Политика обработки персональных данных

1. Общие положения

2. Основные понятия и определения

3. Принципы, условия и порядок обработки персональных данных

4. Условия и порядок обработки персональных данных субъектов в связи с предоставлением услуг и исполнением служебных функций

5. Порядок обработки персональных данных субъектов персональных данных в информационных системах

6. Обработка персональных данных в рамках межведомственного информационного взаимодействия с применением единой системы межведомственного электронного взаимодействия

7. Сроки обработки и хранения персональных данных

8. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований

9. Рассмотрение запросов субъектов персональных данных или их представителей

10. Лицо, ответственное за организацию обработки персональных данных


1. Общие положения

1.1. Политика обработки персональных данных в Автономной некоммерческой организации «Тюменский институт мануальной медицины» (далее - Политика) определяет цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных в Автономной некоммерческой организации «Тюменский институт мануальной медицины» (далее – Организация).

1.2. Настоящая Политика определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и состав обрабатываемых в Организации персональных данных, действия и операции, совершаемые с персональными данными, права субъектов персональных данных, а также содержит сведения о реализуемых в Организации требованиях к защите персональных данных.

1.3. Настоящая Политика разработана в соответствии с Трудовым кодексом Российской Федерации (далее - Трудовой кодекс Российской Федерации), Кодексом Российской Федерации об административных правонарушениях, Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных"), Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 25 декабря 2008 г. N 273-ФЗ "О противодействии коррупции" (далее - Федеральный закон "О противодействии коррупции"), Федеральным   законом от 2 мая  2006 г.  N 59- ФЗ    "О порядке рассмотрения обращений граждан Российской Федерации" (далее - Федеральный закон "О порядке рассмотрения обращений граждан Российской Федерации"), Федеральным законом от 7 июля 2003 г. N 126-ФЗ "О связи", Законом Российской Федерации от 27 декабря 1991 г. N 2124-1 "О средствах массовой информации" (далее - Закон Российской Федерации "О средствах массовой информации", постановлением Правительства Российской Федерации от 16 марта 2009 г. N 228 "О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций", постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", постановлением Правительства Российской Федерации от 6 июля 2008 г. N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных", постановлением Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", постановлением Правительства Российской Федерации от 14 ноября 2015 г. N 1235 "О федеральной государственной информационной системе координации информатизации", распоряжением Правительства Российской Федерации от 6 октября 2011 г. N 1752-р "Об утверждении перечня документов, прилагаемых заявителем к заявлению о регистрации (перерегистрации) средства массовой информации", Федеральным законом N 323 «Об основах охраны здоровья граждан в РФ», Указом Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера», приказом Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных».

1.4. Политика принята с целью защиты прав и свобод человека и гражданина при обработке персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.5. Локальные нормативные акты и иные документы, регламентирующие обработку персональных данных в Организации, в том числе при их обработке в информационных системах, содержащих персональные данные, разрабатываются в Организации с учетом положений Политики.

1.6. Обработка персональных данных АНО «ТИММ» осуществляется с соблюдением принципов и условий, предусмотренных настоящей Политикой законодательством Российской Федерации в области персональных данных.

2. Основные понятия и определения

2.1. Под персональными данными работника, пациента и иных лиц понимается любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, а также сведения о фактах, событиях и обстоятельствах жизни работника, пациента и иного лица), позволяющая идентифицировать его личность.

2.2. Под субъектом персональных данных в части данной Политики понимается физическое лицо – это работник и пациент, а также иное лицо, с кем Организация имеет договорные отношения по деятельности, определенной Уставом Организации.

2.3. Оператор – юридическое или физическое лицо, организующие и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных. В рамках настоящей Политики Оператором по обработке, хранению, передаче, защите персональных данных работников, слушателей и иных лиц выступает Организация.

2.4. Под обработкой персональных данных следует понимать сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных.

2.5. Конфиденциальность персональных данных – это обязательное для соблюдения ответственным лицом, получившим доступ к персональным данным работника, слушателя и иного лица Организации, требование не допускать их распространение без согласия работника, слушателя и иного лица или наличия иного законного основания.

