Премия «Врач года 2024»

Политика обработки персональных данных Федерального государственного бюджетного учреждения «Федеральный научно-клинический центр специализированных видов медицинской помощи и медицинских технологий Федерального медико-биологического агентства»

1. Общие положения

1.1. Назначение политики

Настоящий документ (далее – Политика) определяет цели и общие принципы обработки персональных данных, а также реализуемые меры защиты персональных данных Федерального государственного бюджетного учреждения «Федеральный научно-клинический центр специализированных видов медицинской помощи и медицинских технологий Федерального медико-биологического агентства» (далее – Учреждение). Учреждение является оператором персональных данных. Политика является общедоступным документом Учреждения и предусматривает возможность ознакомления с ней любых лиц.

1.2. Основные понятия

автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

безопасность персональных данных – состояние защищённости персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных;

блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий, и технических средств;

конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;

несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам;

обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

персональные данные – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных);

персональные данные, разрешённые субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путём дачи согласия на обработку персональных данных, разрешённых субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»;

предоставление персональных данных – действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц;

распространение персональных данных – действия, направленные на раскрытие персональных данных неопределённому кругу лиц;

технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приёма и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации;

трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных;

уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

1.3. Основные права Учреждения

Обработка персональных данных осуществляется на законной и справедливой основе, а также с соблюдением принципов и правил, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ) на основании согласия субъекта персональных данных на обработку его персональных данных, кроме случаев, предусмотренных Федеральным законом № 152-ФЗ.

Учреждение оставляет за собой право проверить полноту и точность предоставленных персональных данных (далее также – ПДн), их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. В случае выявления ошибочных или неполных ПДн, Учреждение имеет право прекратить все отношения с субъектом ПДн.

В случае получения согласия на обработку ПДн от представителя субъекта ПДн, полномочия данного представителя на дачу согласия от имени субъекта ПДн проверяются Учреждением.

Учреждением могут быть получены ПДн от лица, не являющегося субъектом ПДн, при условии предоставления Учреждением подтверждения наличия оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона № 152-ФЗ.

В случае отзыва субъектом ПДн согласия на обработку своих ПДн, Учреждение вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона № 152-ФЗ.

Учреждение вправе поручить обработку ПДн третьим лицам с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом соглашения (договора), либо путём принятия соответствующего акта (далее – поручение Учреждения). Лицо, осуществляющее обработку ПДн по поручению Учреждения, обязано соблюдать принципы и правила обработки ПДн, предусмотренные Федеральным законом № 152-ФЗ. В поручении Учреждения должны быть определены перечень ПДн, перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн, требования, предусмотренные частью 5 статьи 18 и статьёй 18.1 Федерального закона № 152-ФЗ, обязанность по запросу Учреждения в течение срока действия поручения Учреждения, в том числе до обработки ПДн, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Учреждения требований, установленных в соответствии с Федеральным законом № 152-ФЗ, обязанность обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со статьёй 19 Федерального закона № 152-ФЗ, в том числе требование об уведомлении Учреждения о случаях, предусмотренных частью 3.1 статьи 21 Федерального закона № 152-ФЗ.

Лицо, осуществляющее обработку ПДн по поручению Учреждения, не обязано получать согласие субъекта ПДн на обработку его ПДн.

В случаях, когда Учреждение поручает обработку ПДн третьему лицу, ответственность перед субъектом ПДн за действия указанного лица несёт Учреждение. Лицо, осуществляющее обработку ПДн по поручению Учреждения, несёт ответственность перед Учреждением.

В случае, если Учреждение поручает обработку ПДн иностранному физическому лицу или иностранному юридическому лицу, ответственность перед субъектом ПДн за действия указанных лиц несёт Учреждение и лицо, осуществляющее обработку ПДн по поручению Учреждения.

1.4. Основные обязанности Учреждения

Учреждение не собирает, не обрабатывает и не передаёт ПДн субъектов ПДн третьим лицам, без согласия субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации.

В случае выявления неправомерной обработки ПДн, при обращении либо по запросу субъекта ПДн или его представителя либо уполномоченного органа по защите прав субъектов ПДн, Учреждение осуществляет блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Учреждения) с момента такого обращения или получения указанного запроса на период проверки.

В случае выявления неточных ПДн, при обращении либо по запросу субъекта ПДн или его представителя либо по запросу уполномоченного органа по защите прав субъектов ПДн, Учреждение осуществляет блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Учреждения с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.

В случае подтверждения факта неточности ПДн, Учреждение на основании сведений, предоставленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов, уточняет ПДн либо обеспечивает их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Учреждения) в течение 7 рабочих дней со дня представления таких сведений и снимает блокирование ПДн.

В случае выявления неправомерной обработки ПДн, осуществляемой Учреждением или лицом, действующим по поручению Учреждения, Учреждение в срок, не превышающий 3-х рабочих дней с даты этого выявления, осуществляет прекращение неправомерной обработки ПДн или обеспечивает прекращение неправомерной обработки ПДн лицом, действующим по поручению Учреждения.

В случае, если обеспечить правомерность обработки ПДн невозможно, Учреждение в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки ПДн, осуществляет уничтожение таких ПДн или обеспечивает их уничтожение. Решение о неправомерности обработки ПДн и необходимости уничтожения ПДн принимает ответственный за организацию обработки ПДн Учреждения, который доводит соответствующую информацию до руководства. Об устранении допущенных нарушений или об уничтожении ПДн Учреждение уведомляет субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом, также указанный орган.

