПДн юридические последствия отказа предоставить его ПДн.
5.3. Учреждение уведомляет субъекта ПДн об обработке ПДн в том случае, если ПДн были получены не от субъекта ПДн, за исключением случаев:
- субъект ПДн уведомлен об осуществлении обработки его ПДн Учреждением;
- ПДн получены на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн;
- обработка ПДн, разрешенных субъектом ПДн для распространения, осуществляется в соответствии с Федеральным законом «О персональных данных»;
- обработка ПДн осуществляется для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта ПДн;
- предоставление субъекту ПДн сведений, предусмотренных частью 3 статьи 18 Федерального закона «О персональных данных», нарушает права и законные интересы третьих лиц.
5.4. При сборе ПДн Учреждение обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключение случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Федерального закона «О персональных данных».
5.5. Учреждение исполняет иные обязанности, предусмотренные законодательством Российской Федерации.

6. Меры обеспечения безопасности ПДн
6.1. Учреждение при обработке ПДн принимает правовые, организационные и технические меры или обеспечивает их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн в соответствии с требованиями законодательства Российской Федерации.
6.2. В Учреждении принимаются следующие меры безопасности:
6.2.1. Назначено лицо, ответственное за организацию обработки ПДн.
6.2.2. Утверждаются и вводятся следующие документы по вопросам обработки и обеспечению безопасности ПДн:
- правила обработки ПДн, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере ПДн, а также определяющие для каждой цели обработки ПДн содержание обрабатываемых ПДн, категории субъектов, ПДн которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;
- правила рассмотрения Учреждением запросов субъектов ПДн или их представителей;
- правила осуществления внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн;
- перечень ИСПДн;
- перечень ПДн, обрабатываемых в Учреждении;
- перечень должностей государственных гражданских служащих Учреждения, замещение которых предусматривает осуществление обработки ПДн либо осуществление доступа к ПДн;
- типовое обязательство государственного гражданского служащего Учреждения, непосредственно осуществляющего обработку ПДн, в случае расторжения с ним служебного контракта или трудового договора прекратить обработку ПДн, ставших известными ему в связи с исполнением должностных обязанностей;
- типовая форма согласия на обработку ПДн государственных гражданских служащих Учреждения, иных субъектов ПДн, а также типовая форма разъяснения субъекту ПДн юридических последствий отказа предоставить свои ПДн;
- должностные обязанности ответственного за организацию обработки ПДн в Учреждении;
- порядок доступа государственных гражданских служащих Учреждения в помещения, в которых ведется обработка ПДн.
6.2.3. Приняты правовые, организационные и технические меры по обеспечению безопасности ПДн при их обработке, предусмотренные соответствующими нормативными правовыми актами, для выполнения установленных Правительством Российской Федерации требований к защите ПДн при их обработке, исполнение которых обеспечивает установленные уровни защищенности ПДн.
6.2.4. При обработке ПДн, осуществляемой без использования средств автоматизации, выполняются требования, установленные постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
6.2.5. Осуществляется ознакомление государственных гражданских служащих Учреждения, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о ПДн (в том числе с требованиями к защите ПДн), локальными актами по вопросам обработки ПДн.
6.2.6. Определены (и при необходимости пересматриваются) актуальные угрозы безопасности ПДн, установлены уровни защищенности ПДн при их обработке в ИСПДн Учреждения.
6.2.7. Осуществлена оценка вреда, который может быть причинен субъектам ПДн в случае нарушения требований законодательства Российской Федерации в области ПДн, соотношение указанного вреда и принимаемых Учреждением мер, направленных на обеспечение выполнения требований, установленных законодательством Российской Федерации в области ПДн.
6.2.8. Применены правовые, организационные и технические меры по обеспечению безопасности ПДн при их обработке в ИСПДн.
6.2.9. В качестве средств защиты информации используются средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия требованиям законодательства Российской Федерации в области защиты информации.
6.2.10. Проводится внутренний контроль соблюдения законодательства Российской Федерации в области ПДн, в том числе требований к защите ПДн.
6.2.11. Государственные гражданские служащие Учреждения ознакомлены с положениями законодательства Российской Федерации в области ПДн, локальными актами по вопросам обработки ПДн, с требованиями к защите ПДн.
6.2.12. Проводится оценка эффективности применяемых мер по обеспечению безопасности ПДн.