2.6. Под распространением персональных данных следует понимать действия, направленные на передачу персональных данных работника, пациента и иного лица определенному кругу лиц или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных работника, пациента и иного лица в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным работника, пациента и иного лица каким-либо иным способом.

2.7. Использование персональных данных – это действия (операции) с персональными данными, совершаемые специалистами Организации в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении работника, пациента и иного лица либо иным образом затрагивающих их права и свободы или права и свободы других лиц.

2.8. Под блокированием персональных данных принято понимать временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных работника, пациента и иного лица Организации, в том числе их передачи.

2.9. Под уничтожением персональных данных следует понимать действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных работника, пациента и иного лица Организации или в результате которых уничтожаются материальные носители персональных данных работника, пациента и иного лица.

2.10. Обезличивание персональных данных – это действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту.

2.11. Общедоступные персональные данные – это персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия работника, пациента и иного лица или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

2.12. Автоматизированная обработка данных – обработка с помощью средств вычислительной техники.

3. Принципы, условия и порядок обработки персональных данных

3.1. Условия и порядок обработки персональных данных

3.1.1. Сотрудников Организации (далее - сотрудников), граждан, претендующих на замещение должностей в Организации, а также лиц, состоящих с ними в родстве (свойстве) обрабатываются в целях обеспечения кадровой работы, в том числе в целях содействия сотрудникам в выполнении своих трудовых обязанностей, обучения и должностного роста, учета результатов исполнения сотрудниками обязанностей, обеспечения личной безопасности сотрудников, обеспечения сотрудников установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, сохранности принадлежащего им имущества;

3.1.2. Пациентов Организации при оказании консультативных, диагностических, лечебных и иных услуг, согласно Уставу Организации.

3.2. В целях, указанных в пункте 2.1.1. настоящей Политики, обрабатываются следующие категории персональных данных сотрудников Организации граждан, претендующих на замещение должностей в Организации, а также лиц, состоящих с ними в родстве:

3.2.1. Фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);

3.2.2. Число, месяц, год рождения;

3.2.3. Место рождения;

3.2.4. Информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);

3.2.5. Вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;

3.2.6. Адрес места жительства (адрес регистрации, фактического проживания);

3.2.7. Номер контактного телефона или сведения о других способах связи;

3.2.8. Реквизиты страхового свидетельства государственного пенсионного страхования;

3.2.9. Идентификационный номер налогоплательщика;

3.2.10. Реквизиты страхового медицинского полиса обязательного медицинского страхования;

3.2.11. Реквизиты свидетельства государственной регистрации актов гражданского состояния;

3.2.12. Семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);

3.2.13. Сведения о трудовой деятельности;

3.2.14. Сведения о воинском учете и реквизиты документов воинского учета;

3.2.15. Сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);

3.2.16. Сведения об ученой степени;

3.2.17. Информация о владении иностранными языками, степень владения;

3.2.18. Медицинское заключение по установленной форме об отсутствии у гражданина заболевания, препятствующего работе в Организации;

3.2.19. Фотография;

3.2.20. Анкетные и биографические данные;

3.2.21. Информация, содержащаяся в трудовом договоре, дополнительных соглашениях к трудовому договору;

3.2.22. Информация о наличии или отсутствии судимости;

3.2.23. Сведения о профессиональной переподготовке и (или) повышении квалификации;

3.2.24. Информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;

3.2.25. Сведения о составе декларируемых сведений о наличии материальных ценностей;

3.2.26. Содержание декларации, подаваемой в налоговую инспекцию;

3.2.27. Сведения о заработной плате сотрудника;

3.2.28. Номер расчетного счета;

3.2.30. Номер банковской карты;

3.2.31. Иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 2.1 настоящей Политики.

3.3. В целях, указанных в пункте 2.1.2. настоящей Политики, обрабатываются следующие категории персональных данных пациентов Организации:

3.3.1. Фамилия, имя, отчество;

3.3.2. Дата рождения;

3.3.3. Адрес проживания;

3.3.4. Дата и время обращения;

3.3.5. Контактный номер телефона или сведения об иных способах связи;

3.3.6. Результаты обследования;

3.3.7. Диагноз;

3.3.8. Лечебные мероприятия;

3.3.9. Рекомендации лечащего врача;

3.4. Обработка персональных данных и биометрических персональных данных сотрудников, граждан, претендующих на замещение должностей в Организации, пациентов Организации осуществляется без согласия указанных лиц в рамках целей, определенных пунктом 2.1 настоящей Политики, в соответствии с пунктом 2 части 1 статьи 6 и частью 2 статьи 11 Федерального закона "О персональных данных", Трудовым кодексом Российской Федерации, Федеральным законом Федеральным законом №323 «Об основах охраны здоровья граждан в РФ».