В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъекта(-ов) ПДн, Учреждение с момента выявления такого инцидента Учреждением, уполномоченным органом по защите прав субъектов ПДн или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов ПДн:

1) в течение 24-х часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПДн, и предполагаемом вреде, нанесенном правам субъектов ПДн, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Учреждением на взаимодействие с уполномоченным органом по защите прав субъектов ПДн, по вопросам, связанным с выявленным инцидентом;

2) в течение 72-х часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

В случае достижения цели обработки ПДн, Учреждение прекращает обработку ПДн или обеспечивает её прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению Учреждения) и уничтожает ПДн или обеспечивает их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Учреждения) в срок, не превышающий 30 дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Учреждением и субъектом ПДн либо, если Учреждение не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законом № 152-ФЗ или другими федеральными законами.

В случае отзыва субъектом ПДн согласия на обработку его ПДн, Учреждение прекращает их обработку или обеспечивает прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению Учреждения) и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожает ПДн или обеспечивает их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Учреждения) в срок, не превышающий 30 дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Учреждением и субъектом ПДн либо, если Учреждение не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законом № 152-ФЗ или другими федеральными законами.

В случае обращения субъекта ПДн к Учреждению с требованием о прекращении обработки ПДн, Учреждение в срок, не превышающий 10 рабочих дней с даты получения Учреждением соответствующего требования, прекращает их обработку или обеспечивает прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 – 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона № 152-ФЗ. Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления Учреждением в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

В срок, не превышающий 7 рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными или неактуальными, Учреждение вносит в них необходимые изменения.

В срок, не превышающий 7 рабочих дней со дня представления субъектом ПДн или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Учреждение уничтожает такие ПДн. При этом Учреждение уведомляет субъекта ПДн или его представителя о внесённых изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым ПДн этого субъекта были переданы.

В случае отсутствия возможности уничтожения ПДн в течение срока, указанные выше по тексту, Учреждение осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Учреждения) и обеспечивает уничтожение ПДн в срок, не более, чем 6 месяцев, если иной срок не установлен федеральными законами.

Подтверждение уничтожения ПДн осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПДн.

1.5. Основные права субъекта ПДн

Субъект ПДн принимает решение о предоставлении своих ПДн и даёт согласие на их обработку свободно, своей волей и в своём интересе. В случаях, предусмотренных федеральным законом, обработка ПДн осуществляется только с согласия в письменной форме субъекта ПДн. Равнозначным содержащему собственноручную подпись субъекта ПДн согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

В целях обеспечения своих законных интересов, субъекты ПДн или его представители имеют право:

1) получать полную информацию о своих ПДн и обработке этих данных (в том числе автоматизированной);

2) осуществлять свободный бесплатный доступ к своим ПДн, включая право получать копии любой записи, содержащей ПДн субъекта, за исключением случаев, предусмотренных частью 8 статьи 14 Федерального закона № 152-ФЗ;

3) требовать уточнение своих ПДн, их блокирование или уничтожение, в случаях, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. Субъект ПДн при отказе Учреждением исключить или исправить, блокировать или уничтожить его ПДн, имеет право заявить в письменной форме о своём несогласии, обосновав соответствующим образом такое несогласие;

4) требовать от Учреждения уведомления всех лиц, которым ранее были сообщены неверные или неполные, устаревшие, неточные, незаконно полученные или не являющиеся необходимыми для заявленной цели обработки ПДн субъекта, обо всех произведённых в них изменениях или исключениях из них, в том числе блокирование или уничтожение этих данных третьими лицами;

5) обжаловать в суде или в уполномоченном органе по защите прав субъектов ПДн любые неправомерные действия или бездействие Учреждения при обработке и защите ПДн субъекта, если субъект ПДн считает, что Учреждение осуществляет обработку его ПДн с нарушением требований Федерального закона № 152-ФЗ или иным образом нарушает его права и свободы. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:

1) подтверждение факта обработки ПДн Учреждением;

2) правовые основания и цели обработки ПДн;

3) цели и применяемые Учреждением способы обработки ПДн;

4) наименование и место нахождения Учреждения, сведения о лицах (за исключением работников Учреждения), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Учреждением или на основании федерального закона;

5) обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки ПДн, в том числе сроки их хранения;

7) порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом № 152-ФЗ;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Учреждения, если обработка поручена или будет поручена такому лицу;

10) информацию о способах исполнения Учреждением обязанностей, установленных статьёй 18.1 Федерального закона № 152-ФЗ;

11) иные сведения, предусмотренные Федеральным законом № 152-ФЗ или другими федеральными законами.

В случае, если обрабатываемые ПДн были предоставлены для ознакомления субъекту ПДн по его запросу, субъект ПДн вправе обратиться повторно в Учреждение или направить ему повторный запрос в целях получения сведений, и ознакомления с ПДн не ранее, чем через 30 дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн.

Субъект ПДн вправе обратиться повторно или направить ему повторный запрос до истечения 30 дневного срока в случае, если сведения и (или) обрабатываемые ПДн не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.

Учреждение вправе отказать субъекту ПДн в выполнении повторного запроса, не соответствующего условиям, предусмотренные частями 4 и 5 статьи 14 Федерального закона № 152-ФЗ. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Учреждении.

Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами, в том числе, если:

1) обработка ПДн, включая ПДн, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

2) обработка ПДн осуществляется органами, осуществившими задержание субъекта ПДн по подозрению в совершении преступления, либо предъявившими субъекту ПДн обвинение по уголовному делу, либо применившими к субъекту ПДн меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими ПДн;

3) обработка ПДн осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма;

4) доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц;

5) обработка ПДн осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

2. Цели сбора персональных данных

Обработка ПДн ограничивается достижением конкретных, заранее определённых и законных целей. Обработке подлежат только ПДн, которые отвечают целям их обработки. Содержание и объём обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки. Не допускается обработка ПДн, несовместимая с целями сбора ПДн. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.

При обработке ПДн Учреждение обеспечивает точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Учреждение принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных.

Целями обработки ПДн в Учреждении являются:

1) выполнение функций работодателя и ведение кадровой политики;

2) оформление и исполнение договорных отношений;

3) реализация образовательных программ и оказание услуг в сфере высшего (ординатура, аспирантура), послевузовского и дополнительного профессионального образования;

4) мониторинг движения лекарственных препаратов;

5) ведение бухгалтерского учета;

6) перевыпуск электронных подписей работников;

7) лицензирование врачебной деятельности;

8) работа с обращениями граждан и запросами от правоохранительных органов;

9) оказание прикрепленному контингенту высококвалифицированной специализированной амбулаторно-поликлинической, стационарной и скорой медицинской помощи; проведение консультаций пациентов; оказание медицинской помощи застрахованному населению; оказание медицинских услуг физическим и юридическим лицам, в соответствии с лицензиями на соответствующий вид медицинской деятельности;

10) ведение судебной работы;

11) ведение деятельности по обороту наркотических средств и психотропных веществ;

12) маркетинговые исследования;

13) маркетинговые рассылки.

3. Правовые основания обработки персональных данных

Обработка персональных данных в Учреждении осуществляется на следующих основаниях:

1) защита жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо защита жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;

2) исполнение договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также заключение договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

3) осуществление правосудия, исполнение судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

4) письменное согласие субъекта персональных данных;

5) постановление Правительства Российской Федерации от 1 июня 2021 г. № 852 «О лицензировании медицинской деятельности»;

6) постановление Правительства РФ от 10 мая 2010 г. № 310 «Об утверждении Правил передачи сведений о прибытии в место пребывания и убытии из места пребывания иностранных граждан и лиц без гражданства с использованием входящих в состав сети электросвязи средств связи»;

7) постановление Правительства РФ от 31 августа 2013 г. № 755 «О федеральной информационной системе обеспечения проведения государственной итоговой аттестации обучающихся, освоивших основные образовательные программы основного общего и среднего общего образования, и приема граждан в образовательные организации для получения среднего профессионального и высшего образования и региональных информационных системах обеспечения проведения государственной итоговой аттестации обучающихся, освоивших основные образовательные программы основного общего и среднего общего образования»;

8) постановление Правительства РФ от 31 мая 2021 г. № 825 «О федеральной информационной системе «Федеральный реестр сведений о документах об образовании и (или) о квалификации, документах об обучении»;

9) постановление Правительства РФ от 9 февраля 2022 г. № 140 «О единой государственной информационной системе в сфере здравоохранения»;

10) приказ Министерства здравоохранения от 5 мая 2016 г. № 282н «Об утверждении порядка проведения экспертизы профессиональной пригодности и формы медицинского заключения о пригодности или непригодности к выполнению отдельных видов работ»;

11) приказ Министерства здравоохранения Российской Федерации от 23 ноября 2021 г. № 1089н «Об утверждении Условий и порядка формирования листков нетрудоспособности в форме электронного документа и выдачи листков нетрудоспособности в форме документа на бумажном носителе в случаях, установленных законодательством Российской Федерации»;

12) приказ Министерства здравоохранения РФ от 11 мая 2017 г. № 212н «Об утверждении Порядка приема на обучение по образовательным программам высшего образования - программам ординатуры»;

13) приказ Министерства здравоохранения РФ от 23 декабря 2020 г. № 1363н «Об утверждении Порядка направления застрахованных лиц в медицинские организации, функции и полномочия учредителей, в отношении которых осуществляют Правительство Российской Федерации или федеральные органы исполнительной власти»;

14) приказ Министерства здравоохранения РФ от 23 ноября 2021 г. № 1089н «Об утверждении Условий и порядка формирования листков нетрудоспособности в форме электронного документа и выдачи листков нетрудоспособности в форме документа на бумажном носителе в случаях, установленных законодательством Российской Федерации»;

15) приказ Министерства здравоохранения РФ от 28 июля 2020 г. № 749н «Об утверждении требований к проведению медицинских осмотров и психофизиологических обследований работников объектов использования атомной энергии, порядка их проведения, перечня медицинских противопоказаний для выдачи разрешения на выполнение определенных видов деятельности в области использования атомной энергии и перечня должностей работников объектов использования атомной энергии, на которые распространяются данные противопоказания, а также формы медицинского заключения о наличии (отсутствии) медицинских противопоказаний для выдачи разрешения на выполнение определенных видов деятельности в области использования атомной энергии»;

