Медицинская организация «Лотос»
Медицинская организация «Лотос»

Медкомиссия для иностранных граждан

Пн-Пт: 8:30 — 17:00

Обработка персональных данных

Политика ООО МО «Лотос» в отношении обработки персональных данных
  1. Введение.
    • Обеспечение конфиденциальности и безопасности обработки персональных данных в ООО МО «Лотос» является одной из приоритетных задач организации.
    • В ООО МО «Лотос» для этих целей введен в действие комплект организационно-распорядительной документации, обязательный к исполнению всеми сотрудниками компании, допущенными к обработке персональных данных.
    • Обработка, хранение и обеспечение конфиденциальности и безопасности персональных данных осуществляется в соответствии с действующим законодательством РФ в сфере защиты персональных данных, и в соответствии с локальными актами ООО МО «Лотос».
    • Настоящая Политика определяет принципы, порядок и условия обработки персональных данных работников, соискателей, пациентов, контрагентов ООО МО «Лотос» и иных лиц, чьи персональные данные обрабатываются организацией, с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также устанавливает ответственность должностных лиц ООО МО «Лотос», имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
  2. Понятие и состав персональных данных.
    • Сведениями, составляющими персональные данные, в ООО МО «Лотос» является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
    • Перечень персональных данных, подлежащих защите в ООО МО «Лотос» утверждается отдельным приказом руководителя ООО МО «Лотос».
  3. Цели обработки персональных данных.
    • ООО МО «Лотос» осуществляет обработку персональных данных в следующих целях:
      • Реализации кадрового учета компании, обеспечения соблюдения законов и иных нормативно-правовых актов в данной области; ведения кадрового делопроизводства, исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации, в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, федеральными законами, в частности: от 1 апреля 1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и других нормативно-правовых актов.
      • Организации оказания медицинской помощи гражданам, а также исполнения обязательств и компетенций в соответствии с Федеральными законами от 21 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан Российской Федерации», от 12 апреля 2010 г. № 61-ФЗ «Об обращении лекарственных средств», Правилами предоставления медицинскими организациями платных медицинских услуг, утвержденными Постановлением Правительства Российской Федерации от 4 октября 2012 г. № 1006.
  4. Сроки обработки персональных данных.
    • Сроки обработки персональных данных определяются в соответствие со сроком действия договора (соглашением) с субъектом персональных данных, Приказом Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения», сроком исковой давности, а также иными требованиями законодательства РФ.
    • В ООО МО «Лотос» создаются и хранятся документы, содержащие сведения о субъектах персональных данных. Требования к использованию в ООО МО «Лотос» данных типовых форм документов установлены Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
  5. Права и обязанности.
    • ООО МО «Лотос» как оператор персональных данных в праве:
      • Отстаивать свои интересы в суде.
      • Предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.).
      • Отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством.
      • Использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством.
    • Субъект персональных данных имеет право:
      • Требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
      • Требовать перечень своих персональных данных, обрабатываемых ООО МО «Лотос» и источник их получения.
      • Получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения.
      • Требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
      • Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных.
  1. Принципы и условия обработки персональных данных.
    • Обработка персональных данных в ООО МО «Лотос» производится на основе соблюдения принципов:
      • Законности целей и способов обработки персональных данных.
      • Соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных.
      • Соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных.
      • Достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных.
      • Недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные.
      • Хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.
      • Уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.
    • Отказ клиента ООО МО «Лотос» от предоставления согласия на обработку его персональных данных влечет за собой невозможность достижения целей обработки.
  2. Обеспечение безопасности персональных данных.
    • ООО МО «Лотос» предпринимает необходимые организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.
    • В целях координации действий по обеспечению безопасности персональных данных в ООО МО «Лотос» назначен ответственный за организацию обработки персональных данных.
  3. Заключительные положения.
    • Настоящая Политика предназначена для размещения в информационных ресурсах общественного пользования ООО МО «Лотос».
    • Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года.
    • Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных ООО МО «Лотос».

