ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

ПОЛИТИКА

В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Государственного бюджетного учреждения здравоохранения

«Научно-исследовательский клинический институт оториноларингологии им. Л.И. Свержевского»

Департамента здравоохранения города Москвы

 

Москва

2019

 

 

  1. ОБЩИЕ ПОЛОЖЕНИЯ

 

1.1. Настоящая Политика Государственного бюджетного учреждения здравоохранения города Москвы «Научно-исследовательский клинический институт оториноларингологии им. Л.И. Свержевского» Департамента здравоохранения города Москвы в отношении обработки персональных данных (далее – «Политика») разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2. Политика действует в отношении всех персональных данных, которые обрабатывает ГБУЗ НИКИО им. Л.И. Свержевского ДЗМ (далее – «Оператор», «Учреждение»).

1.3. Политика распространяется на отношения в области обработки персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.

1.4. Во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора, размещается на информационных стендах Оператора, а также доводится до сведения работников Оператора ординаторов, аспирантов, соискателей, обучающихся на рабочем месте, контрагентов,  а также кандидатов на соискание вакантных должностей.

 

  1. ОСНОВНЫЕ ПОНЯТИЯ, ИСПОЛЬЗУЕМЫЕ В ПОЛИТИКЕ

 

2.1. В настоящей Политике Оператор использует следующие понятия:

  • персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу – субъекту персональных данных;
  • оператор персональных данных – ГБУЗ НИКИО им. Л.И.Свержевского ДЗМ, осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
  • работник – наемный работник, состоящий с Учреждением в трудовых отношениях;
  • пациент – физическое лицо, которому оказывается медицинская помощь или которое обратилось за оказанием медицинской помощи независимо от наличия у него заболевания и от его состояния;
  • ординатор, аспирант – физическое лицо, проходящее обучение в Учреждении по образовательным программам высшего образования – программам ординатуры или программам подготовки научно-педагогических кадров в аспирантуре соответственно;
  • соискатель – физическое лицо, прикрепленное к институту для подготовки диссертации на соискание ученой степени кандидата медицинских наук или доктора медицинский наук без освоения программ подготовки научно-педагогических кадров в аспирантуре;

контрагент – физическое лицо, являющееся стороной гражданско-правового договора либо выгодоприобретателем или поручителем по такому договору;

  • кандидат на замещение вакантной должности – физическое лицо, претендующее на вакантную должность в Учреждении, персональные данные которого приняты Учреждением;
  • обучающийся на рабочем месте – медицинский работник сторонней организации, направленный в Учреждение для прохождения краткосрочного тематического повышения квалификации;
  • обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования, включающая в себя: сбор;  запись;  систематизацию;  накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передачу (распространение, предоставление, доступ); обезличивание; блокирование;  удаление; уничтожение;
  • информационные системы персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
  • автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
  • распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
  • предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
  • блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
  • уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
  • обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
  • трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
  • конфиденциальность персональных данных – обязанность оператора и лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
  • защита персональных данных – деятельность оператора, направленная на предотвращение утечки защищаемых персональных данных, несанкционированных и непреднамеренных воздействий на защищаемые персональные данные;
  • специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;
  • биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность, и которые используются оператором для установления личности субъекта персональных данных.

 

 

  1. ЦЕЛИ И ПРИНЦИПЫ ОБРАБОТКИ

ПЕРСОНАЛЬНЫХ ДАННЫХ

 

3.1. Обработка Учреждением персональных данных субъектов персональных данных осуществляется на основе следующих принципов:

— законности и справедливой основы;

— обеспечения надлежащей защиты персональных данных;

— ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;

— недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;

— недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

— обработки только тех персональных данных, которые отвечают целям их обработки;

 — соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;

— недопущения обработки персональных данных, избыточных по отношению к заявленным целям их обработки;

— обеспечения точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;

         — уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений персональных данных, если иное не предусмотрено федеральным законом;

         — хранения персональных данных в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

 

         3.2. Целями обработки персональных в зависимости от категории субъектов персональных данных являются:

