Меню Закрыть
  1. Общие положения

1.1 Назначение документа

Политика обработки и защиты персональных данных в Государственном бюджетном учреждении здравоохранения Московской области “Одинцовская областная больница” (далее – Оператор) регулирует отношения, связанные с обработкой персональных данных, осуществляемой лицами, уполномоченными на получение, обработку, хранение, передачу и другое использование персональных данных с использованием средств автоматизации или без использования таких средств.

Настоящая Политика разработана в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных», Указом Президента РФ от 06.03.1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера» и иными нормативными правовыми актами Российской Федерации.

Действие настоящей Политики не распространяется на отношения, возникающие при организации хранения, комплектования, учета и использования, содержащих персональные данные архивных документов в соответствии с законодательством об архивном деле в Российской Федерации.

1.2 Основные понятия, используемые в настоящем документе

В настоящем документе используются следующие основные понятия:

  1. персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
  2. оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
  3. обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
  4. автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
  5. распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
  6. предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
  7. блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
  8. уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
  9. обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
  10. информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
  11. трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

1.3 Права и обязанности субъекта персональных данных

1.3.1 Субъект персональных данных имеет право на получение сведений, указанных в части 1.3.7 настоящего документа, за исключением случаев, предусмотренных частью 1.3.8 настоящего документа. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

1.3.2 Сведения, указанные в части 1.3.7 настоящего документа, должны быть предоставлены субъекту персональных данных Оператором в доступной форме, при этом в них не будут содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

1.3.3 Сведения, указанные в части 1.3.7 настоящего документа, предоставляются субъекту персональных данных или его представителю Оператора при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператор, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

1.3.4 В случае, если сведения, указанные в части 1.3.7 настоящего документа, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Оператор или направить ему повторный запрос в целях получения сведений, указанных в части 1.3.7 настоящего документа, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

1.3.5 Субъект персональных данных вправе обратиться повторно в Оператор или направить ему повторный запрос в целях получения сведений, указанных в части 1.3.7 настоящего документа, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в части 1.3.4 настоящего документа, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в части 1.3.3 настоящего документа, должен содержать обоснование направления повторного запроса.

1.3.6 Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 1.3.4 и 1.3.5 настоящего документа. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.

1.3.7 Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

  • подтверждение факта обработки персональных данных Оператором;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые Оператором способы обработки персональных данных;
  • наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
  • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» или другими федеральными законами.

1.3.8 Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

1.3.9 В целях обеспечения достоверности персональных данных субъект персональных данных, давший согласие на обработку своих персональных данных, обязан предоставить достоверные данные о себе.

В случае изменения сведений, составляющих персональные данные, незамедлительно известить Оператор о соответствующих изменениях.

1.4 Права и обязанности Оператора

1.4.1 При сборе персональных данных

1.4.1.1 При сборе персональных данных Оператор обязан предоставить субъекту персональных данных по его просьбе информацию, указанную в части 1.3.7 настоящего документа.

1.4.1.2 Если предоставление персональных данных является обязательным в соответствии с федеральным законом, Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

1.4.1.3 Если персональные данные получены не от субъекта персональных данных, Оператор, за исключением случаев, предусмотренных частью 1.4.1.4 настоящего документа, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

  • наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
  • цель обработки персональных данных и ее правовое основание;
  • предполагаемые пользователи персональных данных;
  • права субъекта персональных данных;
  • источник получения персональных данных.

1.4.1.4 Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные частью 1.4.1.3 настоящего документа, в случаях, если:

  • субъект персональных данных уведомлен об осуществлении обработки его персональных данных Оператором;
  • персональные данные получены Оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;
  • персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
  • Оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
  • предоставление субъекту персональных данных сведений, предусмотренных частью 1.4.1.3 настоящего документа, нарушает права и законные интересы третьих лиц.

1.4.1.5 При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети “Интернет”, Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».

1.4.1.6 Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» или другими федеральными законами. К таким мерам могут, в частности, относиться:

  • назначение Оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;
  • издание Оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
  • применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии частью 1.4.2 настоящего документа;
  • осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 г. № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора;
  • оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
  • ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

1.4.1.7 Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

1.4.1.8 Оператор обязан представить документы и локальные акты, указанные в части 1.4.1.6 настоящего документа, и (или) иным образом подтвердить принятие мер, указанных в части 1.4.1.6 настоящего документа, по запросу уполномоченного органа по защите прав субъектов персональных данных.