Ответственность должностных лиц ООО МО «Лотос», имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами ООО МО «Лотос».

Положение об обработке и защите персональных данных в ООО МО «Лотос»
  1. Общие положения.
    • Настоящее Положение о порядке обработки и защите персональных данных (далее – ПДн) в ООО МО «Лотос» (далее – Положение) определяет цели, содержание и порядок обработки ПДн, меры, направленные на защиту ПДн, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области ПДн, в ООО МО «Лотос» (далее – Организация).
    • Настоящее Положение определяет политику ООО МО «Лотос» как оператора, осуществляющего обработку ПДн, в отношении обработки и защиты ПДн.
    • Настоящее Положение разработано в соответствии со следующими нормативно-правовыми актами:
      • Конституция Российской Федерации.
      • Гражданский кодекс Российской Федерации.
      • Трудовой кодекс Российской Федерации.
      • Кодекс Российской Федерации об административных правонарушениях.
      • Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
      • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
      • Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».
      • Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации».
      • Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
      • Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
      • Приказ Федеральной службы по техническому и экспортному контролю России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
      • Руководящие и методические документы Министерства здравоохранения Российской Федерации.
      • Внутренние нормативные документы Организации.
    • Настоящее Положение является локальным актом Организации, обязательным для исполнения всеми работниками Организации, в должностные обязанности которых входит обработка персональных данных в соответствии с Перечнем лиц, допущенных к обработке персональных данных в информационных системах персональных данных (далее – лица, допущенные к работе с ПДн), утверждаемым приказом руководителя, по форме в соответствии с Приложением №1 к настоящему Положению.
    • Для целей настоящего Положения используются следующие основные понятия и сокращения:
      • Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
      • Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
      • Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
      • Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
      • Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
      • Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
      • Доступ к информации ‒ возможность получения информации и ее использования.
      • Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
      • Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
      • Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
      • Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
      • Конфиденциальность информации ‒ обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия е обладателя.
      • ИСПДн – информационная система персональных данных.
      • ПДн – персональные данные.
    • Обработка ПДн в Организации осуществляется с соблюдением принципов и условий, предусмотренных настоящим Положением и законодательством Российской Федерации в области ПДн.
    • Обязанности оператора ПДн определены в главе 4 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
    • Целями обработки ПДн в Организации являются:
      • Реализация кадрового учета Организации, обеспечения соблюдения законов и иных нормативно-правовых актов в данной области; ведения кадрового делопроизводства, исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации, в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, федеральными законами, в частности: от 1 апреля 1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и других нормативно-правовых актов.
      • Организация оказания медицинской помощи населению, а также исполнения обязательств и компетенций в соответствии с Федеральными законами от 21 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан Российской Федерации», от 12 апреля 2010 г. № 61-ФЗ «Об обращении лекарственных средств», Правилами предоставления медицинскими организациями платных медицинских услуг, утвержденными Постановлением Правительства Российской Федерации от 4 октября 2012 г. № 1006.
    • ООО МО «Лотос», являясь оператором, осуществляет обработку ПДн следующих категорий субъектов:
№ п/п Общее название группы субъектов ПДн Категории субъектов ПДн, входящих в группу
1 Работники Организации ‒    лица, состоящие в трудовых отношениях
с Организацией (в т. ч. ПДн кандидатов на вакантные должности)‒      родственники лиц, состоящих в трудовых отношениях с Организацией;‒      лица, с которыми прекращены трудовые отношения;‒      родственники лиц, с которыми прекращены трудовые отношения;

‒    физические лица, состоящие в договорных
и иных гражданско-правовых отношениях с Организацией
2 Лица, обратившиеся
за медицинской помощью		 ‒      потребители медицинских услуг. Заказчики медицинских услуг в интересах потребителя;

‒      законные представители (опекуны, попечители) лиц, которым оказываются медицинские услуги.

 

  1. Общий порядок и условия обработки ПДн.