3.5. Обработка специальных категорий персональных данных сотрудников Организации, граждан, претендующих на замещение должностей в Организации, пациентов Организации осуществляется без согласия указанных лиц в рамках целей, определенных пунктом 2.2 настоящей Политики, в соответствии с подпунктом 2.3 пункта 2 части 2 статьи 10 Федерального закона "О персональных данных" и положениями Трудового кодекса Российской Федерации, за исключением случаев получения персональных данных работника у третьей стороны.

3.6. Обработка персональных данных сотрудников, граждан, претендующих на замещение в Организации, пациентов Организации осуществляется при условии получения согласия указанных лиц в следующих случаях:

3.6.1. При передаче (распространении, предоставлении) персональных данных третьим лицам в случаях, не предусмотренных действующим законодательством Российской Федерации;

3.6.2. Трансграничной передаче персональных данных;

3.6.3. Принятии решений, порождающих юридические последствия в отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.

3.7. В случаях, предусмотренных пунктом 3.7 настоящей Политики, согласие субъекта персональных данных оформляется в письменной форме, если иное не установлено Федеральным законом "О персональных данных".

3.8. Обработка персональных данных

3.8.1. Сотрудников, граждан, претендующих на замещение должностей в Организации, осуществляется административно-управленческим персоналом и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

3.8.2. Пациентов Организации осуществляется административно-управленческим персоналом, лечащим врачом: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

3.9. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных сотрудников, граждан, претендующих на замещение должностей в Организации, пациентов Организации осуществляется путем:

3.9.1. Получения оригиналов необходимых документов (заявление, трудовая книжка, автобиография, иные документы, предоставляемые административно-управленческому персоналу);

3.9.2. Копирования оригиналов документов;

3.9.3. Внесения сведений в учетные формы (на бумажных и электронных носителях);

3.9.4. Формирования персональных данных в ходе кадровой, консультативной, диагностической, лечебной работы и иной деятельностью, предусмотренной Уставом Организации;

3.9.5. Внесения персональных данных в информационные системы Организации, административно-управленческим персоналом, лечащим врачом;

3.10. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от сотрудников, граждан, претендующих на замещение должностей в Организации, пациентов Организации или их законных представителей.

3.11. В случае возникновения необходимости получения персональных данных сотрудника у третьей стороны следует известить об этом сотрудника заранее, получить его письменное согласие и сообщить им о целях, предполагаемых источниках и способах получения персональных данных.

3.12. Запрещается получать, обрабатывать и приобщать к личному делу сотрудника персональные данные, не предусмотренные пунктом 3.2 настоящей Политики, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.

3.13. При сборе персональных данных сотрудник, осуществляющий сбор (получение) персональных данных непосредственно от сотрудников, граждан, претендующих на замещение должностей в Организации, пациентов Организации или их законных представителей обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные.

3.14. Передача (распространение, предоставление) и использование персональных данных сотрудников, граждан, претендующих на замещение должностей в Организации, а также их супруги (супруга) и несовершеннолетних детей, пациентов Организации осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.

4. Условия и порядок обработки персональных данных субъектов в связи с предоставлением услуг и исполнением служебных функций

4.1. Управление обработкой персональных данных физических лиц осуществляется в целях предоставления услуг и исполнения рабочих функций:

4.1.1. Выполнение консультативных, диагностических и лечебных функций;

4.1.2. Регистрация средств массовой информации (сайт Организации, социальные сети);

4.1.3. Осуществление деятельности по защите прав субъектов персональных данных;

4.1.4. Сбор, обработка статистической информации;

4.1.5. Предоставления информации третьим лицам осуществляется только в сфере их компетенции:

4.1.5.1. Налоговые инспекции;

