Политика обработки персональных данных
Цели сбора персональных данных
- Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей.
- Обработке подлежат только те персональные данные, которые отвечают целям их обработки и не должны быть избыточными по отношению к заявленным целям.
- Целями обработки персональных данных являются:
- 1) предоставление государственных и муниципальных услуг субъектам персональных данных в соответствии с законодательством Российской Федерации;
- 2) организация учета сотрудников ГБУЗ "ДГП № 4 г. Краснодара" МЗ КК для обеспечения соблюдения законов и иных нормативно-правовых актов, содействия в трудоустройстве, обучении, продвижении по службе, пользования различного вида льготами в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», а также Учредительными документами и нормативными актами ГБУЗ "ДГП № 4 г. Краснодара" МЗ КК .
Правовые основания обработки персональных данных
- Оператор обрабатывает персональные данные, руководствуясь:
- 1) внутренними документами в области защиты персональных данных;
- 2) Федеральным законом от 27.07.2006 г. № 152-ФЗ "О персональных данных".
Объем и категории обрабатываемых персональных данных,категории субъектов персональных данных
- Оператор осуществляет на законной и справедливой основе обработку персональных данных следующих физических лиц (субъектов ПДн):
- Цель "предоставление государственных и муниципальных услуг" достигается посредством обработки персональных данных следующих категорий для следующих субъектов:
- 1) Граждане, обратившиеся за получением услуги:
- Специальные категории: состояние здоровья.
- Иные категории: фамилия, имя, отчество, профессия, паспортные данные, СНИЛС, состояние здоровья, контактные сведения, трудоспособность, год рождения, свидетельство о рождении, дата рождения, информация о трудовой деятельности, адрес, образование.
- Цель "обработка в соответствии с трудовым законодательством" достигается посредством обработки персональных данных следующих категорий для следующих субъектов:
- 2) уволенные (уволившиеся) сотрудники:
- Иные категории: образование, фамилия, имя, отчество, доходы, социальное положение, адрес, состав семьи, сведения о воинском учёте, дата рождения, информация о трудовой деятельности, имущественное положение, трудоспособность, профессия, ИНН, СНИЛС, гражданство, контактные сведения, год рождения, паспортные данные, место рождения, семейное положение.
- 3) сотрудники:
- Иные категории: фамилия, имя, отчество, год рождения, состав семьи, СНИЛС, гражданство, социальное положение, трудоспособность, образование, ИНН, имущественное положение, профессия, место рождения, сведения о воинском учёте, контактные сведения, дата рождения, информация о трудовой деятельности, доходы, семейное положение, паспортные данные, адрес.
Порядок и условия обработки персональных данных
- Перечень действий с персональными данными субъектов, осуществляемых Оператором
- Оператором осуществляются следующие действия с персональными данными: блокирование, запись, извлечение, использование, накопление, обезличивание, передача (распространение, предоставление, доступ), сбор, систематизация, удаление, уничтожение, уточнение (обновление, изменение), хранение.
- Способы обработки персональных данных
- Оператором применяются следующие способы обработки персональных данных: смешанная обработка персональных данных с передачей по внутренней сети и сети интернет.
- Передача персональных данных третьим лицам
- Трансграничная передача персональных данных не осуществляется.
- Цели передачи персональных данных: начисление заработной платы в рамках банковского зарплатного проекта.
- Перечень действий, разрешенных третьему лицу: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение, передача (распространение, предоставление, доступ).
- Способы обработки ПДн третьим лицом: автоматизированная обработка персональных данных с передачей по внутренней сети и сети интернет.
- В случае поручения обработки персональных данных третьему лицу, ему предъявляются требования принимать необходимые организационные, технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных, в том числе: определение угроз безопасности персональных данных при их обработке в информационных системах; учёт машинных носителей персональных данных; обнаружение фактов несанкционированного доступа к персональным данным и принятием мер; контроль принимаемых мер по обеспечению безопасности персональных данных и уровня защищённости информационных систем персональных данных.