    • Принципы обработки ПДн определены в статье 5, условия обработки ПДн определены в статье 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
    • Обработка ПДн в Организации осуществляется в информационных системах персональных данных, определенных в перечне информационных систем персональных данных, утверждаемом соответствующим приказом.
    • Организация осуществляет смешанную обработку ПДн (как с использованием средств автоматизации, так и без использования таких средств).
    • Обработка ПДн без использования средств автоматизации (неавтоматизированная обработка ПДн) производится лицами, допущенными к работе с ПДн, в соответствии с положениями постановления Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
    • Организация осуществляет обработку ПДн субъектов ПДн только при наличии согласия субъекта ПДн, либо его законного представителя на обработку его ПДн.
    • Все ПДн следует получать у самого субъекта ПДн или из общедоступных источников ПДн. Если ПДн возможно получить только у третьей стороны, то субъект ПДн должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие (за исключением случаев, предусмотренных законодательством Российской Федерации).
    • Согласие на обработку ПДн дается в любой позволяющей подтвердить факт его получения форме, в том числе в форме электронного документа, заверенного усиленной квалифицированной электронной подписью.
    • Согласие в письменной форме субъекта ПДн на обработку его ПДн должно включать в себя сведения, содержащиеся в части 4 статьи 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
    • В случае отзыва субъектом ПДн согласия на обработку ПДн Организация вправе продолжить обработку ПДн без согласия субъекта ПДн на основании части 2 статьи 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 данного Федерального закона.
    • Субъект ПДн предоставляет достоверные сведения о себе. Лица, допущенные к работе с ПДн, проверяют достоверность сведений, сверяя данные, предоставленные субъектом ПДн, с имеющимися у субъекта ПДн документами.
  2. Порядок и условия обработки ПДн работников Организации.
    • Обработка ПДн работников осуществляется в целях реализации кадрового учета Организации, обеспечения соблюдения законов и иных нормативно-правовых актов в данной области; ведения кадрового делопроизводства, исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации, в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, федеральными законами, в частности: от 1 апреля 1996 г. № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и других нормативно-правовых актов.
    • Бланк согласия на обработку ПДн работников Организации утверждается отдельным приказом руководителя Организации.
    • В целях, указанных в пункте 3.1 настоящего Положения, обрабатывается необходимый набор ПДн работников Организации, утверждённый отдельным приказом руководителя Организации.
    • Информация, предоставляемая работником при поступлении на работу в Организацию, должна иметь документальную форму. При заключении трудового договора лицо, поступающее на работу в Организацию, предъявляет кадровому специалисту документы в соответствии со статьей 65 Трудового кодекса Российской Федерации.
    • Передача и использование ПДн работников Организации осуществляется только в случаях и в порядке, предусмотренных федеральными законами.
  3. Порядок и условия обработки ПДн лиц, обратившихся за медицинской помощью.
    • Обработка ПДн лиц, обратившихся за медицинской помощью, осуществляется в целях оказания медицинской помощи населению, а также исполнения обязательств и компетенций в соответствии с Федеральными законами от 21 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан Российской Федерации», от 12 апреля 2010 г. № 61-ФЗ «Об обращении лекарственных средств», Правилами предоставления медицинскими организациями платных медицинских услуг, утвержденными Постановлением Правительства Российской Федерации от 4 октября 2012 г. № 1006.
    • Бланк согласия на обработку ПДн лица, обратившегося за медицинской помощью, утверждается отдельным приказом руководителя Организации.
    • В целях, указанных в пункте 4.1 настоящего Положения, обрабатывается необходимый набор ПДн лиц, обратившихся за медицинской помощью, утверждённый отдельным приказом руководителя Организации.
    • Информация, предоставляемая лицом при обращении за медицинской помощью, должна иметь документальную форму.
  4. Общедоступные ПДн.
    • В соответствии с пунктом 10 части 1 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», ПДн, сделанными общедоступными субъектом ПДн, считаются ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн либо по его просьбе.
    • В соответствии с частью 1 статьи 8 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», в целях информационного обеспечения в Организации существуют и могут создаваться новые общедоступные источники ПДн.
