СПБ ГБУЗ «Городская поликлиника №4»


Политика безопасности в отношении обработки персональных данных

1.ВВЕДЕНИЕ

Настоящее Положение определяет политику СПб ГБУЗ «Городская поликлиника №4» как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.

1.1 Настоящая Политика обработки персональных данных (далее — Политика) СПб ГБУЗ «Городская поликлиника №4»  (далее – Оператор), ИНН 7801090464, расположенного по адресу: 199178, Санкт-Петербург, Большой проспект В. О., дом 59, литер. А, разработана в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом 27 июля 2006 года № 152-ФЗ «О персональных данных», постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», иными федеральными законами и нормативно-правовыми актами.

1.2 Политика разработана в целях обеспечения реализации требований законодательства Российской Федерации в области обработки персональных данных, направленного на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, в частности в целях защиты от несанкционированного доступа и неправомерного распространения персональных данных, обрабатываемых в информационных системах в СПб ГБУЗ «Городская поликлиника №4».

1.3 Политика действует в отношении информации, которую Оператор получает о субъекте персональных данных в процессе предоставления услуг или исполнения договорных обязательств.

1.4. Персональные данные являются конфиденциальной, строго охраняемой информацией и на них распространяются все требования, установленные внутренними документами Оператора по защите конфиденциальной информации.

2. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1 Перечень персональных данных, подлежащих защите в СПб ГБУЗ «Городская поликлиника №4», формируется в соответствии с федеральным законодательством о персональных данных.

2.2 Сведениями, составляющими персональные данные, является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

2.3 В зависимости от субъекта персональных данных, СПб ГБУЗ «Городская поликлиника №4»  обрабатывает персональные данные следующих категорий субъектов персональных данных:

– персональные данные сотрудников СПб ГБУЗ «Городская поликлиника №4»  — информация, необходимая учреждению в связи с трудовыми отношениями и касающаяся конкретного сотрудника.

– персональные данные руководителя или сотрудника юридического лица, являющегося контрагентом СПб ГБУЗ «Городская поликлиника №4», необходимые для выполнения своих обязательств в рамках договорных отношений с контрагентом и для выполнения требований законодательства Российской Федерации.

– граждан, обращающихся в СПб ГБУЗ «Городская поликлиника №4» в соответствии с Федеральным законом от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан в Российской Федерации»

– персональные данные пациентов СПб ГБУЗ «Городская поликлиника №4» — информация, необходимая учреждению для оказания медицинской помощи.

3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1 СПб ГБУЗ «Городская поликлиника №4» осуществляет обработку персональных данных в следующих целях:

3.1.1 осуществление и выполнение возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей, в частности:

– выполнение требований законодательства в сфере труда и налогообложения;

– ведение текущего бухгалтерского и налогового учёта, формирование, изготовление и своевременная подача бухгалтерской, налоговой и статистической отчётности;

– выполнение требований законодательства по определению порядка обработки и защиты персональных данных граждан, являющихся клиентами или контрагентами СПб ГБУЗ «Городская поликлиника №4» (далее – субъекты персональных данных).

3.1.2 осуществление прав и законных интересов СПб ГБУЗ «Городская поликлиника №4» в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами СПб ГБУЗ «Городская поликлиника №4», или третьих лиц либо достижения общественно значимых целей;

3.1.3 в иных законных целях.

4. ПРАВОВОЕ ОСНОВАНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Обработка персональных данных осуществляется на основе следующих федеральных законов и нормативно-правовых актов в действующих редакциях:

1) Конституции Российской Федерации;

2) Трудового кодекса Российской Федерации;

3) Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»;

4) Федерального закона «Об информации, информационных технологиях и о защите информации» от 27.07.2006 N 149-ФЗ.

5) Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации.  Утверждено постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.

6) Постановления от 1 ноября 2012 г. N 1119 об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных.

7) Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

8) Приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;

9) Иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.

5. ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ

При обработке персональных данных Оператор будет осуществлять следующие действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

6. СОСТАВ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Обработке Оператором подлежат персональные данные следующих субъектов:

– сотрудники Оператора;

– клиенты Оператора;

– контрагенты Оператора;

– физические лица, обратившиеся к Оператору в порядке, установленном Федеральным законом «О порядке рассмотрения обращений граждан Российской Федерации».

6.2. Состав персональных данных каждой из перечисленных в п. 6.1 настоящего Положения категории субъектов определяется согласно нормативным документам, перечисленным в разделе 3 настоящего Положения, а также нормативным документам Учреждения, изданным для обеспечения их исполнения.

6.3. В случаях, предусмотренных действующим законодательством, субъект персональных данных принимает решение о предоставлении его персональных данных Оператору и дает согласие на их обработку свободно, своей волей и в своем интересе.

6.4. Оператор обеспечивает соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.

7. СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Сроки обработки персональных данных определяются в соответствии со сроком действия договора с субъектом персональных данных, Приказом Минкультуры РФ от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», а также иными требованиями законодательства РФ и нормативными документами.

7.2. В СПб ГБУЗ «Городская поликлиника №4» создаются и хранятся документы, содержащие сведения о субъектах персональных данных. Требования к использованию в учреждении данных типовых форм документов установлены Постановлением Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

8. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Обработка персональных данных в СПб ГБУЗ «Городская поликлиника №4» осуществляется следующими способами:

– неавтоматизированная обработка персональных данных;

– автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;

– смешанная обработка персональных данных.

9. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Обработка персональных данных в СПб ГБУЗ «Городская поликлиника №4» осуществляется на основе принципов:

– законности и справедливости целей и способов обработки персональных данных;

– соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям;

– соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

– достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

– недопустимости объединения созданных для несовместимых между собой целей баз данных содержащих персональные данные;

– хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;

– уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.

9.2 Обработка персональных данных осуществляется на основании условий, определенных законодательством Российской Федерации.

10. Обеспечение защиты персональных данных при их обработке Оператором

10.1 Оператор принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года № 152 «О персональных данных», постановлением Правительства от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказом ФСТЭК от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», и другими нормативными правовыми актами, если иное не предусмотрено федеральными законами. К таким мерам относятся:

– назначение Оператором ответственного за организацию обработки персональных данных;

– издание Оператором документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

– применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;

– осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора;

– определение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;

– ознакомление сотрудников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных сотрудников.

10.2. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

11. ПРАВА

11.1. СПб ГБУЗ «Городская поликлиника №4» как Оператор персональных данных, вправе:

– отстаивать свои интересы в суде;

– предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);

– отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;

– использовать персональные данные субъекта без его согласия в случаях предусмотренных законодательством.

11.2. Субъект персональных данных имеет право:

– требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

– требовать перечень своих персональных данных, обрабатываемых СПб ГБУЗ «Городская поликлиника №4» и источник их получения;

– получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;

– обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;

– на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

12. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

12.1. Настоящая Политика является внутренним документом СПб ГБУЗ «Городская поликлиника №4».

12.2. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее подписания, если иное не предусмотрено новой редакцией Политики.

12.3. Контроль исполнения требований настоящей Политики осуществляется лицом, ответственным за обеспечение безопасности персональных данных в СПб ГБУЗ «Городская поликлиника №4».

12.4. Ответственность должностных лиц СПб ГБУЗ «Городская поликлиника №4», имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами СПб ГБУЗ «Городская поликлиника №4».