4.1.5.2. Правоохранительные органы;

4.1.5.3. Органы статистики;

4.1.5.4. Страховые агентства;

4.1.5.5. Военкоматы;

4.1.5.6. Органы социального страхования ( в том числе ФСС);

4.1.5.7. Пенсионные фонды ( в том числе НПФы);

4.1.5.8. Подразделения муниципальных органов управления;

4.1.5.9. Коммерческие банки;

4.1.5.10. Управления Ростехнадзора;

4.1.5.11. Министерства, ведомства и надзорные органы (Роспотребнадзор, Роскомнадзор, Министерство здравоохранения, Министерство образования, Росздравнадзор).

4.2. Персональные данные граждан, обратившихся в Организацию лично или через сайт Организации, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, обрабатываются в целях рассмотрения указанных обращений с последующим уведомлением заявителей о результатах рассмотрения.

4.3. В рамках рассмотрения обращений граждан через сайт Организации подлежат обработке следующие персональные данные заявителей:

4.3.1. Фамилия, имя, отчество (последнее при наличии);

4.3.2. Почтовый адрес;

4.3.3. Адрес электронной почты;

4.3.4. Указанный в обращении контактный телефон;

4.3.5. Иные персональные данные, указанные заявителем в обращении (жалобе) или содержащиеся в приложенных к обращению документах или копиях документов, а также ставшие известными в ходе личного приема или в процессе рассмотрения поступившего обращения.

4.4. При оказании консультативных, диагностических, лечебных и прочих услуг осуществляется обработка следующих персональных данных пациентов (клиентов):

4.4.1. Фамилия, имя, отчество (последнее при наличии);

4.4.2. Дата рождения;

4.4.3. Адрес места жительства (адрес постоянной регистрации, адрес временной регистрации, адрес фактического места жительства);

4.4.4. Номер контактного телефона или сведения о других способах связи.

4.4.5. Вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;

4.4.6. Место работы, должность;

4.4.7. Индивидуальный налоговый номер;

4.4.8. Страховой номер ПФР;

4.4.9. Диагноз;

4.4.10. Манипуляции при диагностике и лечении;

4.4.11. Сроки посещения Организации.

4.4.12. Данные лабораторных, инструментальных, диагностических исследований.

4.5. Обработка персональных данных, необходимых в связи с предоставлением медицинских, и исполнением функций, указанных в пункте 3.1 настоящей Политики, Законом Российской Федерации "О средствах массовой информации" и иными нормативными правовыми актами, определяющими предоставление услуг и исполнение функций в установленной сфере ведения Организации.

4.6. Обработка персональных данных, необходимых в связи с предоставлением услуг и исполнением функций, указанных в пункте 3.1 настоящей Политики, осуществляется структурными подразделениями Организации, предоставляющими соответствующие услуги и (или) исполняющими функции, и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

4.7. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов, обратившихся в Организацию для получения услуги или в целях исполнения функции, осуществляется путем:

4.7.1. Получения оригиналов необходимых документов (заявление);

4.7.2. Заверения копий документов;

4.7.3. Внесения сведений в учетные формы (на бумажных и электронных носителях);

4.7.4. Внесения персональных данных в прикладные программные системы информационной системы Организации.

4.8. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от субъектов персональных данных (заявителей).

4.9. При предоставлении услуги или исполнении функции Организации запрещается запрашивать у субъектов персональных данных и третьих лиц, а также обрабатывать персональные данные в случаях, не предусмотренных законодательством Российской Федерации.

4.10. При сборе персональных данных уполномоченное должностное лицо структурного подразделения Организации, осуществляющее получение персональных данных непосредственно от субъектов персональных данных, или их законных представителей, обратившихся за предоставлением услуги, обязано разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить персональные данные.

4.11. Передача (распространение, предоставление) и использование персональных данных заявителей (субъектов персональных данных) Организации осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.