    • В категорию «Общедоступные ПДн» с письменного согласия работника Организации включаются: фамилия, имя, отчество; пол; сведения о полученном образовании; сведения о месте работы; сведения (даты) о нахождении в командировке, отпуске; сведения о наградах и достижениях; фотография.
    • Сведения о субъекте ПДн должны быть в любое время исключены из категории «Общедоступные ПДн» по письменному требованию субъекта ПДн либо по решению суда или иных уполномоченных государственных органов.
  5. Порядок доступа работников ООО МО «Лотос» в помещения, в которых осуществляется обработка и хранение персональных данных.
    • Обеспечение безопасности персональных данных от уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных достигается в том числе установлением правил доступа в помещения, в которых осуществляется хранение ПДн, обработка ПДн без использования средств автоматизации, доступ к информационным системам персональных данных.
    • Для помещений организуется режим обеспечения безопасности, при котором обеспечивается сохранность документов, содержащих ПДн, технических средств обработки защищаемой информации, средств защиты информации и носителей защищаемой информации, а также исключается возможность неконтролируемого проникновения и пребывания в этих помещениях посторонних лиц.
    • При хранении материальных носителей персональных данных (в том числе документов, содержащих ПДн) должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним посторонних лиц.
    • Нахождение лиц, не допущенных к обработке ПДн, в помещениях Организации, в которых осуществляется обработка и хранение персональных данных, возможно только в присутствии уполномоченного сотрудника Организации на время, ограниченное необходимостью решения вопросов, связанных с исполнением функций и (или) осуществлением полномочий структурного подразделения Организации.
    • О попытках неконтролируемого проникновения посторонних лиц в помещения работник Организации обязан незамедлительно сообщать руководителю своего структурного подразделения.
    • Перед закрытием помещений, в которых ведется обработка персональных данных, по окончании рабочего времени работники, имеющие право доступа в помещения, обязаны:
      • Убрать бумажные носители персональных данных и электронные носители персональных данных (диски, флеш-накопители) в шкафы, сейфы.
      • Отключить технические средства (кроме постоянно действующей техники) и электроприборы от сети, выключить освещение.
      • Закрыть окна.
    • Ответственность за соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных, возлагается на руководителей структурных подразделений Организации, обрабатывающих персональные данные.
    • Внутренний контроль за соблюдением порядка доступа в помещения проводится лицом, назначенным приказом Организации, ответственным за организацию обработки персональных данных в Организации.
  6. Передача персональных данных третьим лицам.
    • Передача ПДн субъектов ПДн контрольно-надзорным органам и в государственные информационные системы, содержащие ПДн, осуществляется в соответствии с действующим законодательством Российской Федерации.
    • Доступ к ПДн работников Организации на основании и во исполнение федеральных законов предоставляется:
      • Федеральной инспекции труда и федеральным органам исполнительной власти, осуществляющим функции по контролю и надзору в установленной сфере деятельности.
      • Федеральной налоговой службе и межрегиональным инспекциям и управлениям Федеральной налоговой службы Российской Федерации по субъектам Российской Федерации.
      • Главному управлению по вопросам миграции Министерства внутренних дел Российской Федерации.
      • Федеральной службе государственной статистики и её территориальным органам.
      • Федеральному фонду обязательного медицинского страхования и его территориальным органам.
      • Военным комиссариатам.
      • Фонд пенсионного и социального страхования Российской Федерации;
      • Иным федеральным органам в соответствии с законодательством Российской Федерации.
    • Передача ПДн субъектов ПДн страховым компаниям, банкам, благотворительным организациям, негосударственным пенсионным фондам, посольствам, другим организациям; родственникам, членам семьи и другим лицам осуществляется по письменному запросу о предоставлении ПДн на имя руководителя или главного врача с указанием цели предоставления и характера ПДн. Передача ПДн осуществляется только при условии получения письменного согласия субъекта, ПДн которого запрашиваются, либо по письменному заявлению самого субъекта ПДн.