16) приказ Министерства здравоохранения РФ от 28 января 2021 г. № 29н «Об утверждении Порядка проведения обязательных предварительных и периодических медицинских осмотров работников, предусмотренных частью четвертой статьи 213 Трудового кодекса Российской Федерации, перечня медицинских противопоказаний к осуществлению работ с вредными и (или) опасными производственными факторами, а также работам, при выполнении которых проводятся обязательные предварительные и периодические медицинские осмотры»;

17) приказ Министерства здравоохранения РФ от 2 октября 2019 г. № 824н «Об утверждении Порядка организации оказания высокотехнологичной медицинской помощи с применением единой государственной информационной системы в сфере здравоохранения»;

18) приказ Министерства здравоохранения РФ от 30 ноября 2015 г. № 866 «Об утверждении Концепции создания Федеральной государственной информационной системы мониторинга движения лекарственных препаратов от производителя до конечного потребителя с использованием маркировки»;

19) приказ Министерства здравоохранения РФ от 30 ноября 2017 г. № 965н «Об утверждении порядка организации и оказания медицинской помощи с применением телемедицинских технологий»;

20) приказ Федерального медико-биологического агентства от 7 октября 2020 г. № 286 «О создании в ФМБА России единой ведомственной медицинской информационно-аналитической системы»;

21) согласие субъекта персональных данных;

22) ст. 86-90 Трудового кодекса РФ;

23) федеральный закон от 2 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;

24) федеральный закон от 8 января 1998 г. № 3-ФЗ «О наркотических средствах и психотропных веществах»;

25) федеральный закон от 12 апреля 2010 г. № 61-ФЗ «Об обращении лекарственных средств»;

26) федеральный закон от 21 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;

27) федеральный закон от 23 августа 1996 г. № 127-ФЗ «О науке и государственной научно-технической политике»;

28) федеральный закон от 29 декабря 2012 г. № 273-ФЗ «Об образовании в Российской Федерации»;

29) федеральный закон от 29 ноября 2010 г. № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;

30) федеральный закон от 5 апреля 2013 г. № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд»;

31) федеральный закон от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи»;

32) федеральный закон от 13 марта 2006 г. № 38-ФЗ «О рекламе»;

33) постановление Правления Пенсионного фонда РФ от 25 декабря 2019 г. № 730п «Об утверждении формы и формата сведений о трудовой деятельности зарегистрированного лица, а также порядка заполнения форм указанных сведений»;

34) постановление Правительства Москвы от 9 февраля 2021 г. № 103-пп «Об информационной системе «Единый реестр социальных льготников»;

35) приказ Министерства здравоохранения РФ от 18 февраля 2022 г. № 90н «Об утверждении формы, порядка ведения отчетности, учета и выдачи работникам личных медицинских книжек, в том числе в форме электронного документа»;

36) федеральный закон от 30 марта 1999 г. № 52-ФЗ «О санитарно-эпидемиологическом благополучии населения»;

37) приказ Министерства здравоохранения РФ от 24 декабря 2018 г. № 911н «Об утверждении Требований к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций».

4. Объём и категории обрабатываемых персональных данных, категории субъектов персональных данных

Учреждение осуществляет на законной и справедливой основе обработку ПДн следующих физических лиц (субъектов ПДн):

Цель «выполнение функций работодателя и ведение кадровой политики» достигается посредством обработки ПДн следующих категорий для следующих субъектов ПДн:

1) ближайшие родственники работников:

Иные категории ПДн: дата рождения, степень родства, фамилия, имя, отчество.

2) ближайшие родственники уволенных (уволившихся) работников:

Иные категории ПДн: дата рождения, степень родства, фамилия, имя, отчество.

3) кандидаты на замещение вакантных должностей:

Иные категории ПДн: адрес проживания, адрес регистрации, гражданство, дата рождения, информация о трудовой деятельности, квалификация, контактные сведения (номер телефона, электронная почта), место рождения, место учебы, образование, паспортные данные, прежние фамилия, имя, отчество, профессия, сведения о воинском учёте, сведения о переподготовке и повышении квалификации, сведения о профессиональной переподготовке, семейное положение, специальность, фамилия, имя, отчество, фотография.

4) работники:

Иные категории ПДн: адрес проживания, адрес регистрации, гражданство, данные полиса ОМС, данные трудовой книжки, дата рождения, доходы, занимаемая должность, ИНН, информация о трудовой деятельности, квалификация, контактные сведения (номер телефона, электронная почта), место рождения, образование, паспортные данные, пол, прежние фамилия, имя, отчество, профессия, реквизиты лицевого/банковского счета, сведения о воинском учёте, сведения о переподготовке и повышении квалификации, данные свидетельства о браке/расторжении брака, данные свидетельства о рождении детей, семейное положение, СНИЛС, состав семьи, социальное положение, специальность, данные справки из наркологического диспансера, данные справки из психоневрологического диспансера, степень родства, ученая степень и звание, фамилия, имя, отчество, фотография.

5) уволенные (уволившиеся) работники:

Иные категории ПДн: адрес проживания, адрес регистрации, гражданство, данные полиса ОМС, дата рождения, занимаемая должность, ИНН, информация о трудовой деятельности, квалификация, контактные сведения (номер телефона, электронная почта), место рождения, образование, паспортные данные, пол, профессия, сведения о воинском учёте, сведения о переподготовке и повышении квалификации, СНИЛС, состав семьи, социальное положение, специальность, степень родства, фамилия, имя, отчество.