5. Порядок обработки персональных данных субъектов персональных данных в информационных системах 1С:Предприятие:

5.1. Обработка персональных данных  Организации осуществляется:

5.1.1. В прикладных программных подсистемах в ее составе, включающих:

5.1.1.1. Персональный идентификатор;

5.1.1.2. Фамилию, имя, отчество субъекта персональных данных;

5.1.1.3. Вид документа, удостоверяющего личность субъекта персональных данных;

5.1.1.4. Серию и номер документа, удостоверяющего личность субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе;

5.1.1.5. Адрес места жительства субъекта персональных данных;

5.1.1.6. Почтовый адрес субъекта персональных данных;

5.1.1.7. Контактный телефон, факс (при наличии) субъекта персональных данных;

5.1.1.8. Адрес электронной почты субъекта персональных данных;

5.1.1.9. ИНН субъекта персональных данных.

5.1.2. В информационной системе персональных данных «1С:Предприятие», включающих.

5.1.2.1. Фамилия, имя, отчество субъекта персональных данных;

5.1.2.2. Число, месяц, год рождения;

5.1.2.3. Пол субъекта персональных данных;

5.1.2.4. Место рождения субъекта персональных данных;

5.1.2.5. Информация о гражданстве;

5.1.2.6. Вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;

5.1.2.7. Адрес места жительства (адрес регистрации, фактического проживания);

5.1.2.8. Номер контактного телефона или сведения о других способах связи;

5.1.2.9. Реквизиты страхового свидетельства государственного пенсионного страхования;

5.1.2.10. Идентификационный номер налогоплательщика;

5.1.2.11. Семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших);

5.1.2.12. Сведения о воинском учете и реквизиты документов воинского учета;

5.1.2.13. Сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);

5.1.2.14. Сведения об ученой степени;

5.1.2.15. Информация о владении иностранными языками, степень владения;

5.1.2.16. Фотография;

5.1.2.17. Сведения о прежнем месте работы;

5.1.2.18. Информация, содержащаяся в трудовом договоре, дополнительных соглашениях к трудовому договору;

5.1.2.19. Государственные награды, иные награды и знаки отличия;

5.1.2.20. Сведения о профессиональной переподготовке и (или) повышении квалификации;

5.1.2.21. Информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;

5.1.2.22. Номер расчетного счета;

5.1.2.23. Номер банковской карты.

5.2. Определение требуемых уровней защищенности персональных данных, обрабатываемых в информационной системе персональных данных 1С:Предприятие, и проведение ее классификации осуществляется в порядке, установленном законодательством Российской Федерации.

5.3. Сотрудникам структурных подразделений Организации, имеющим право осуществлять обработку персональных данных в прикладных системах Организации, предоставляется уникальный логин и пароль для доступа к соответствующей информационной системе. Доступ предоставляется к прикладным программным подсистемам в соответствии с функциями, предусмотренными должностными регламентами сотрудников Организации.

5.4. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных Организации, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:

5.4.1. Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных Организации;

5.4.2. Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Организации, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

5.4.3. Применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;

5.4.4. Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5.4.5. Учет машинных носителей персональных данных;

5.4.6. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

5.4.7. Восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;

5.4.8. Установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных Организации, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных Организации;

5.4.9. Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем персональных данных;

5.4.10. Наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;

5.4.11. Ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний;

5.4.12. Строгое избирательное и обоснованное распределение документов и информации между работниками;

5.4.13. Определение и регламентация состава работников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника;

5.4.14. Организация порядка уничтожения информации;

5.4.15. Не допускается выдача личных дел сотрудников на рабочие места руководителей. Личные дела могут выдаваться на рабочие места только директору, работникам отдела административно-управленческого звена и в исключительных случаях, по письменному разрешению директора, - руководителю структурного подразделения. (например, при подготовке материалов для аттестации работника);

5.4.16. Рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;

5.4.17. Знание работником требований нормативно – методических документов по защите информации и сохранении тайны;

5.4.18. Все папки, содержащие персональные данные сотрудника, должны быть защищены паролем, который сообщается сотруднику отдела кадров и сотрудникам, в чьи обязанности входит работа с персональными данными

5.4.19. Установлен порядок приема, учета и контроля деятельности посетителей;

5.4.20. Технические средства охраны, сигнализации;

5.4.21. Порядок охраны территории, зданий, помещений, транспортных средств;

5.5. Сотрудники Организации, ответственные за обеспечение информационной безопасности в Организации,  организуют и контролируют ведение учета материальных носителей персональных данных.