1.4.2 По обеспечению безопасности персональных данных при их обработке

1.4.2.1 Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

1.4.2.2 Обеспечение безопасности персональных данных достигается, в частности:

  • определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  • применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
  • применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  • оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  • учетом машинных носителей персональных данных;
  • обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
  • восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
  • контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

1.4.3 При обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных

1.4.3.1 Оператор обязан сообщить в порядке, предусмотренном частью 1.3 настоящего документа, сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.

1.4.3.2 В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных субъекту персональных данных или его законному представителю при их личном обращении либо при получении запроса субъекта персональных данных или его законного представителя Оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на часть 1.3.8 настоящего документа или соответствующего федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати дней со дня личного обращения субъекта персональных данных или его законного представителя либо с даты получения запроса субъекта персональных данных или его законного представителя.

1.4.3.3 Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

1.4.3.4 Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.

1.4.4 По устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных

Подробные сведения по правам и обязанностям Оператора, связанным с устранением нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных, приведены в части 6 настоящего документа.

1.4.5 По уведомлению об обработке персональных данных

1.4.5.1 Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 1.4.5.2 настоящего документа.

1.4.5.2 Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

  • обрабатываемых в соответствии с трудовым законодательством;
  • полученных Оператор в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
  • относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
  • сделанных субъектом персональных данных общедоступными;
  • включающих в себя только фамилии, имена и отчества субъектов персональных данных;
  • необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
  • обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
  • обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

1.4.5.3 Уведомление, предусмотренное частью 1.4.5.3 настоящего документа, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление должно содержать следующие сведения:

  • наименование (фамилия, имя, отчество), адрес оператора;
  • цель обработки персональных данных;
  • категории персональных данных;
  • категории субъектов, персональные данные которых обрабатываются;
  • правовое основание обработки персональных данных;
  • перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
  • описание мер, предусмотренных частью 1.4.2 настоящего документа, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
  • фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
  • дата начала обработки персональных данных;
  • срок или условие прекращения обработки персональных данных;
  • сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
  • сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;
  • сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

1.4.5.4 На Оператор не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.

1.4.5.5 В случае предоставления неполных или недостоверных сведений, указанных в части 1.4.5.3 настоящего документа, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от Оператора уточнения предоставленных сведений до их внесения в реестр операторов.

1.4.5.6 В случае изменения сведений, указанных в части 1.4.5.3 настоящего документа, а также в случае прекращения обработки персональных данных Оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных

  1. Цели сбора персональных данных

2.1 Оператор обрабатывает персональные данные ограничиваясь достижением конкретных, заранее определенных и законных целей, не допуская обработки персональных данных, несовместимой с целями сбора персональных данных. Основной целью обработки персональных данных является выполнение задач и функций, возложенных на Оператора, в том числе:

  • Установление медицинского диагноза субъекта ПДн, оказание медицинских, медико-профилактических и медико-социальных услуг (пп. 3, 4 части 2 ст. 10 Закона 152-ФЗ) субъекту ПДн;
  • Ведение и актуализация локального сегмента единой государственной информационной системы здравоохранения – Единой медицинской информационно-аналитической системы Московской области, в том числе: формирование и ведение медицинских регистров;
  • Оказание услуг населению Московской области по записи на прием к врачу в электронном виде;
  • Ведение электронной медицинской карты и электронной истории болезни;
  • Сбор, обработка и предоставление статистической информации;
  • Исполнения обязательств по хозяйственным договорам с субъектом ПДн (договоры гражданско-правового характера).
  • Обработки персональных данных сотрудников (работников) ЛПУ, сведений об их профессиональной служебной деятельности, в том числе: трудовые договоры, повышение квалификации работников;
  • Расчет, начисление и выплата заработной платы, премий и иных видов выплат;
  • Ведение кадрового учета и личных дел работников ЛПУ в соответствии с ТК РФ;
  • Охрана труда и здоровья работников;
  • Проверка профессиональной пригодности;
  • Воинский учет;
  • Реализация социальной политики;
  • Рассмотрение обращений граждан.