Цель «оформление и исполнение договорных отношений» достигается посредством обработки ПДн следующих категорий для следующих субъектов ПДн:

1) контрагенты:

Иные категории ПДн: адрес регистрации, ИНН, контактные сведения (номер телефона, электронная почта), ОГРН, паспортные данные, реквизиты лицевого/банковского счета, фамилия, имя, отчество.

2) пациенты:

Иные категории ПДн: адрес проживания, адрес регистрации, дата рождения, контактные сведения (номер телефона, электронная почта), паспортные данные, фамилия, имя, отчество.

Цель «реализация образовательных программ и оказание услуг в сфере высшего (ординатура, аспирантура), послевузовского и дополнительного профессионального образования» достигается посредством обработки ПДн следующих категорий для следующих субъектов ПДн:

1) обучающиеся и соискатели:

Иные категории ПДн: адрес проживания, адрес регистрации, гражданство, данные трудовой книжки, дата рождения, квалификация, контактные сведения (номер телефона, электронная почта), место рождения, образование, паспортные данные, пол, прежние фамилия, имя, отчество, профессия, сведения о переподготовке и повышении квалификации, СНИЛС, специальность, ученая степень и звание, фамилия, имя, отчество.

Цель «мониторинг движения лекарственных препаратов» достигается посредством обработки ПДн следующих категорий для следующих субъектов ПДн:

1) контрагенты:

Иные категории ПДн: ИНН, контактные сведения (номер телефона, электронная почта), фамилия, имя, отчество.

Цель «ведение бухгалтерского учета» достигается посредством обработки ПДн следующих категорий для следующих субъектов ПДн:

1) ближайшие родственники работников:

Иные категории ПДн: код МКБ, СНИЛС, степень родства, фамилия, имя, отчество.

2) контрагенты:

Иные категории ПДн: адрес регистрации, ИНН, контактные сведения (номер телефона, электронная почта), ОГРН, реквизиты лицевого/банковского счета, фамилия, имя, отчество.

3) работники:

Специальные категории ПДн: сведения о состоянии здоровья.

Иные категории ПДн: дата рождения, код МКБ, пол, реквизиты лицевого/банковского счета, СНИЛС, степень родства, фамилия, имя, отчество.

Цель «перевыпуск электронных подписей работников» достигается посредством обработки ПДн следующих категорий для следующих субъектов ПДн:

1) работники:

Иные категории ПДн: адрес регистрации, дата рождения, занимаемая должность, ИНН, контактные сведения (номер телефона, электронная почта), паспортные данные, СНИЛС, фамилия, имя, отчество.

Цель «лицензирование врачебной деятельности» достигается посредством обработки ПДн следующих категорий для следующих субъектов ПДн:

1) работники:

Иные категории ПДн: адрес проживания, адрес регистрации, гражданство, дата рождения, занимаемая должность, место работы, место рождения, образование, паспортные данные, пол, сведения о переподготовке и повышении квалификации, СНИЛС, фамилия, имя, отчество.

Цель «работа с обращениями граждан и запросами от правоохранительных органов» достигается посредством обработки ПДн следующих категорий для следующих субъектов ПДн:

1) лица, направившие обращения:

Специальные категории ПДн: сведения о состоянии здоровья.

Иные категории ПДн: адрес проживания, адрес регистрации, контактные сведения (номер телефона, электронная почта), фамилия, имя, отчество.

Цель «оказание прикрепленному контингенту высококвалифицированной специализированной амбулаторно-поликлинической, стационарной и скорой медицинской помощи; проведение консультаций пациентов; оказание медицинской помощи застрахованному населению; оказание медицинских услуг физическим и юридическим лицам, в соответствии с лицензиями на соответствующий вид медицинской деятельности» достигается посредством обработки ПДн следующих категорий для следующих субъектов ПДн:

1) ближайшие родственники пациентов:

Иные категории ПДн: код МКБ, СНИЛС, степень родства, фамилия, имя, отчество.

2) законные представители, в том числе попечители или опекуны несовершеннолетних лиц:

Иные категории ПДн: контактные сведения (номер телефона, электронная почта), паспортные данные, СНИЛС, фамилия, имя, отчество.

3) пациенты:

Специальные категории ПДн: сведения о состоянии здоровья.

Иные категории ПДн: адрес проживания, адрес регистрации, гражданство, данные миграционной карты, данные об инвалидности, данные пенсионного удостоверения, данные полиса ДМС, данные полиса ОМС, данные свидетельства о рождении ребенка, дата рождения, дата смерти, занимаемая должность, информация о трудовой деятельности, квалификация, контактные сведения (номер телефона, электронная почта), место работы, место рождения, номер медицинской карты, паспортные данные, пол, код МКБ, профессия, сведения о воинском учёте, СНИЛС, социальное положение, социальные льготы, специальность, степень родства, фамилия, имя, отчество, фотография.

Цель «ведение судебной работы» достигается посредством обработки ПДн следующих категорий для следующих субъектов ПДн:

1) пациенты:

Специальные категории ПДн: сведения о состоянии здоровья.

Иные категории ПДн: адрес проживания, адрес регистрации, гражданство, данные об инвалидности, данные полиса ДМС, данные полиса ОМС, данные свидетельства о рождении ребенка, дата рождения, ИНН, контактные сведения (номер телефона, электронная почта), место работы, место рождения, номер медицинской карты, паспортные данные, пол, СНИЛС, социальное положение, социальные льготы, фамилия, имя, отчество.

