Скачать в формате PDF УТВЕРЖДЕНА
приказом
ФБУЗ «Центр гигиены и
эпидемиологии в
Саратовской области»
от 9 января 2024 г. № 5
ПОЛИТИКА в отношении обработки персональных данных в ФБУЗ «Центр гигиены и эпидемиологии в Саратовской области» 1 Общие положения.
1.1 Настоящая Политика в отношении обработки персональных данных в ФБУЗ «Центр гигиены и эпидемиологии в Саратовской области» (далее – Политика) определяет политику ФБУЗ «Центр гигиены и эпидемиологии в Саратовской области» (далее - Учреждение) в области обработки персональных данных.
1.2 Политика является основой для организации обработки и защиты персональных данных в Учреждении, в том числе для разработки локальных нормативных актов, регламентирующих порядок обработки и защиты персональных данных в Учреждении, и определяет:
1.2.1 Принципы обработки персональных данных, которыми руководствуется Учреждение при осуществлении деятельности;
1.2.2 Правовые основания обработки персональных данных;
1.2.3 Цели обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории субъектов персональных данных, персональные данные которых обрабатываются, способы, сроки обработки и хранения персональных данных, порядок их уничтожения;
1.2.4 Основы порядка рассмотрения обращений субъектов персональных данных по вопросам обработки персональных данных;
1.2.5 Меры обеспечения безопасности персональных данных;
1.2.6 Права и обязанности Учреждения и субъектов персональных данных.
1.3 Требования настоящей Политики являются обязательными для исполнения всеми работниками Учреждения.
1.4 Ознакомление работников Учреждения с условиями, в том числе с изменениями условий настоящей Политики, осуществляется под подпись.
1.5 Субъекты персональных данных могут ознакомиться с условиями настоящей Политики в информационно-телекоммуникационной сети «Интернет» на официальном сайте Учреждения, размещенном по интернет-адресу: https://www.gigiena-saratov.ru/.
1.6 Термины, используемые в настоящей Политике, приведены в части 2. В случае отсутствия в части 2 используемого термина толкование и применение термина при необходимости осуществляется в соответствии с положениями применимых нормативных правовых актов Российской Федерации.
1.7 Для страниц сайта, посредством которых Учреждение осуществляется сбор персональных данных, с целью ознакомления субъектов персональных данных с более детальной информацией об обработке персональных данных и принимаемых мерах по их защите, Учреждение вправе разрабатывать дополнительные документы по вопросам обработки и защиты персональных данных, сбор которых осуществляется через такие страницы сайта, и размещать их на соответствующих страницах сайта. При этом обозначенные документы не могут противоречить требованиям законодательства Российской Федерации и положениям настоящей Политики.
2 Список терминов и определений.
В Политике используются следующие основные понятия и их определения:
2.1 Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
2.2 Безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных;
2.3 Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
2.4 Доступ к персональным данным — возможность получения персональных данных и их использование;
2.5 Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
2.6 Информация — сведения (сообщения, данные) независимо от формы их представления;
2.7 Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;
2.8 Неавтоматизированная обработка персональных данных – обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека;
2.9 Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
2.10 Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
2.11 Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
2.12 Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
2.13 Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
2.14 Персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения;
2.15 Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
2.16 Раскрытие персональных данных – умышленное или случайное нарушение конфиденциальности персональных данных;
2.17 Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
2.18 Специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни субъекта персональных данных;
2.19 Средства криптографической защиты информации (СКЗИ) – специальные программные, программно-аппаратные средства для шифрования данных;
2.20 Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
2.21 Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных;
2.22 Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
2.23 Целостность– состояние, при котором отсутствует любое изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право.
3 Цели, условия и порядок обработки персональных данных и соответствующие им перечни обрабатываемых персональных данных.
3.1 Ведение кадрового и бухгалтерского учета;
Категория обрабатываемых персональных данных: иная категория, специальная категория;
Перечень обрабатываемых персональных данных: фамилия, имя, отчество (при наличии), дата рождения, место рождения, семейное положение, социальное положение, пол, адрес места жительства, адрес регистрации, номер телефона, СНИЛС, ИНН, гражданство, данные документа, удостоверяющего личность, данные водительского удостоверения, данные документа, содержащиеся в свидетельстве о рождении, реквизиты банковской карты, номер расчетного счета, номер лицевого счета, профессия, должность, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования организации), отношение к воинской обязанности, сведения о воинском учете, сведения об образовании, сведения о состоянии здоровья;
Категории субъектов, персональные данные которых обрабатываются: работники, соискатели, родственники работников, уволенные работники;
Правовое основание обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Учреждение функций, полномочий и обязанностей.