7. Порядок обработки обращений и запросов субъектов ПДн или их представителей
7.1. Обращения и запросы могут быть направлены субъектом ПДн или его представителем в адрес Учреждения:
- посредством почтовой связи в письменной форме на бумажном носителе за собственноручной подписью по адресу: 143432, Московская область, город Красногорск, ул. Карбышева, д. 4;
- на электронную почту в форме электронного документа.
7.2. Обращение (запрос) должно содержать:
- номер и серия основного документа, удостоверяющего личность субъекта ПДн, сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие субъекта ПДн в отношениях с Учреждением, либо сведения иным способом, подтверждающие факт обработки ПДн субъекта ПДн Учреждением;
- номер и серия основного документа, удостоверяющего личность представителя субъекта ПДн, сведения о дате выдачи указанного документа и выдавшем его органе, копия доверенности или иного документа, подтверждающего полномочия представителя субъекта ПДн (в случае обращения представителя субъекта ПДн);
- подпись субъекта ПДн (в случае обращения представителя субъекта ПДн – подпись представителя субъекта ПДн).
7.3. Права субъектов ПДн определяются статьями 14-17 Федерального закона «О персональных данных».
7.4. Учреждение в сроки и порядке, установленные Федеральным законом «О персональных данных», а также локальными нормативными актами Учреждения, обеспечивает рассмотрение обращений и запросов субъектов ПДн, внесение соответствующих изменений или прекращение обработки, блокирование, обезличивание, уничтожение ПДн субъекта ПДн, если иное не установлено федеральным законом.
7.5. Ответы на обращения или запросы субъектов ПДн или их представителей отправляются в соответствии с Федеральным законом «О персональных данных» в той форме, в которой направлены соответствующие обращения либо запросы, если иное не указано в самом обращении или запросе.

8. Отзыв согласия субъекта ПДн на обработку ПДн
8.1. Согласие на обработку ПДн может быть отозвано субъектом ПДн.
8.2. Отзыв согласия на обработку ПДн может быть направлен в адрес Учреждения субъектом ПДн или его представителем одним из следующих способов:
- посредством почтовой связи в письменной форме на бумажном носителе за собственноручной подписью по адресу: 143432, Московская область, город Красногорск, ул. Карбышева, д. 4;
- на электронную почту в форме электронного документа.
8.3. Отзыв согласия на обработку ПДн должен содержать: сведения, позволяющие подтвердить принадлежность ПДн лицу, направляющему отзыв, такие как: номер и серия основного документа, удостоверяющего личность субъекта ПДн, сведения о дате выдачи указанного документа и выдавшем его органе, адрес электронной почты, номер телефона, иные данные, используемые субъектом ПДн при получении доступа к государственным ресурсам, услугам, функциям, сервисам; сведения, свидетельствующие об осуществлении обработки ПДн субъекта ПДн Учреждением, а также подпись субъекта ПДн или его представителя.
В случае направления отзыва согласия на обработку ПДн представителем субъекта ПДн, отзыв также должен содержать номер и серию основного документа, удостоверяющего личность представителя субъекта ПДн, сведения о дате выдачи указанного документа и выдавшем его органе, копию доверенности или иного документа, подтверждающего полномочия представителя субъекта ПДн.
8.4. Права субъектов ПДн определяются статьями 14-17 Федерального закона «О персональных данных».
8.5. В случае отзыва субъектом персональных данных согласия на обработку ПДн Учреждение:
- прекращает их обработку или обеспечивает прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению Учреждения);
- вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона «О персональных данных».
8.6. В случае, если сохранение ПДн более не требуется для целей обработки ПДн, Учреждение обязан уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению оператора) в течение срока, указанного в частях 3, 4, 5 статьи 21 Федерального закона «О персональных данных», если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между оператором и субъектом ПДн либо если Учреждение не вправе осуществлять обработку ПДн без согласия субъекта ПДн по основаниям, предусмотренным Федеральным законом «О персональных данных» или другими федеральными законами.
8.7. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пункте 8.6 Политики, Учреждение осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.