  • осуществление деятельности в соответствии с Уставом Учреждения;
  • выполнение требований трудового законодательства, в том числе ведение кадрового делопроизводства;
  • содействие работникам, в том числе работникам сторонней организации, в получении дополнительного образования (повышении квалификации, профессиональной переподготовки);
  • предоставление социальных льгот и гарантий отдельным категориям работников;
  • ведение бухгалтерского учета;
  • предоставление сведений в Департамент здравоохранения города Москвы, военные комиссариаты, в Пенсионный фонд РФ, в кредитную организацию, в Федеральную налоговую службу, Федеральную службу по надзору в сфере образования и науки, ГУП «Московский социальный регистр», иные органы и организации в соответствии с требованием действующего законодательства РФ;
  • проведение медицинских осмотров и обследований;
  • предоставление органам исполнительной власти и иным уполномоченным организациям требуемых форм отчетности;
  • обучение по образовательным программам высшего образования – программам ординатуры по специальности 31.08.58 «Оториноларингология»;
  • обучение по образовательным программам высшего образования – программам подготовки научно-педагогических кадров в аспирантуре по специальности 14.01.03 – болезни уха, горла и носа;
  • оказание гражданам медицинской помощи (амбулаторно и стационарно) как в рамках программы государственных гарантий бесплатного оказания гражданам медицинской помощи и территориальных программ государственных гарантий бесплатного оказания гражданам медицинской помощи, так и на платной основе;
  • ведение медицинской документации в установленном порядке, обеспечение учета и хранения медицинской документации, в том числе бланков строгой отчетности, а также представление отчетов по видам, формам, в сроки и в объеме, которые установлены уполномоченным федеральным органом исполнительной власти, в том числе в обезличенном виде;
  • внесение данных в информационные системы, имеющих статус государственных автоматизированных информационных систем, сведений о пациентах, об оказываемой им медицинской помощи с соблюдением требований, установленных законодательством РФ;
  • осуществление научной и (или) научно-исследовательской деятельности, в том числе проведение фундаментальных и прикладных научных исследований;
  • информирование граждан в доступной форме, в том числе с использованием сети «Интернет», о медицинских работниках Учреждения, об уровне их образования и квалификации, а также предоставлять иную определяемую уполномоченным федеральным органом исполнительной власти необходимую для проведения независимой оценки качества условий оказания услуг медицинскими организациями информацию;
  • привлечение и отбор кандидатов на соискание вакантных должностей, а также трудоустройство кандидатов с соответствующей специальностью и квалификацией.

 

  1. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ

ПЕРСОНАЛЬНЫХ ДАННЫХ

 

         4.1. Обработка персональных данных в Учреждении производится на основании следующих нормативных правовых актов:

  • Конституции Российской Федерации;
  • Трудового кодекса РФ;
  • Налогового кодекса РФ;
  • Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах здоровья граждан в Российской Федерации»;
  • Федерального закона от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
  • Приказа Минздравсоцразвития России от 28.02.2011 № 158н «Об утверждении Правил обязательного медицинского страхования»;
  • Указа Президента Российской Федерации от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера»;
  • Федерального закона «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ;
  • Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации. Утверждено постановлением Правительства Российской Федерации от 15.09.2008 № 687;
  • Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • Приказа Федеральной службы по техническому и экспортному контролю России от 18.03.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • Приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – «Роскомнадзор») от 05.09 2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
  • Информационного сообщения Федеральной службы по техническому и экспортному контролю от 06.06.2018 № 240/13/2549 «О некоторых вопросах по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • Федерального закона «О воинской обязанности и военной службе» от 28.03.1998 № 53-ФЗ;
  • Федерального закона от 22.10.2004 № 125-ФЗ «Об архивном деле в РФ»;
  • Письмо Министерства здравоохранения Российской Федерации от 07.12.2015 № 13-2/1538 «О сроках хранения медицинской документации»;
  • Уставом ГБУЗ НИКИО им. Л.И. Свержевского ДЗМ;
  • Положением об обработке персональных данных работников ГБУЗ НИКИО им. Л.И. Свержевского ДЗМ;
  • договоров, заключаемых между Учреждением и субъектом персональных данных.

 

 

  1. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ

ПЕРСОНАЛЬНЫХ ДАННЫХ

 

         5.1. Учреждение в зависимости от категории субъектов обрабатывает следующие персональные данные:

         5.1.1. Работников:

         фамилия, имя, отчество; дата рождения; место рождения; пол; анкетные и биографические сведения; сведения о гражданстве; сведения о месте регистрации, месте фактического проживания, о домашнем/мобильном телефоне и e-mail; паспортные данные; сведения об основаниях изменения фамилии, имени или отчества; и номер страхового свидетельства государственного пенсионного страхования; идентификационный номер налогоплательщика; сведения об образовании, повышении квалификации, профессиональной переподготовке; сведения об ученой степени, ученом звании, статусе «Московский врач»; данные сертификата / аккредитации специалиста; сведения о прохождении конкурса, аттестации; сведения о наличии льгот и гарантий, предоставляемых в соответствии с действующим законодательством; сведения о воинском учете; результаты медицинского обследования для допуска к профессиональной деятельности, рекомендации, характеристики; данные банковского счета/банковской карты; фотографическое изображение, сведения об отсутствии судимости; сведения о месте работы, должности, графике работы и графике отпусков (для работников – внешних совместителей).