Перечень действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение;
Способы обработки персональных данных: смешанный, с передачей по внутренней сети Учреждения, с передачей по информационно-телекоммуникационной сети «Интернет» с соблюдением требований законодательства Российской Федерации по защите информации.
3.2 Обеспечение соблюдения законодательства Российской Федерации в сфере здравоохранения;
Категория обрабатываемых персональных данных: иная категория, специальная категория;
Перечень обрабатываемых персональных данных: фамилия, имя, отчество (при наличии), дата рождения, социальное положение, пол, адрес места жительства, адрес регистрации, номер телефона, гражданство, профессия, должность, сведения о состоянии здоровья;
Категории субъектов, персональные данные которых обрабатываются: больные;
Правовое основание обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Учреждение функций, полномочий и обязанностей; обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ "Об организации предоставления государственных и муниципальных услуг"; обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных; обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно; обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Федерального закона «О персональных данных», при условии обязательного обезличивания персональных данных.
Перечень действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение;
Способы обработки персональных данных: смешанный, с передачей по внутренней сети Учреждения, с передачей по информационно-телекоммуникационной сети «Интернет» с соблюдением требований законодательства Российской Федерации по защите информации.
3.3 Обеспечение соблюдения законодательства Российской Федерации в сфере образования;
Категория обрабатываемых персональных данных: иная категория;
Перечень обрабатываемых персональных данных: фамилия, имя, отчество (при наличии), дата рождения, место рождения, семейное положение, пол, адрес места жительства, адрес регистрации, номер телефона, ИНН, гражданство, данные документа, удостоверяющего личность, данные документа, содержащиеся в свидетельстве о рождении, реквизиты банковской карты, номер расчетного счета, номер лицевого счета, сведения об образовании.
Категории субъектов, персональные данные которых обрабатываются: учащиеся, студенты, законные представители;
Правовое основание обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Учреждение функций, полномочий и обязанностей; обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ "Об организации предоставления государственных и муниципальных услуг"; обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных.
Перечень действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение;
Способы обработки персональных данных: смешанный, с передачей по внутренней сети Учреждения, с передачей по информационно-телекоммуникационной сети «Интернет» с соблюдением требований законодательства Российской Федерации по защите информации.
3.4 Обеспечение соблюдения законодательства Российской Федерации об обороне;
Категория обрабатываемых персональных данных: иная категория;
Перечень обрабатываемых персональных данных: фамилия, имя, отчество (при наличии), дата рождения, место рождения, семейное положение, пол, адрес места жительства, адрес регистрации, номер телефона, СНИЛС, данные документа, удостоверяющего личность, данные водительского удостоверения, профессия, должность, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования организации), отношение к воинской обязанности, сведения о воинском учете, сведения об образовании;
Категории субъектов, персональные данные которых обрабатываются: работники, родственники работников, уволенные работники;
Правовое основание обработки персональных данных: обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Учреждение функций, полномочий и обязанностей; обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ "Об организации предоставления государственных и муниципальных услуг".
Перечень действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение;
Способы обработки персональных данных: смешанный.
3.5 Обеспечение соблюдения законодательства Российской Федерации о противодействии коррупции;
Категория обрабатываемых персональных данных: иная категория;
Перечень обрабатываемых персональных данных: фамилия, имя, отчество (при наличии), дата рождения, место рождения, семейное положение, социальное положение, имущественное положение, доходы, пол, адрес места жительства, адрес регистрации, СНИЛС, данные документа, удостоверяющего личность, данные документа, содержащиеся в свидетельстве о рождении, номер расчетного счета, номер лицевого счета, профессия, должность, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования организации);
Категории субъектов, персональные данные которых обрабатываются: работники, соискатели, родственники работников, уволенные работники;
Правовое основание обработки персональных данных: обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Учреждение функций, полномочий и обязанностей; обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ "Об организации предоставления государственных и муниципальных услуг"; осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом;
Перечень действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение;
Способы обработки персональных данных: смешанный.
3.6 Участие лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
Категория обрабатываемых персональных данных: иная категория;
Перечень обрабатываемых персональных данных: фамилия, имя, отчество (при наличии), дата рождения, место рождения, адрес регистрации, должность;
Категории субъектов, персональные данные которых обрабатываются: контрагенты, представители контрагентов, выгодоприобретатели по договорам;
Правовое основание обработки персональных данных: обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Учреждение функций, полномочий и обязанностей; обработка персональных данных осуществляется в связи с участием Учреждения в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах.