2.2 Оператор не допускает объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

2.3 Обработке Оператором подлежат только персональные данные, которые отвечают целям их обработки.

2.4 При обработке персональных данных Оператор обеспечивает точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных, или неточных данных.

  1. Правовые основания обработки персональных данных

3.1 Оператор осуществляет обработку персональных данных на законной и справедливой основе.

3.2. Основными документами, выступающими в качестве правового основания для обработки персональных данных, являются:

  • Конституция Российской Федерации;
  • Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных».
  1. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

Содержание и объем обрабатываемых Оператором персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки.

  1. Порядок и условия обработки персональных данных

5.1 Перечень действий по обработке персональных данных Оператором включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

5.2 Обработка персональных данных осуществляется Оператором с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных».

5.3 Обработка Оператором специальных категорий персональных данных осуществляется с особенностями, установленными статьей 10 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».

5.4 Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее – поручение Оператора). Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных». В поручении Оператора определяются перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, устанавливается обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также указываются требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».

5.5 Лицо, осуществляющее обработку персональных данных по поручению Оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.

5.6 В случае поручения обработки персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Оператор. Лицо, осуществляющее обработку персональных данных по поручению Оператора, несет ответственность перед Оператором.

5.6.1 При передаче персональных данных субъекта персональных данных лицо, уполномоченное на получение, обработку, хранение, передачу и другое использование персональных данных должно соблюдать следующие требования:

5.6.1.1 Не сообщать персональные данные субъекта персональных данных третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в других случаях, предусмотренных Трудовым кодексом или иными федеральными законами.

5.6.1.2 Не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия.

5.6.1.3 Предупредить лиц, получающих персональные данные субъекта персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта персональных данных, обязаны соблюдать режим конфиденциальности.

5.6.1.4 Осуществлять передачу персональных данных субъектов персональных данных в пределах Оператора в соответствии с настоящей Политикой.

5.6.1.5 Разрешать доступ к персональным данным субъектов персональных данных только лицам, уполномоченным на получение, обработку, хранение, передачу и другое использование персональных данных, при этом указанные лица должны иметь право получать только те персональные данные субъекта персональных данных, которые необходимы для выполнения конкретных функций.

5.6.1.6 Передавать персональные данные субъекта персональных данных его законному представителю в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами, и ограничивать эту информацию только теми персональными данными субъекта персональных данных, которые необходимы для выполнения указанными законными представителями их функций.

5.6.1.7 Передавать персональные данные субъекта персональных данных третьей стороне в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.

5.6.1.8 При передаче персональных данных субъекта персональных данных за пределы Оператор не сообщает эти данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных или в случаях, установленных федеральным законом.

5.6.1.9 По возможности персональные данные обезличивать.

5.6.1.10 Лицо, уполномоченное на получение, обработку, хранение, передачу и другое использование персональных данных для проведения научных, статистических, социологических, медицинских и других исследований обязано обезличить их посредством вывода из персональных данных части данных, которые позволяют идентифицировать физическое лицо, придавая им форму анонимных сведений, которые не могут быть ассоциированы идентифицированной или идентифицируемой личностью.

5.7 Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

5.8 Обработка персональных данных осуществляется в соответствии с требованиями конфиденциальности персональных данных, установленными статьей 7 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных». Оператор обязуется не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

5.9 При обработке персональных данных Оператором приняты меры по обеспечению безопасности персональных данных при их обработке, предусмотренные статьей 19 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных». Обеспечение безопасности персональных данных, обрабатываемых Оператором осуществляется в соответствии с действующим законодательством, и достигается, в частности:

  • определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  • применением организационных и технических мер по обеспечению безопасности персональных данных;
  • при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
  • применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  • оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  • обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
  • восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
  • контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

5.10 Хранение персональных данных осуществляется Оператором в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.

  1. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

6.1 В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

6.2 В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

6.3 В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим по поручению Оператора, в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, Оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

6.4 В случае достижения цели обработки персональных данных Оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных» или другими федеральными законами.

6.5 В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Оператором и субъектом персональных данных либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

6.6 В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в частях 6.3 – 6.5 настоящего документа, Оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.