    • При передаче ПДн субъектов ПДн Организация должна соблюдать следующие требования:
      • Не сообщать ПДн субъекта ПДн третьей стороне без его письменного согласия (либо согласия его законного представителя), за исключением случаев, установленных законодательством Российской Федерации.
      • Не сообщать ПДн субъекта ПДн в коммерческих целях без его письменного согласия (либо согласия его законного представителя).
      • Предупредить лиц, получивших ПДн субъекта ПДн, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.
      • Лица, получившие ПДн субъекта ПДн, обязаны соблюдать режим конфиденциальности.
      • Осуществлять передачу ПДн субъектов ПДн в пределах Организации в соответствии с настоящим Положением в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
      • Разрешать доступ к ПДн только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те ПДн, которые необходимы для выполнения их должностных обязанностей.
      • Применять меры защиты конфиденциальной информации, действующие в Организации, при сборе, обработке и хранении ПДн ‒ как для бумажных, так и для электронных (автоматизированных) носителей информации.
  1. Правила и порядок уточнения, блокирования и уничтожения персональных данных.
    • Блокирование информации, содержащей ПДн субъектов ПДн, производится в случае:
      • Если ПДн являются неполными, устаревшими, недостоверными.
      • Если сведения являются незаконно полученными или не являются необходимыми для заявленной цели обработки.
    • В случае подтверждения факта недостоверности ПДн сотрудник структурного подразделения Организации, обрабатывающий данную категорию ПДн, обязан уточнить ПДн и снять их блокирование.
    • В случае выявления неправомерных действий с ПДн сотрудник структурного подразделения Организации, обрабатывающего данную категорию ПДн, обязан устранить (организовать устранение) допущенные нарушения.
    • Организация обязана осуществлять уничтожение ПДн субъектов ПДн в следующих случаях:
      • Выявление неправомерной обработки ПДн, в том числе по обращению субъекта ПДн или его законного представителя либо запросу уполномоченного органа по защите прав субъектов ПДн, если обеспечить правомерность обработки ПДн невозможно.
      • Достижение целей обработки ПДн или утрата необходимости в достижении этих целей.
      • Отзыв субъектом ПДн согласия на обработку его ПДн, если сохранение ПДн более не требуется для целей обработки ПДн.
      • Истечение сроков хранения ПДн, установленных нормативными правовыми актами Российской Федерации.
      • Иные установленные законодательством Российской Федерации случаи.
    • Уничтожение ПДн должно быть осуществлено в соответствии со сроками, указанными частями 3 – 5 статьи 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», с даты наступления указанных в п. 7.4 настоящего Положения случаев. Соглашением между Организацией и субъектом ПДн могут быть установлены иные сроки уничтожения ПДн при достижении цели обработки ПДн. В случае отсутствия возможности уничтожения персональных данных оператор осуществляет их блокирование в соответствии с частью 6 статьи 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
    • Уничтожение носителей, содержащих ПДн субъектов ПДн, должно соответствовать следующим правилам:
      • Быть конфиденциальным, исключать возможность последующего восстановления.
      • Оформляться юридически, в частности, актом о выделении к уничтожению документов, содержащих ПДн субъектов ПДн (Приложение №2) и актом об уничтожении носителей, содержащих ПДн субъектов ПДн (Приложение №3).
      • Проводится Комиссией по уничтожению ПДн, созданной на основании приказа руководителя или главного врача.
    • Уничтожение ПДн на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление ПДн, или удалением ПДн с электронных носителей методами и средствами гарантированного удаления остаточной информации.
  2. Рассмотрение запросов субъектов персональных данных.
    • Субъекты, чьи ПДн обрабатываются Организацией, имеют право на получение информации, касающейся обработки их ПДн, в том числе содержащей:
      • Подтверждение факта обработки ПДн в Организации.
      • Правовые основания и цели обработки ПДн.
      • Применяемые в Организации способы обработки ПДн.
      • Обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом.
      • Порядок осуществления субъектом ПДн прав, предусмотренных законодательством Российской Федерации в области ПДн.