         5.1.2. Родственников работников предоставляются и обрабатываются в объеме, необходимом для выполнения Учреждением обязанностей по соблюдению трудового законодательства либо в случаях, установленных законодательством Российской Федерации (получение алиментов, оформление социальных выплат): сведения о рождении ребенка (детей), данные медико-социальной экспертизы и др.

         5.1.3. Работников, прекративших трудовые отношения с Оператором, содержащиеся в личном деле, обрабатываются для предоставления отчетов, предоставления сведений в ПФР.

         5.1.4. Ординаторов, аспирантов:

         фамилия, имя, отчество; дата рождения; место рождения; пол; анкетные и биографические сведения; сведения о гражданстве; сведения о месте регистрации, месте фактического проживания, о домашнем/мобильном телефоне и e-mail; данные документа, удостоверяющего личность; сведения об основаниях изменения фамилии, имени или отчества; номер страхового свидетельства государственного пенсионного страхования; данные банковского счета/банковской карты (для получающих стипендию); сведения об образовании, повышении квалификации, профессиональной переподготовке; сведения о наличии льгот и гарантий, предоставляемых в соответствии с действующим законодательством; сведения о воинском учете; результаты медицинского обследования для допуска к образовательной и медицинской деятельности, рекомендации, характеристики; фотографическое изображение.

         5.1.4. Обучающихся на рабочем месте:

         фамилия, имя, отчество; дата рождения; место рождения; пол; сведения о гражданстве; сведения о месте регистрации, месте фактического проживания, о домашнем/мобильном телефоне и e-mail; данные документа, удостоверяющего личность; сведения об основаниях изменения фамилии, имени или отчества; сведения об образовании, повышении квалификации, профессиональной переподготовке, рекомендации, характеристики.

 

         5.1.5. Соискателей:

         фамилия, имя, отчество; дата рождения; место рождения; пол; анкетные и биографические сведения; сведения о гражданстве; сведения о месте регистрации, месте фактического проживания, о домашнем/мобильном телефоне и e-mail; данные документа, удостоверяющего личность; сведения об основаниях изменения фамилии, имени или отчества; сведения об образовании, повышении квалификации, профессиональной переподготовки, аттестации; сведения об ученой степени, ученом звании, статусе; результаты медицинского обследования для допуска к медицинской деятельности, рекомендации, характеристики; фотографическое изображение.

 

         5.1.6. Пациентов:

      фамилия, имя, отчество, пол, дата рождения, данные документа, удостоверяющего личность, сведения о гражданстве сведения о состоянии здоровья, данные полиса обязательного медицинского страхования, страховой номер индивидуального лицевого счета, номер контактного телефона, адрес места жительства/места пребывания.

         5.1.7. Представителей пациентов:

      фамилия, имя, отчество, гражданство, данные документа, удостоверяющего личность; реквизиты доверенности или иного документа, подтверждающего полномочия представителя.

         5.1.8. Контрагентов Оператора:

         фамилия, имя, отчество; дата рождения; место рождения; сведения о гражданстве; сведения о месте регистрации, о домашнем/мобильном телефоне и e-mail; паспортные данные; номер страхового свидетельства государственного пенсионного страхования; идентификационный номер налогоплательщика; данные банковского счета/банковской карты; сведения об образовании, повышении квалификации, профессиональной переподготовке; сведения об ученой степени, ученом звании, статусе; рекомендации, характеристики.

         5.1.9. Кандидатов на соискание вакантных должностей:

         фамилия, имя, отчество; дата рождения; место рождения; пол; анкетные и биографические сведения; сведения о гражданстве; сведения о месте регистрации, месте фактического проживания, о домашнем/мобильном телефоне и e-mail; паспортные данные; сведения об основаниях изменения фамилии, имени или отчества; номер страхового свидетельства государственного пенсионного страхования; идентификационный номер налогоплательщика; сведения об образовании, повышении квалификации, профессиональной переподготовке, аттестации; сведения об ученой степени, ученом звании, статусе; сведения о наличии льгот и гарантий, предоставляемых в соответствии с действующим законодательством; сведения о воинском учете; результаты медицинского обследования для допуска к медицинской деятельности, рекомендации, характеристики.

