СПБ ГБУЗ «Городская поликлиника №4»
Политика безопасности в отношении обработки персональных данных
1.ВВЕДЕНИЕ
Настоящее Положение определяет политику СПб ГБУЗ «Городская поликлиника №4» как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.
1.1 Настоящая Политика обработки персональных данных (далее — Политика) СПб ГБУЗ «Городская поликлиника №4» (далее – Оператор), ИНН 7801090464, расположенного по адресу: 199178, Санкт-Петербург, Большой проспект В. О., дом 59, литер. А, разработана в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом 27 июля 2006 года № 152-ФЗ «О персональных данных», постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», иными федеральными законами и нормативно-правовыми актами.
1.2 Политика разработана в целях обеспечения реализации требований законодательства Российской Федерации в области обработки персональных данных, направленного на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, в частности в целях защиты от несанкционированного доступа и неправомерного распространения персональных данных, обрабатываемых в информационных системах в СПб ГБУЗ «Городская поликлиника №4».
1.3 Политика действует в отношении информации, которую Оператор получает о субъекте персональных данных в процессе предоставления услуг или исполнения договорных обязательств.
1.4. Персональные данные являются конфиденциальной, строго охраняемой информацией и на них распространяются все требования, установленные внутренними документами Оператора по защите конфиденциальной информации.
2. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1 Перечень персональных данных, подлежащих защите в СПб ГБУЗ «Городская поликлиника №4», формируется в соответствии с федеральным законодательством о персональных данных.
2.2 Сведениями, составляющими персональные данные, является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2.3 В зависимости от субъекта персональных данных, СПб ГБУЗ «Городская поликлиника №4» обрабатывает персональные данные следующих категорий субъектов персональных данных:
– персональные данные сотрудников СПб ГБУЗ «Городская поликлиника №4» — информация, необходимая учреждению в связи с трудовыми отношениями и касающаяся конкретного сотрудника.
– персональные данные руководителя или сотрудника юридического лица, являющегося контрагентом СПб ГБУЗ «Городская поликлиника №4», необходимые для выполнения своих обязательств в рамках договорных отношений с контрагентом и для выполнения требований законодательства Российской Федерации.
– граждан, обращающихся в СПб ГБУЗ «Городская поликлиника №4» в соответствии с Федеральным законом от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан в Российской Федерации»
– персональные данные пациентов СПб ГБУЗ «Городская поликлиника №4» — информация, необходимая учреждению для оказания медицинской помощи.
3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1 СПб ГБУЗ «Городская поликлиника №4» осуществляет обработку персональных данных в следующих целях:
3.1.1 осуществление и выполнение возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей, в частности:
– выполнение требований законодательства в сфере труда и налогообложения;
– ведение текущего бухгалтерского и налогового учёта, формирование, изготовление и своевременная подача бухгалтерской, налоговой и статистической отчётности;
– выполнение требований законодательства по определению порядка обработки и защиты персональных данных граждан, являющихся клиентами или контрагентами СПб ГБУЗ «Городская поликлиника №4» (далее – субъекты персональных данных).
3.1.2 осуществление прав и законных интересов СПб ГБУЗ «Городская поликлиника №4» в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами СПб ГБУЗ «Городская поликлиника №4», или третьих лиц либо достижения общественно значимых целей;
3.1.3 в иных законных целях.
4. ПРАВОВОЕ ОСНОВАНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Обработка персональных данных осуществляется на основе следующих федеральных законов и нормативно-правовых актов в действующих редакциях:
1) Конституции Российской Федерации;
2) Трудового кодекса Российской Федерации;
3) Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
4) Федерального закона «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ.
5) Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации. Утверждено постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.
6) Постановления от 1 ноября 2012 г. N 1119 об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных.
7) Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
8) Приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
9) Иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.
5. ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
При обработке персональных данных Оператор будет осуществлять следующие действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
6. СОСТАВ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Обработке Оператором подлежат персональные данные следующих субъектов:
– сотрудники Оператора;
– клиенты Оператора;
– контрагенты Оператора;
– физические лица, обратившиеся к Оператору в порядке, установленном Федеральным законом «О порядке рассмотрения обращений граждан Российской Федерации».
6.2. Состав персональных данных каждой из перечисленных в п. 6.1 настоящего Положения категории субъектов определяется согласно нормативным документам, перечисленным в разделе 3 настоящего Положения, а также нормативным документам Учреждения, изданным для обеспечения их исполнения.
6.3. В случаях, предусмотренных действующим законодательством, субъект персональных данных принимает решение о предоставлении его персональных данных Оператору и дает согласие на их обработку свободно, своей волей и в своем интересе.
6.4. Оператор обеспечивает соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.
7. СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Сроки обработки персональных данных определяются в соответствии со сроком действия договора с субъектом персональных данных, Приказом Минкультуры РФ от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», а также иными требованиями законодательства РФ и нормативными документами.
7.2. В СПб ГБУЗ «Городская поликлиника №4» создаются и хранятся документы, содержащие сведения о субъектах персональных данных. Требования к использованию в учреждении данных типовых форм документов установлены Постановлением Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
8. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Обработка персональных данных в СПб ГБУЗ «Городская поликлиника №4» осуществляется следующими способами:
– неавтоматизированная обработка персональных данных;
– автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
– смешанная обработка персональных данных.
9. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Обработка персональных данных в СПб ГБУЗ «Городская поликлиника №4» осуществляется на основе принципов:
– законности и справедливости целей и способов обработки персональных данных;
– соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям;
– соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
– достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
– недопустимости объединения созданных для несовместимых между собой целей баз данных содержащих персональные данные;
– хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
– уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.
9.2 Обработка персональных данных осуществляется на основании условий, определенных законодательством Российской Федерации.
10. Обеспечение защиты персональных данных при их обработке Оператором
10.1 Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152 «О персональных данных», постановлением Правительства от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказом ФСТЭК от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», и другими нормативными правовыми актами, если иное не предусмотрено федеральными законами. К таким мерам относятся:
– назначение Оператором ответственного за организацию обработки персональных данных;
– издание Оператором документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
– применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
– осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора;
– определение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
– ознакомление сотрудников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных сотрудников.
10.2. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
11. ПРАВА
11.1. СПб ГБУЗ «Городская поликлиника №4» как Оператор персональных данных, вправе:
– отстаивать свои интересы в суде;
– предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
– отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;
– использовать персональные данные субъекта без его согласия в случаях предусмотренных законодательством.
11.2. Субъект персональных данных имеет право:
– требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
– требовать перечень своих персональных данных, обрабатываемых СПб ГБУЗ «Городская поликлиника №4» и источник их получения;
– получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
– обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;
– на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
12. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
12.1. Настоящая Политика является внутренним документом СПб ГБУЗ «Городская поликлиника №4».
12.2. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее подписания, если иное не предусмотрено новой редакцией Политики.
12.3. Контроль исполнения требований настоящей Политики осуществляется лицом, ответственным за обеспечение безопасности персональных данных в СПб ГБУЗ «Городская поликлиника №4».
12.4. Ответственность должностных лиц СПб ГБУЗ «Городская поликлиника №4», имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами СПб ГБУЗ «Городская поликлиника №4».