Цель «ведение деятельности по обороту наркотических средств и психотропных веществ» достигается посредством обработки ПДн следующих категорий для следующих субъектов ПДн:

1) работники:

Иные категории ПДн: занимаемая должность, контактные сведения (номер телефона, электронная почта), паспортные данные, фамилия, имя, отчество.

Цель «маркетинговые исследования» достигается посредством обработки ПДн следующих категорий для следующих субъектов ПДн:

1) пациенты:

Иные категории ПДн: дата рождения, контактные сведения (номер телефона, электронная почта), фамилия, имя, отчество.

Цель «маркетинговые рассылки» достигается посредством обработки ПДн следующих категорий для следующих субъектов ПДн:

1) пациенты:

Иные категории ПДн: дата рождения, контактные сведения (номер телефона, электронная почта), фамилия, имя, отчество.

5. Порядок и условия обработки персональных данных

5.1. Перечень действий с ПДн субъектов, осуществляемых Учреждением.

Учреждением осуществляются следующие действия с ПДн:

1) в рамках цели обработки «Выполнение функций работодателя и ведение кадровой политики»: передача (доступ), накопление, сбор, запись, хранение, систематизация, передача (предоставление), уточнение (обновление, изменение), использование, удаление, извлечение;

2) в рамках цели обработки «Оформление и исполнение договорных отношений»: передача (доступ), накопление, сбор, запись, хранение, систематизация, передача (предоставление), уточнение (обновление, изменение), использование, удаление, извлечение;

3) в рамках цели обработки «Реализация образовательных программ и оказание услуг в сфере высшего (ординатура, аспирантура), послевузовского и дополнительного профессионального образования»: передача (доступ), накопление, сбор, запись, хранение, систематизация, передача (предоставление), уточнение (обновление, изменение), использование, удаление, извлечение;

4) в рамках цели обработки «Мониторинг движения лекарственных препаратов»: передача (доступ), накопление, сбор, запись, хранение, систематизация, передача (предоставление), уточнение (обновление, изменение), использование, удаление, извлечение;

5) в рамках цели обработки «Ведение бухгалтерского учета»: передача (доступ), накопление, сбор, запись, хранение, систематизация, передача (предоставление), уточнение (обновление, изменение), использование, удаление, извлечение;

6) в рамках цели обработки «Перевыпуск электронных подписей работников»: передача (доступ), накопление, сбор, запись, хранение, систематизация, передача (предоставление), уточнение (обновление, изменение), использование, удаление, извлечение;

7) в рамках цели обработки «Лицензирование врачебной деятельности»: передача (доступ), накопление, сбор, запись, хранение, систематизация, передача (предоставление), уточнение (обновление, изменение), использование, удаление, извлечение;

8) в рамках цели обработки «Работа с обращениями граждан и запросами от правоохранительных органов»: передача (доступ), накопление, сбор, запись, хранение, систематизация, уточнение (обновление, изменение), использование, удаление, извлечение;

9) в рамках цели обработки «Оказание прикрепленному контингенту высококвалифицированной специализированной амбулаторно-поликлинической, стационарной и скорой медицинской помощи; проведение консультаций пациентов; оказание медицинской помощи застрахованному населению; оказание медицинских услуг физическим и юридическим лицам, в соответствии с лицензиями на соответствующий вид медицинской деятельности»: передача (доступ), накопление, сбор, запись, хранение, систематизация, передача (предоставление), уточнение (обновление, изменение), использование, удаление, извлечение;

10) в рамках цели обработки «Ведение судебной работы»: передача (доступ), накопление, сбор, запись, хранение, систематизация, уточнение (обновление, изменение), использование, удаление, извлечение;

11) в рамках цели обработки «Ведение деятельности по обороту наркотических средств и психотропных веществ»: передача (доступ), накопление, сбор, запись, хранение, систематизация, уточнение (обновление, изменение), использование, удаление, извлечение;

12) в рамках цели обработки «маркетинговые исследования»: передача (доступ), накопление, сбор, запись, хранение, систематизация, уточнение (обновление, изменение), использование, удаление, извлечение.

13) в рамках цели обработки «маркетинговые рассылки»: передача (доступ), накопление, сбор, запись, хранение, систематизация, уточнение (обновление, изменение), использование, удаление, извлечение.

5.2. Способы обработки ПДн

Учреждением применяются следующие способы обработки ПДн:

1) в рамках цели обработки «Ведение бухгалтерского учета» осуществляется смешанный способ обработки ПДн с передачей по внутренней сети и сети интернет;

2) в рамках цели обработки «Ведение деятельности по обороту наркотических средств и психотропных веществ» осуществляется смешанный способ обработки ПДн с передачей по внутренней сети и без передачи по сети интернет;

3) в рамках цели обработки «Ведение судебной работы» осуществляется смешанный способ обработки ПДн с передачей по внутренней сети и без передачи по сети интернет;

4) в рамках цели обработки «Выполнение функций работодателя и ведение кадровой политики» осуществляется смешанный способ обработки ПДн с передачей по внутренней сети и сети интернет;

5) в рамках цели обработки «Лицензирование врачебной деятельности» осуществляется смешанный способ обработки ПДн с передачей по внутренней сети и сети интернет;

6) в рамках цели обработки «Мониторинг движения лекарственных препаратов» осуществляется смешанный способ обработки ПДн с передачей по внутренней сети и сети интернет;