 

         5.2. Учреждение обрабатывает специальные категории персональных данных – сведения о состоянии здоровья:

  • работников – для допуска к работе в медицинской организации, а также для предоставления установленных законодательством льгот;
  • родственников работников – для предоставления работникам установленных законодательством социальных льгот;
  • ординаторов, аспирантов, соискателей, контрагентов – для допуска к образовательной и медицинской деятельности;
  • пациентов – для оказания медицинских услуг;
  • кандидатов на замещение вакантных должностей – для принятия решения о приеме на работу.

 

         5.3. Оператор не обрабатывает персональные данные субъектов персональных данных касающихся его расовой, национальной принадлежности, политических, религиозных, философских убеждений, а также интимной жизни.

 

         5.4. Оператор обрабатывает биометрические категории персональных данных:

  • работников – фотографическое изображение для размещения в личном деле, оформления пропуска на рабочее место, а также для информирования граждан о медицинских работниках Учреждения на сайте и на информационных стендах Оператора; собственноручная подпись работника; данные медицинских исследований (рентгенограммы, данные КТ) для допуска к работе;
  • ординаторов и аспирантов – фотографическое изображение для размещения в личном деле, для оформления удостоверения ординатора / аспиранта;
  • соискателей, обучающихся на рабочем месте, контрагентов – фотографическое изображение для оформления пропуска в помещения Оператора (при необходимости);
  • пациентов – данные медицинских исследований (рентгенограммы, данные КТ, МРТ).

 

  1. ПОРЯДОК, УСЛОВИЯ ОБРАБОТКИ И ХРАНЕНИЯ

ПЕРСОНАЛЬНЫХ ДАННЫХ

 

         6.1. Учреждение осуществляет как автоматизированную обработку персональных, так и без использования средств автоматизации.

         6.2. Приказом Директора назначается лицо, ответственное за организацию обработки персональных данных. Ответственный за организацию обработки персональных данных получает указания непосредственно от Директора и подотчетно ему. 

Ответственный за организацию обработки персональных данных обязан:

  • осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства РФ о персональных данных, в том числе требований к защите персональных данных;
  • доводить до сведения работников Оператора положения законодательства РФ о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
  • организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.

         Ответственный за организацию обработки персональных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

        6.2.1. Приказом Директора назначается лицо, ответственное за информационную безопасность. Ответственный за информационную безопасность является Работником Оператора подчиняется непосредственно Директору. Ответственный за информационную безопасность принимает меры по ее защите, которая представляет собой принятие правовых, организационных и технических мер, направленных на обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации; соблюдение конфиденциальности информации ограниченного доступа; реализацию права на доступ к информации.

Оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязан обеспечить:

  • предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
  • своевременное обнаружение фактов несанкционированного доступа к информации;
  • предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
  • недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
  • возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
  • постоянный контроль за обеспечением уровня защищенности информации;
  • нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.

         6.3. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.

         6.4. Работники Оператора допускаются к обработке персональных данных в том объеме, в котором это необходимо для выполнения должностных обязанностей. Работники Оператора допускаются к обработке персональных данных после ознакомления с законодательными актами, с локальными нормативными актами Оператора, а также после подписания работником Обязательства о неразглашении персональных данных субъектов персональных данных. К обработке персональных данных пациентов допускаются ординаторы и аспиранты, соискатели, обучающиеся на рабочем месте, ознакомленные с законодательными актами, с локальными нормативными актами Оператора и подписавшие Обязательство о неразглашении персональных данных субъектов персональных данных.

         6.5. Источником информации обо всех персональных данных является непосредственно субъект персональных данных или его представитель после получения его письменного согласия на обработку персональных данных. Если персональные данные возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом и от него должно быть получено подтверждение согласия в письменном виде. Оператор должен сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных.

         6.6. Оператор освобождается от обязанности уведомить субъекта персональных данных о запросе его данных у третьей стороны, получить от него согласие и предоставить субъекту персональных данных указанные выше сведения в случаях, если:

  • субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим Оператором;
  • персональные данные получены Оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
  • персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
  • Оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления научной деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
  • предоставление субъекту персональных данных указанных выше сведений нарушает права и законные интересы третьих лиц.

         6.7. Запрещается передавать персональные данные субъекта персональных данных третьей стороне без письменного согласия субъекта за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в случаях, установленных законодательством РФ. Передача персональных данных органам дознания и следствия, в Федеральную налоговую службу, Пенсионный фонд Российской Федерации, Фонд социального страхования и другим уполномоченным органам исполнительной власти и организациям осуществляется в соответствии с требованиями законодательства Российской Федерации.