      • Иные сведения, предусмотренные законодательством Российской Федерации в области ПДн.
    • Субъекты ПДн вправе требовать от Организации уточнения их ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
    • Сведения, указанные в пункте 9.1 настоящего Положения, предоставляются субъекту ПДн или его законному представителю на основании письменного запроса.
    • В случае если сведения, указанные в пункте 9.1 настоящего Положения, а также обрабатываемые ПДн были предоставлены для ознакомления субъекту ПДн по его запросу, субъект ПДн вправе обратиться повторно в Организацию или направить повторный запрос в целях получения указанных сведений и ознакомления с такими ПДн не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн.
    • Субъект ПДн вправе обратиться повторно в Организацию и направить повторный запрос в целях получения сведений, указанных в пункте 9.1 настоящего Положения, а также в целях ознакомления с обрабатываемыми ПДн до истечения срока, указанного в пункте 9.4 настоящего Положения, в случае, если такие сведения и (или) обрабатываемые ПДн не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения.
    • Организация вправе отказать субъекту ПДн в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 9.4 и 9.5 настоящего Положения. Такой отказ должен быть мотивированным.
    • Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами, в том числе если доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц.
  3. Защита персональных данных в Организации.
    • Организация самостоятельно или с привлечением внешней организации, обладающей лицензией Федеральной службы по техническому и экспортному контролю (ФСТЭК России) на деятельность по технической защите конфиденциальной информации, определяет необходимый уровень защищённости ПДн при их обработке в каждой из ИСПДн, оператором которой он является.
    • Организация самостоятельно или с привлечением организации, обладающей лицензиями на деятельность по технической защите конфиденциальной информации и на деятельность по выполнению работ и оказанию услуг в области шифрования информации, определяет и осуществляет организационные и технические мероприятия, которые должны выполняться для нейтрализации угроз ПДн, признанных актуальными.
    • Организация обеспечивает выполнение следующих мероприятий:
      • Обеспечивает режим безопасности помещений, в которых размещены ИСПДн, препятствующий возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения.
      • Обеспечивает сохранность носителей ПДн.
      • Обеспечивает актуальность перечня лиц, доступ которых к ПДн, обрабатываемым в ИСПДн, необходим для выполнения ими служебных (трудовых) обязанностей.
      • Использует средства защиты информации, прошедшие процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
    • Лицо, ответственное за организацию обработки ПДн в Организации, получив информацию о факте нарушения действующих законодательных норм по обеспечению безопасности ПДн в ИСПДн, организует служебное расследование для выявления лиц, в результате действий или бездействия которых произошло нарушение законодательных норм по обеспечению безопасности ПДн.
    • Лица, виновные в нарушении норм, регулирующих обработку и защиту ПДн, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральным законодательством Российской Федерации и настоящим Положением.
  4. Порядок предоставления доступа работников Организации к ПДн.
    • Доступ к ПДн имеют только работники Организации, которые обязаны осуществлять их обработку в связи с исполнением своих должностных обязанностей (лица, допущенные к работе с ПДн).
    • Процедура предоставления работнику доступа к ПДн предусматривает:
      • Ознакомление работника под подпись с настоящим Положением, иными локальными актами Организации по вопросам обработки ПДн, а также локальными актами, устанавливающими процедуры, направленные на выявление нарушений законодательства Российской Федерации в области обработки и защиты ПДн и устранение последствий таких нарушений.
      • Информирование работника о категориях обрабатываемых ПДн, об особенностях и правилах осуществления обработки ПДн.
      • Проведение инструктажа по соблюдению правил обработки и защиты ПДн. Форма журнала проведения инструктажа по информационной безопасности представлена в Приложении №4.
    • При увольнении работника, имеющего доступ к ПДн, документы и иные носители, содержащие ПДн, передаются другому работнику, имеющему доступ к ПДн по указанию руководителя увольняющегося работника.
    • Допуск работников к обработке ПДн до прохождения процедуры предоставления доступа запрещается.
To top