7) в рамках цели обработки «Оказание прикрепленному контингенту высококвалифицированной специализированной амбулаторно-поликлинической, стационарной и скорой медицинской помощи; проведение консультаций пациентов; оказание медицинской помощи застрахованному населению; оказание медицинских услуг физическим и юридическим лицам, в соответствии с лицензиями на соответствующий вид медицинской деятельности» осуществляется смешанный способ обработки ПДн с передачей по внутренней сети и сети интернет;

8) в рамках цели обработки «Оформление и исполнение договорных отношений» осуществляется смешанный способ обработки ПДн с передачей по внутренней сети и сети интернет;

9) в рамках цели обработки «Перевыпуск электронных подписей работников» осуществляется смешанный способ обработки ПДн с передачей по внутренней сети и сети интернет;

10) в рамках цели обработки «Работа с обращениями граждан и запросами от правоохранительных органов» осуществляется смешанный способ обработки ПДн с передачей по внутренней сети и без передачи по сети интернет;

11) в рамках цели обработки «Реализация образовательных программ и оказание услуг в сфере высшего (ординатура, аспирантура), послевузовского и дополнительного профессионального образования» осуществляется смешанный способ обработки ПДн с передачей по внутренней сети и сети интернет;

12) в рамках цели обработки «Маркетинговые исследования» осуществляется смешанный способ обработки ПДн с передачей по внутренней сети без сети интернет.

13) в рамках цели обработки «Маркетинговые рассылки» осуществляется смешанный способ обработки ПДн с передачей по внутренней сети без сети интернет.

5.3. Передача ПДн третьим лицам

1) Наименование третьего лица: Банк «Сбербанк России», ИНН 7707083893.

Местонахождение третьего лица: Россия, г. Москва, ул. Вавилова, д. 19.

Условия передачи ПДн: поручение Оператора.

Трансграничная передача ПДн: не осуществляется.

Способ передачи ПДн третьему лицу: автоматизированный с передачей по сети интернет.

Цели передачи ПДн: начисление заработной платы в рамках банковского зарплатного проекта.

Наименование субъекта и перечень передаваемых ПДн:

1) работники:

Иные категории ПДн: реквизиты лицевого/банковского счета, фамилия, имя, отчество.

Способы обработки ПДн третьим лицом: смешанный способ обработки ПДн с передачей по внутренней сети и сети интернет.

Перечень действий, разрешенных третьему лицу: запись, извлечение, использование, накопление, передача (доступ), передача (предоставление), сбор, систематизация, удаление, уточнение (обновление, изменение), хранение.

2) Наименование третьего лица: Банк ВТБ, ИНН 7702070139.

Местонахождение третьего лица: Россия, Ленинградская обл., г. Санкт-Петербург, пер. Дегтярный, д. 11, литер А.

Условия передачи ПДн: поручение Оператора.

Трансграничная передача ПДн: не осуществляется.

Способ передачи ПДн третьему лицу: автоматизированный с передачей по сети интернет.

Цели передачи ПДн: начисление заработной платы в рамках банковского зарплатного проекта.

Наименование субъекта и перечень передаваемых ПДн:

1) работники:

Иные категории ПДн: реквизиты лицевого/банковского счета, фамилия, имя, отчество.

Способы обработки ПДн третьим лицом: смешанный способ обработки ПДн с передачей по внутренней сети и сети интернет.

Перечень действий, разрешенных третьему лицу: запись, извлечение, использование, передача (доступ), передача (предоставление), сбор, систематизация, удаление, уточнение (обновление, изменение), хранение.

3) Наименование третьего лица: ООО «Фортис», ИНН 7703638142.

Местонахождение третьего лица: Россия, г. Москва, ул. Неглинная, д. 27.

Условия передачи ПДн: поручение Оператора.

Трансграничная передача ПДн: не осуществляется.

Способ передачи ПДн третьему лицу: неавтоматизированный.

Цели передачи ПДн: услуги по вывозу и хранению документов.

Наименование субъекта и перечень передаваемых ПДн:

1) пациенты:

Специальные категории ПДн: Сведения о состоянии здоровья.

Иные категории ПДн: адрес проживания, адрес регистрации, гражданство, данные об инвалидности, данные полиса ОМС, дата рождения, занимаемая должность, контактные сведения (номер телефона, электронная почта), место работы, место рождения, номер медицинской карты, паспортные данные, пол, СНИЛС, социальные льготы, фамилия, имя, отчество.

Способы обработки ПДн третьим лицом: неавтоматизированный способ обработки ПДн.

Перечень действий, разрешенных третьему лицу: накопление, сбор, систематизация, хранение.

5.4. Меры по обеспечению безопасности ПДн при их обработке

Учреждение, при обработке ПДн, принимает необходимые правовые, организационные и технические меры, и обеспечивает их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

Обеспечение безопасности ПДн достигается Учреждением, в частности, следующими мерами:

1) оценка вреда, в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинён субъектам персональных данных в случае нарушения закона «О персональных данных», соотношение указанного вреда и принимаемых защитных мер, направленных на обеспечение выполнения обязанностей, предусмотренных законом «О персональных данных»;

2) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных закону «О персональных данных» и внутренним документам Учреждения по вопросам обработки персональных данных;

3) ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, политикой Учреждения в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;

4) издание политики Учреждения в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

5) учёт машинных носителей персональных данных;

6) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

7) применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации (сертифицированные СЗИ);

8) определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

9) установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учёта всех действий, совершаемых с персональными данными в информационной системе персональных данных;

10) обнаружение фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;

11) контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищённости информационных систем персональных данных;

12) применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищённости персональных данных.