         6.8. Персональные данные субъекта могут быть предоставлены родственникам субъекта только с письменного разрешения самого субъекта.

         6.9. Оператор не осуществляет трансграничную передачу персональных данных.

         6.10. Персональные данные хранятся в помещениях Оператора, фактически расположенных в пределах охраняемой территории Учреждения.         Персональные данные субъектов хранятся в бумажном и в электронном виде. В электронном виде персональные данные обрабатываются в государственных информационных системах ЕМИАС и СКУУ ЕМИАС, а также в файловых системах на сервере Оператора, с распределением доступа работников в зависимости от целей обработки персональных данных и категорий субъектов персональных данных.

         При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных субъектов персональных данных с использованием баз данных, находящихся на территории Российской Федерации.

         Все компьютеры работников, осуществляющих обработку персональных данных, защищены паролем. Для работы в государственных информационных системах Оператор получает на каждого работника, обрабатывающего персональные данные, индивидуальный логин и пароль в Департаменте информационных технологий города Москвы.

         Места хранения персональных данных на бумажных носителях каждой категории субъектов персональных данных определяются Оператором, учитывающим следующее:

  • хранение персональных данных осуществляется в специальных помещениях, которые закрываются на ключ и опечатываются;
  • нахождение в данных помещениях посторонних лиц возможен только в присутствии работника, осуществляющего обработку персональных данных;
  • раздельное хранение персональных данных, обрабатываемых в различных целях.

         В отделе кадров хранятся персональные данные работников (их родственников), ординаторов, аспирантов, соискателей, обучающихся на рабочем месте и кандидатов на замещение вакантных должностей раздельно по каждой категории субъектов персональных данных в алфавитном порядке. Личные дела и сведения воинского учета хранятся в железных запирающихся шкафах, трудовые книжки – в сейфе. Ключи от шкафов и сейфов находятся у начальника отдела кадров.

         Персональные данные работников хранятся Оператором в течение всего периода работы, а после увольнения – в архиве Оператора в течение пяти лет до передачи в государственный архив.

         Персональные данные кандидатов на соискание вакантных должностей обрабатываются в течение периода принятия Оператором решения о приеме либо отказе в приеме на работу. В случае отказа в приеме на работу сведения, предоставленные кандидатами на соискание вакантных должностей, уничтожаются в течение 30 дней.

         6.11. Персональные данные работников, ординаторов, аспирантов контрагентов обрабатываются бухгалтерией Оператора в объеме и в сроки, необходимые для начисления заработной платы, удержания налогов, начислении стипендии, составления отчетов и других действий, предусмотренных законодательством РФ.

         6.12. Персональные данные пациентов хранятся в регистратурах и картохранилищах Оператора в течение установленных законодательством сроков.

         6.13. Места хранения персональных данных указаны в Перечне мест хранения персональных данных, обрабатываемых в ГБУЗ НИКИО им. Л.И. Свержевского ДЗМ, утвержденным приказом Директора.

         6.14. При хранении персональных данных в информационных системах (в т.ч. в государственных автоматизированных информационных системах) Учреждение принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:

  • определяет угрозы безопасности персональных данных при их обработке;
  • принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
  • назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
  • создает необходимые условия для работы с персональными данными;
  • организует учет документов, содержащих персональные данные;
  • организует работу с информационными системами, в которых обрабатываются персональные данные;
  • хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
  • организует обучение работников Оператора, осуществляющих обработку персональных данных.

         6.15. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

 

  1. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ,

ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ

НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

 

         7.1. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения предоставляются Оператором субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя.

         Запрос должен содержать:

  • номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
  • сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
  • подпись субъекта персональных данных или его представителя.

         Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

         Если в обращении (запросе) субъекта персональных данных не отражены все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

         7.2. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено, если:

7.2.1. обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

7.2.2. обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

7.2.3. обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

7.2.4. доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

7.2.5. обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

7.3. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

         7.4. В случае выявления факта, что персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

         В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

         7.5. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.

         7.6. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

  • иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
  • Оператор не вправе осуществлять обработку без согласия субъекта персональных данных;
  • иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.

         В случае отзыва субъектом персональных данных или его представителем согласия на обработку персональных данных ГБУЗ НИКИО им. Л.И.Свержевского ДЗМ вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».   7.7. За уничтожение сведений, автоматизированным способом переданных Оператором в соответствии с требованиями действующего законодательства, нормативно-правовых актов вышестоящих инстанций (ЕМИАС, ЕРИС и т.д.) отвечают организации, которым данные информационные системы принадлежат.