Перечень действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение;
Способы обработки персональных данных: смешанный, с передачей по внутренней сети Учреждения, с передачей по информационно-телекоммуникационной сети «Интернет» с соблюдением требований законодательства Российской Федерации по защите информации.
3.7 Подготовка, заключение и исполнение гражданско-правового договора;
Категория обрабатываемых персональных данных: иная категория;
Перечень обрабатываемых персональных данных: фамилия, имя, отчество (при наличии), дата рождения, адрес электронной почты, номер телефона, данные документа, удостоверяющего личность;
Категории субъектов, персональные данные которых обрабатываются: контрагенты, представители контрагентов, клиенты, выгода приобретатели по договорам;
Правовое основание обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных.
Перечень действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение;
Способы обработки персональных данных: смешанный, с передачей по внутренней сети Учреждения, с передачей по информационно-телекоммуникационной сети «Интернет» с соблюдением требований законодательства Российской Федерации по защите информации.
3.8 Оказание государственных и (или) муниципальных услуг, предусмотренных законодательством Российской Федерации;
Категория обрабатываемых персональных данных: иная категория;
Перечень обрабатываемых персональных данных: фамилия, имя, отчество (при наличии), дата рождения, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, СНИЛС, ИНН, данные документа, удостоверяющего личность;
Категории субъектов, персональные данные которых обрабатываются: клиенты;
Правовое основание обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ "Об организации предоставления государственных и муниципальных услуг"; обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных.
Перечень действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение;
Способы обработки персональных данных: смешанный, с передачей по внутренней сети Учреждения, с передачей по информационно-телекоммуникационной сети «Интернет» с соблюдением требований законодательства Российской Федерации по защите информации.
3.9 Обеспечение пропускного режима на территорию Учреждения;
Категория обрабатываемых персональных данных: иная категория;
Перечень обрабатываемых персональных данных: фамилия, имя, отчество (при наличии), данные документа, удостоверяющего личность;
Категории субъектов, персональные данные которых обрабатываются: клиенты, посетители;
Правовое основание обработки персональных данных: обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Учреждение функций, полномочий и обязанностей; обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ "Об организации предоставления государственных и муниципальных услуг".
Перечень действий с персональными данными: сбор, запись, накопление, хранение, уточнение (обновление, изменение), , использование, передача (предоставление, доступ), блокирование, удаление, уничтожение;
Способы обработки персональных данных: неавтоматизированный. 3.10 Подбор персонала (соискателей) на вакантные должности оператора;
Категория обрабатываемых персональных данных: иная категория;
Перечень обрабатываемых персональных данных: фамилия, имя, отчество (при наличии), дата рождения, семейное положение, адрес электронной почты, номер телефона, гражданство, профессия, должность, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования организации), сведения об образовании;
Категории субъектов, персональные данные которых обрабатываются: соискатели;
Правовое основание обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
Перечень действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение;
Способы обработки персональных данных: смешанный, с передачей по внутренней сети Учреждения, с передачей по информационно-телекоммуникационной сети «Интернет» с соблюдением требований законодательства Российской Федерации по защите информации.
3.11 Обеспечение прохождения ознакомительной, производственной или преддипломной практики на основании договора с учебным заведением
Категория обрабатываемых персональных данных: иная категория;
Перечень обрабатываемых персональных данных: фамилия, имя, отчество (при наличии), дата рождения, адрес электронной почты, номер телефона, сведения об образовании;
Категории субъектов, персональные данные которых обрабатываются: студенты;
Правовое основание обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных.
Перечень действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение;
Способы обработки персональных данных: смешанный, с передачей по внутренней сети Учреждения, с передачей по информационно-телекоммуникационной сети «Интернет» с соблюдением требований законодательства Российской Федерации по защите информации.
3.12 Рассмотрение обращений граждан;
Категория обрабатываемых персональных данных: иная категория;
Перечень обрабатываемых персональных данных: фамилия, имя, отчество (при наличии), дата рождения, место рождения, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, данные документа, удостоверяющего личность;
Категории субъектов, персональные данные которых обрабатываются: граждане, обратившиеся с заявлениями, обращениями, жалобами;
Правовое основание обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Учреждение функций, полномочий и обязанностей.
Перечень действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение;
Способы обработки персональных данных: смешанный, с передачей по внутренней сети Учреждения, с передачей по информационно-телекоммуникационной сети «Интернет» с соблюдением требований законодательства Российской Федерации по защите информации.
3.13 Улучшение и обеспечение штатной работоспособности веб-сайта;
Категория обрабатываемых персональных данных: иная категория;
Перечень обрабатываемых персональных данных: сведения, собираемые посредством метрических программ;
Категории субъектов, персональные данные которых обрабатываются: посетители сайта;
Правовое основание обработки персональных данных: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Учреждение функций, полномочий и обязанностей.