5.6. Сотрудники Организации, ответственные за обеспечение  безопасности персональных данных при их обработке в информационных системах персональных данных Организации, должны обеспечить:

5.6.1. Своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до  руководителя Организации;

5.6.2. Недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

5.6.3. Возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

5.6.4. Постоянный контроль за обеспечением уровня защищенности персональных данных;

5.6.5. Знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

5.6.6. Учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

5.6.7. При обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы персональных данных до выявления причин нарушений и устранения этих причин;

5.6.8. Разбирательство и составление заключений по фактам несоблюдения условий хранения материальных носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;

5.6.9. Воспитательная и разъяснительная работа с сотрудниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами.

5.7. Структурное подразделение Организации, ответственное  за обеспечение функционирования информационных систем персональных данных в Организации, принимает все необходимые меры по восстановлению персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним.

5.8. Обмен персональными данными при их обработке в прикладных системах персональных данных Организации  осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.

5.9. Доступ сотрудников Организации к персональным данным, находящимся в прикладных системах персональных данных Организации, предусматривает обязательное прохождение процедуры идентификации и аутентификации.

5.10. В случае выявления нарушений порядка обработки персональных данных в прикладных системах персональных данных Организации уполномоченными должностными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.

6. Обработка персональных данных в рамках межведомственного информационного взаимодействия с применением единой системы межведомственного электронного взаимодействия

6.1. Управление в соответствии с законодательством Российской Федерации осуществляет обработку персональных данных в рамках межведомственного электронного информационного взаимодействия в электронном виде с федеральными органами государственной власти с применением единой системы межведомственного электронного взаимодействия (далее - СМЭВ).

6.2. Управление в рамках СМЭВ вправе направить межведомственные запросы о предоставлении информации, включающей персональные данные субъектов, в следующие федеральные органы исполнительной власти:

6.2.1.  Федеральную налоговую службу - о предоставлении информации из Единого государственного реестра юридических лиц и Единого государственного реестра индивидуальных предпринимателей (сведения об учредителях - физических лицах);

6.2.2. Федеральную службу государственной регистрации, кадастра и картографии - о предоставлении информации из Единого государственного реестра прав на недвижимое имущество в отношении правообладателей (фамилия, имя, отчество, дата рождения, серия и номер основного документа, удостоверяющего личность, место рождения, адрес места жительства, гражданство);

6.2.3.  Министерство Российской Федерации по делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий стихийных бедствий - о предоставлении фамилии, имени, отчества судовладельца.

7. Сроки обработки и хранения персональных данных

При хранении документов, содержащих персональные данные работников, учитываются сроки хранения, установленные, в частности, в Перечне типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения (утв. Приказом Минкультуры России от 25.08.2010 N 558), и ст. 22.1 Федерального закона от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации" (далее - Закон N 125-ФЗ).

Сроки обработки и хранения персональных данных сотрудников, граждан, претендующих на замещение должностей в Организации, пациентов Организации определяются в соответствии с законодательством Российской Федерации. С учетом положений законодательства Российской Федерации  устанавливаются сроки обработки и хранения персональных данных сотрудников:

7.1.1. Персональные данные, содержащиеся в приказах по сотрудникам Организации (о приеме, о переводе, об увольнении, об установлении заработной платы), подлежат хранению в отделе кадров Организации в течение трех лет, с последующим формированием и передачей указанных документов в архив Организации или государственный архив в порядке, предусмотренном законодательством Российской Федерации, где хранятся 50 лет, т.к. законченные делопроизводством после 1 января 2003 года.

7.1.2. Персональные данные, содержащиеся в личных делах сотрудников, а также личных карточках сотрудников, хранятся в отделе кадров в течение десяти лет с последующим формированием и передачей указанных документов в архив Организации или государственный архив в порядке, предусмотренном законодательством Российской Федерации, где хранятся в течение 50 лет.

7.1.3. Персональные данные, содержащиеся в приказах о поощрениях, материальной помощи сотрудников, подлежат хранению в течение двух лет в отделе кадров с последующим формированием и передачей указанных документов в архив  Организации или государственный архив в порядке, предусмотренном законодательством Российской Федерации, где хранятся в течение 50 лет.