5.5. Базы ПДн Учреждения находятся полностью в пределах территории Российской Федерации.

5.6. Сроки обработки ПДн

Персональные данные субъектов, обрабатываемые Учреждением, подлежат уничтожению либо обезличиванию в случае:

1) достижения целей обработки ПДн или утраты необходимости в достижении этих целей;

2) отзыва субъектом ПДн согласия на обработку его ПДн;

3) истечение срока действия согласия субъекта ПДн на обработку его ПДн;

4) отсутствия возможности обеспечить правомерность обработки ПДн;

5) прекращения деятельности Учреждения.

5.7. Условия обработки ПДн без использования средств автоматизации

При обработке ПДн, осуществляемой без использования средств автоматизации, Учреждение выполняет требования, установленные постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Персональные данные при такой их обработке обособляются от иной информации, в частности, путём фиксации их на отдельных материальных носителях ПДн, в специальных разделах или на полях форм (бланков).

Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.

6. Регламент реагирования на запросы обращения субъектов персональных данных и их представителей

При устном обращении либо письменном запросе субъекта ПДн или его представителя на доступ к ПДн субъекта, Учреждение руководствуется требованиями статей 14, 18 и 20 Федерального закона № 152-ФЗ.

Субъект ПДн или его представитель может воспользоваться формами запросов (заявлений) или отзывом согласия, приведенные в приложениях к настоящей Политике.

Сведения о наличии и обработке ПДн предоставляются субъекту ПДн или его представителю Учреждением при обращении либо при получении запроса от субъекта ПДн или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Учреждением (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Учреждением, подпись субъекта ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

Доступ субъекта ПДн или его представителя к ПДн субъекта Учреждение предоставляет только под контролем ответственного за организацию обработки ПДн (далее – Ответственный) Учреждения.

Ответственный Учреждения принимает решение о предоставлении доступа субъекту ПДн или его представителю к ПДн указанного субъекта.

В случае, если данные, предоставленные субъектом ПДн или его представителем не достаточны для установления его личности или предоставление ПДн нарушают конституционные права и свободы других лиц, Ответственный Учреждения подготавливает мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона № 152-ФЗ или иного федерального закона, являющийся основанием для такого отказа, в срок, не превышающий 10 рабочих дней со дня обращения субъекта ПДн или его представителя либо от даты получения запроса субъекта ПДн или его представителя. Указанный срок может быть продлён, но не более чем на 5 рабочих дней в случае направления Учреждением в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Сведения предоставляются субъекту ПДн или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

Для предоставления доступа субъекту ПДн или его представителя к ПДн субъекта, Ответственный Учреждения привлекает работников структурного подразделения (отдела), обрабатывающих ПДн субъекта, по согласованию с руководителем этого структурного подразделения (отдела).

Учреждение предоставляет безвозмездно субъекту ПДн или его представителю возможность ознакомления с ПДн, относящиеся к этому субъекту ПДн.

Сведения о наличии ПДн Учреждение предоставляет субъекту ПДн или его представителю в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн. Контроль предоставления сведений субъекту ПДн или его представителю осуществляет Ответственный Учреждения.

Сведения о наличии ПДн должны быть предоставлены субъекту ПДн или его представителю при ответе на запрос или при обращении в течение 10 рабочих дней от даты получения запроса (обращения) субъекта ПДн или его представителя. Указанный срок может быть продлён, но не более чем на 5 рабочих дней в случае направления Учреждением в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Сведения предоставляются субъекту ПДн или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

В случае отказа Учреждением в предоставлении информации о наличии ПДн о соответствующем субъекте ПДн или ПДн субъекту ПДн или его представителю при их обращении либо при получении запроса субъекта ПДн или его представителя, Учреждение предоставляет в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона № 152-ФЗ или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 10 рабочих дней со дня обращения субъекта ПДн или его представителя либо с даты получения запроса субъекта ПДн или его представителя. Указанный срок может быть продлён, но не более чем на 5 рабочих дней в случае направления Учреждением в адрес субъекта ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами, в том числе, если:

1) обработка ПДн, включая ПДн, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

2) обработка ПДн осуществляется органами, осуществившими задержание субъекта ПДн по подозрению в совершении преступления, либо предъявившими субъекту ПДн обвинение по уголовному делу, либо применившими к субъекту ПДн меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими ПДн;

3) обработка ПДн осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма;

4) доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц;

5) обработка ПДн осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

7. Регламент реагирования, в случае запроса уполномоченного органа по защите прав субъектов персональных данных

В соответствии с частью 4 статьи 20 Федерального закона № 152-ФЗ, Учреждение сообщает в уполномоченный орган по защите прав субъектов ПДн по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение 10 дней с даты получения такого запроса. Указанный срок может быть продлён, но не более чем на 5 рабочих дней в случае направления Учреждением в адрес уполномоченного органа по защите прав субъектов ПДн мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

Сбор сведений для составления мотивированного ответа на запрос надзорных органов осуществляет Ответственный Учреждения, при необходимости с привлечением работников Учреждения.

В течение установленного срока, Ответственный Учреждения подготавливает и направляет в уполномоченный орган по защите прав субъектов ПДн мотивированный ответ и другие необходимые документы.

Лицензии

Whatsapp
Telegram
Позвонить
Записаться