Перечень действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление, уничтожение;
Способы обработки персональных данных: автоматизированный, с передачей по информационно-телекоммуникационной сети «Интернет».
4 Сроки обработки и хранения персональных данных.
4.1 Хранение персональных данных субъектов персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
4.2 Сроки хранения персональных данных в Учреждении определяются в соответствии с Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утвержденным приказом Федерального архивного агентства от 20 декабря 2019 г. № 236;
4.3 Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.
5 Порядок уничтожения персональных данных.
5.1 В Учреждении осуществляется систематический контроль и выделение персональных данных субъектов персональных данных с истекшими сроками хранения, подлежащих уничтожению;
5.2 Вопрос об уничтожении выделенных материальных носителей информации, содержащих персональных данных, а также выделенных персональных данных, содержащихся в информационной системе персональных данных, рассматривается на заседании экспертной комиссии, состав которой утверждается приказом Учреждения;
5.3 По итогам заседания составляются протокол и акт о выделении к уничтожению персональных данных, акт подписывается председателем и членами экспертной комиссии и утверждается главным врачом Учреждения;
5.4 Учреждение в порядке, установленном законодательством Российской Федерации, определяет подрядную организация, имеющая необходимую производственную базу для обеспечения установленного порядка уничтожения материальных носителей информации. Должностное лицо Учреждение, ответственное за уничтожение персональных данных субъектов персональных данных, сопровождает материальные носители информации, содержащие персональные данные, до производственной базы подрядчика и присутствует при процедуре уничтожения материальных носителей информации (сжигание, физическое или химическое уничтожение);
5.5 По окончании процедуры уничтожения подрядчиком и должностным лицом Учреждения, ответственным за уничтожение персональных данных, составляется соответствующий Акт об уничтожении материальных носителей информации, содержащих персональные данные;
5.6 Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации;
5.7 Уничтожение по окончании срока обработки персональных данных, содержавшихся в информационной системе персональных данных, производится путем удаления данных из информационной системы персональных данных с последующим подтверждением в виде Акта об уничтожении и выгрузкой из журнала регистрации событий.
6 Меры, принимаемые для обеспечения выполнения обязанностей оператора при обработке персональных данных.
Меры, необходимые и достаточные для обеспечения выполнения Учреждением обязанностей, предусмотренных законодательством Российской Федерации в области защиты персональных данных, включают:
6.1 Назначение в Учреждении лица, ответственного за организацию обработки персональных данных;
6.2 Проведение работ по определению и оценке актуальных угроз безопасности персональных данных, обрабатываемых в информационных системах Учреждения. Разработку модели угроз безопасности персональных данных для каждой информационной системы персональных данных. С учетом установленных категорий, принадлежности обрабатываемых персональных данных и их количества, а также типов актуальных угроз безопасности информации определены уровни защищенности персональных данных, установленные постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
6.3 Назначение в Учреждении лица, ответственного за обеспечение безопасности персональных данных;
6.4 Издание и обеспечение неограниченного доступа к локальному нормативному акту, определяющего политику Учреждения в отношении обработки персональных данных;
6.5 Определение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», в соответствии с приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27 октября 2022 г. № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных"»;
6.6 Получение согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;
6.7 Утверждение перечня должностей структурных подразделений Учреждения, замещение которых предусматривает осуществление обработки персональных данных;
6.8 Порядок доступа работников в помещения, в которых ведется обработка персональных данных;
6.9 Ознакомление работников Учреждения, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями по защите персональных данных, а также с ответственностью за нарушение законодательства Российской Федерации в области персональных данных;
6.10 Обособление персональных данных, обрабатываемых без использования средств автоматизации, от иной информации, в частности путем их фиксации на отдельных материальных носителях персональных данных;
6.11 Организацию учета документов, содержащих персональные данные;
6.12 Обеспечение раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;
6.13 Нейтрализацию актуальных угроз безопасности персональных данных с применением средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения защиты информации;
6.14 Организацию оценку достаточности и эффективности принимаемых мер по обеспечению безопасности персональных данных;
6.15 Организацию учета машинных носителей и съемных машинных носителей информации;
6.16 Реализацию мер, направленных на обнаружение фактов несанкционированного доступа к персональным данным;
6.17 Определения класса защиты средств защиты информации и средств криптографической защиты информации, соответствующих установленным уровням защищенности персональных данных;
6.18 Размещение информационных систем Учреждения внутри защищенного периметра, расположенного в пределах контролируемой зоны;
6.19 Обеспечение защиты персональных данных, передаваемых по открытым каналам связи от несанкционированного доступа в соответствии требованиями законодательства Российской Федерации в области обеспечения защиты информации;
6.20 Для организации и обеспечения безопасности хранения, обработки и передачи по каналам связи с использованием криптографической защиты информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну, принимаются следующие меры:
6.20.1 Назначение ответственного за эксплуатацию СКЗИ, а также лиц, допускаемых к самостоятельной работе с СКЗИ;
6.20.2 Проведение обучения лиц по работе с СКЗИ;
6.20.3 Организация поэкземплярного учета и выдачи СКЗИ;
6.20.4 Определение помещений выделенных для установки СКЗИ и их хранения.