7.1.4. Персональные данные, содержащиеся в приказах о предоставлении отпусков, о краткосрочных внутрироссийских и зарубежных командировках, о дисциплинарных взысканиях государственных сотрудников подлежат хранению в отделе кадров в течение пяти лет с последующим уничтожением.

7.1.5. Персональные данные, содержащиеся в документах претендентов на замещение вакантной должности в Организации, не допущенных к участию в конкурсе, и кандидатов, участвовавших в конкурсе, хранятся в отделе кадров в течение трех лет со дня завершения конкурса, после чего подлежат уничтожению;

7.1.7. Персональные данные пациентов Организации хранятся 25 лет с момента последнего обращения.

7.2. Сроки обработки и хранения персональных данных, предоставляемых субъектами персональных данных в Организации в связи с получением услуг и исполнением функций, указанных в пункте 4.1 настоящей Политики, определяются нормативными правовыми актами, регламентирующими порядок их сбора и обработки.

7.3. Срок хранения персональных данных, внесенных в информационные системы персональных данных Организации, указанные в пункте 5.1 настоящей Политики, должен соответствовать сроку хранения бумажных оригиналов.

7.4. Персональные данные граждан, обратившихся в Организацию лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, хранятся в течение пяти лет.

7.5. Персональные данные, предоставляемые субъектами на бумажном носителе в связи с предоставлением Организацией услуг и исполнением функций, хранятся на бумажных носителях в структурных подразделениях Организации, к полномочиям которых относится обработка персональных данных в связи с предоставлением услуги или исполнением функции, в соответствии с утвержденными положениями о соответствующих структурных подразделениях Организации.

7.6. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

7.7. Необходимо обеспечивать раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных настоящей Политикой.

7.8. Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют руководители структурных подразделений  Организации.

7.9. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

7.10. Работа с персональными данными выполняется только в пределах контролируемой зоны, т.е. в пределах помещения Организации, в котором исключено неконтролируемое пребывание посторонних лиц. При работе с документированной информацией исполнитель должен иметь на рабочем столе только те документы, которые ему необходимы в данное время. При временном выходе из кабинета сотрудник должен убрать все документы с видного места. При выходе из кабинета всех сотрудников кабинет закрывается на замок.

7.11. Персональные данные на бумажном носителе хранятся в служебных помещениях Организации в запираемых шкафах либо в  сейфе. Ключи от замков шкафов и сейфов находятся у исполнителей. Выносить ключ за пределы служебного помещения не разрешается. При вскрытии сейфов должно присутствовать то лицо, которое отвечает за хранение документов. При его отсутствии сейф вскрывается комиссией с составлением акта.

8. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований

8.1. Структурным подразделением  Организации, ответственным за документооборот и архивирование, осуществляется систематический контроль и выделение документов, содержащих персональные данные, с истекшими сроками хранения, подлежащих уничтожению.

8.2. Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается на заседании комиссии Организации (далее – Комиссия), состав которой утверждается приказом Организации. По итогам заседания составляются протокол и акт о выделении к уничтожению документов, опись уничтожаемых дел, проверяется их комплектность, акт подписывается председателем и членами Комиссии и утверждается руководителем Организации.

8.3. Управлением в порядке, установленном законодательством Российской Федерации, определяется подрядная организация, имеющая необходимую производственную базу для обеспечения установленного порядка уничтожения документов. Должностное лицо Организации, ответственное за архивную деятельность, сопровождает документы, содержащие персональные данные, до производственной базы подрядчика и присутствует при процедуре уничтожения документов (сжигание или химическое уничтожение).

8.4. По окончании процедуры уничтожения подрядчиком и должностным лицом Организации, ответственным за архивную деятельность, составляется соответствующий акт об уничтожении документов, содержащих персональные данные.

8.5. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.