6.21 Осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27 июля 2006 г. № 152-ФЗ "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике обработки персональных данных, локальным нормативным актам Учреждения.
7 Права и рассмотрение запросов субъектов персональных данных или их представителей.
7.1 В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя, Учреждение обязано осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу Учреждение обязано осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц;
7.2 В случае подтверждения факта неточности персональных данных, Учреждение на основании сведений, представленных субъектом персональных данных (или его представителем) или иных необходимых документов, обязано уточнить персональные данные либо обеспечить их уточнение в течении семи рабочих дней со дня предоставления таких сведений и снять блокирование персональных данных;
7.3 В случае выявления неправомерной обработки персональных данных, осуществляемой учреждением или лицом, действующим по поручению Учреждения, Учреждение в срок не превышающий трех рабочих дней с даты этого выявления, обязано прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Учреждения. В случае, если обеспечить правомерность обработки персональных невозможно, Учреждение в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязано уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Учреждение обязано уведомить субъекта персональных данных или его представителя;
7.4 В случае достижения цели обработки персональных данных Учреждения прекращает обработку персональных данных или обеспечивает ее прекращение и уничтожает персональные данные или обеспечивает уничтожение в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Учреждением и субъектом персональных данных, либо если Учреждение не вправе осуществлять обработку персональных данных на основаниях, предусмотренных федеральными законами.
8 Контроль за соблюдением законодательства.
8.1 Контроль за соблюдением структурными подразделениями Учреждения законодательства Российской Федерации и локальных нормативных актов в области персональных данных, в том числе требований к защите персональных данных, осуществляется с целью проверки соответствия обработки персональных данных законодательству Российской Федерации и локальным нормативным актам Учреждения в области персональных данных, в том числе требованиям к защите персональных данных, а также принятых мер, направленных на предотвращение и выявление нарушений законодательства Российской Федерации в области персональных данных, выявления возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений;
8.2 Внутренний контроль за соблюдением структурными подразделениями Учреждения законодательства Российской Федерации и локальных нормативных актов Учреждения в области персональных данных, в том числе требований к защите персональных данных, осуществляется лицом, ответственным за организацию обработки персональных данных и ответственным за обеспечение безопасности персональных данных в Учреждении;
8.3 Осуществляется внутренний контроль соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей Политике, локальным нормативным актам Учреждения;
8.4 Работники Учреждения, виновные в нарушении требований Федерального закона «О персональных данных» и принятых в соответствии с ним нормативных правовых актов, несут дисциплинарную, гражданско-правовую, административную или уголовную ответственность в порядке, установленном законодательством Российской Федерации.
9 Порядок пересмотра Политики.
9.1 Политика в Учреждении пересматривается по мере необходимости. При пересмотре Политики в Учреждении учитываются результаты контроля эффективности обеспечения безопасности персональных данных за предыдущий период;
9.2 Процедура пересмотра Политики включает:
9.2.1 Анализ и выявление несоответствий действующей Политики текущим условиям;
9.2.2 Разработку предложений по совершенствованию Политики в Учреждении;
9.2.3 Утверждение новой редакции Политики.
9.3 При осуществлении процедуры пересмотра учитываются:
9.3.1 Результаты контроля состояния информационной безопасности и предложения структурных подразделений о совершенствовании процедур обеспечения информационной безопасности;
9.3.2 Изменения в организационно-штатной структуре Учреждения и в его информационной инфраструктуре;
9.3.3 Изменения в законодательной и нормативной базе по информационной безопасности, произошедшие с момента утверждения предыдущей Политики в Учреждении;
9.3.4 Результаты анализа происшедших инцидентов информационной безопасности, а также уязвимости и угрозы, выявленные в Учреждении за время, прошедшее с момента утверждения предыдущей Политики;
9.3.5 Изменения в управлении информационной безопасности, включая изменения в распределении ресурсов и обязанностей при обеспечении информационной безопасности.