9. Рассмотрение запросов субъектов персональных данных или их представителей

9.1. Сотрудники, граждане, претендующие на замещение должностей в Организации и подавшие документы на участие в конкурсе, и лица, состоящие с ними в родстве (свойстве), а также граждане, персональные данные которых обрабатываются в Организации в связи с предоставлением услуг и осуществлением функций, имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:

9.1.1. Подтверждение факта обработки персональных данных в Организации;

9.1.2. Правовые основания и цели обработки персональных данных;

9.1.3. Цели и применяемые в Организации способы обработки персональных данных;

9.1.4. Наименование и место нахождения Организации, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Организацией или на основании федерального закона;

9.1.5. Обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

9.1.6. Сроки обработки персональных данных, в том числе сроки их хранения в Организации;

9.1.7. Порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации в области персональных данных;

9.1.8. Информацию об осуществленной или предполагаемой трансграничной передаче данных;

9.1.9. Наименование организации или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Организации, если обработка поручена или будет поручена такой организации или лицу;

9.1.10. Иные сведения, предусмотренные законодательством Российской Федерации в области персональных данных.

9.2. Лица, указанные в пункте 9.1 настоящей Политики (далее - субъекты персональных данных), вправе требовать от Организации уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

9.3. Сведения, указанные в подпунктах 8.1.1 - 8.1.10 пункта 8.1 настоящей Политики, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

9.4. Сведения, указанные в подпунктах 8.1.1 - 8.1.10 пункта 8.1 настоящей Политики, предоставляются субъекту персональных данных или его представителю уполномоченным должностным лицом структурного подразделения Организации, осуществляющего обработку соответствующих персональных данных,  при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать:

9.4.1. Номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;

9.4.2. Сведения, подтверждающие участие субъекта персональных данных в правоотношениях с Организацией (документ, подтверждающий прием документов на участие в конкурсе на замещение вакантных должностей в Организации, оказание организацией услуги или осуществление функции), либо сведения, иным образом подтверждающие факт обработки персональных данных Организации, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

9.5. В случае, если сведения, указанные в подпунктах 9.1.1 - 9.1.10 пункта 9.1 настоящей Политики, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Организацию или направить повторный запрос в целях получения указанных сведений и ознакомления с такими персональными данными не ранее чем через 30 дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

9.6. Субъект персональных данных вправе обратиться повторно в Организацию или направить повторный запрос в целях получения сведений, указанных в подпунктах 8.1.1 - 8.1.10 пункта 8.1 настоящей Политики, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 8.5 настоящей Политики, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 9.4 настоящей Политики, должен содержать обоснование направления повторного запроса.

9.7. Организация вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 8.5 и 8.6 настоящей Политики. Такой отказ должен быть мотивированным.

9.8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

10. Лицо, ответственное за организацию обработки персональных данных

10.1. Ответственный за организацию обработки персональных данных в  Организации назначается руководителем Организации из числа сотрудников, в соответствии с распределением обязанностей.

10.2. Ответственный за обработку персональных данных в Организации в своей работе руководствуется законодательством Российской Федерации в области персональных данных и настоящей Политикой.

10.3. Ответственный за обработку персональных данных в Организации обязан:

10.3.1. Осуществлять внутренний контроль за соблюдением работниками Организации требований законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных;

10.3.2. Доводить до сведения работников Организации положения законодательства Российской Федерации в области персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

10.3.3. Организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей, а также осуществлять контроль за приемом и обработкой таких обращений и запросов в Организации;

10.4. Ответственный за обработку персональных данных вправе:

10.4.1. Иметь доступ к информации, касающейся обработки персональных данных Организацией и включающей:

10.4.1.1. Цели обработки персональных данных;

10.4.1.2. Категории обрабатываемых персональных данных;

10.4.1.3. Категории субъектов, персональные данные которых обрабатываются;

10.4.1.4. Правовые основания обработки персональных данных;

10.4.1.5. Перечень действий с персональными данными, общее описание используемых Организации способов обработки персональных данных;

10.4.1.6. Описание мер, предусмотренных статьями 18.1 и 19 Федерального закона "О персональных данных", в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;

10.4.1.7. Дату начала обработки персональных данных;

10.4.1.8. Срок или условия прекращения обработки персональных данных;

10.4.1.9. Сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

10.4.1.10. Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации;

10.5. Ответственный за обработку персональных данных в Организации несет ответственность за надлежащее выполнение возложенных функций по организации обработки персональных данных в Организации в соответствии с положениями законодательства Российской Федерации в области персональных данных.