- Кроме того, Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
- Меры по обеспечению безопасности персональных данных при их обработке
- Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры и обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
- Обеспечение безопасности персональных данных Оператором достигается, в частности следующими мерами:
- 1) применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации (сертифицированные СЗИ);
- 2) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения закона «О персональных данных», соотношение указанного вреда и принимаемых защитных мер;
- 3) определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- 4) обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
- 5) оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- 6) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных закону «О персональных данных» и внутренним документам Учреждения по вопросам обработки персональных данных;
- 7) назначение Ответственного за организацию обработки персональных данных;
- 8) установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- 9) учет машинных носителей персональных данных;
- 10) издание политики Учреждения в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных;
- 11) контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
- 12) ознакомление сотрудников, осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, политикой Учреждения в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных сотрудников;
- 13) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
- Базы персональных данных Оператора находятся полностью в пределах территории Российской Федерации.
- Сроки обработки персональных данных
- Персональные данные субъектов, обрабатываемые Оператором, подлежат уничтожению либо обезличиванию в случае:
- 1) достижения целей обработки персональных данных или утраты необходимости в достижении этих целей;
- 2) прекращения деятельности Оператора;
- 3) истечения установленного срока хранения.
- Условия обработки персональных данных без использования средств автоматизации
- При обработке персональных данных, осуществляемой без использования средств автоматизации, Оператор выполняет требования, установленные постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
- Персональные данные при такой их обработке обособляются от иной информации, в частности, путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
- Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.
- Регламент реагирования на запросы обращения субъектов персональных данных и их представителей
- При обращении, запросе в письменной или электронной форме субъекта персональных данных или его законного представителя, на доступ к своим персональным данным Оператор руководствуется требованиями статей 14, 18 и 20 Федерального закона № 152-ФЗ.
- Субъект или его законный представитель может воспользоваться формами запросов (заявлений), указанными в приложениях 1-4 к данной Политике.
- Доступ субъекта персональных данных или его законного представителя к своим персональным данным Оператор предоставляет только под контролем ответственного за организацию обработки персональных данных Оператора.
- Обращение субъекта персональных данных или его законного представителя фиксируются в журнале учета обращений граждан (субъектов персональных данных) по вопросам обработки персональных данных.
- Запрос в письменной или электронной форме субъекта персональных данных или его законного представителя фиксируются в журнале регистрации письменных запросов граждан на доступ к своим персональным данным.
- Ответственный за организацию обработки персональных данных принимает решение о предоставлении доступа субъекта к персональным данным.
- В случае, если данных предоставленных субъектом недостаточно для установления его личности или предоставление персональных данных нарушает конституционные права и свободы других лиц ответственный за организацию обработки персональных данных подготавливает мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона № 152-ФЗ или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 30 рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо от даты получения запроса субъекта персональных данных или его законного представителя.
- Для предоставления доступа субъекта персональных данных или его законного представителя к персональным данным субъекта ответственный за организацию обработки персональных данных привлекает сотрудника (сотрудников) структурного подразделения, обрабатывающего персональные данные субъекта по согласованию с руководителем этого структурного подразделения.
- Сведения о наличии персональных данных Оператор предоставляет субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных. Контроль предоставления сведений субъекту или его законному представителю осуществляет ответственный за организацию обработки персональных данных.
- Сведения о наличии персональных данных предоставляются субъекту при ответе на запрос в течение 30 дней от даты получения запроса субъекта персональных данных или его законного представителя.
Регламент реагирования на запросы обращения уполномоченных органов
- В соответствии с частью 4 статьи 20 Федерального закона № 152-ФЗ Оператор сообщает в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение 30 дней с даты получения такого запроса.
- Сбор сведений для составления мотивированного ответа на запрос надзорных органов осуществляет ответственный за организацию обработки персональных данных при необходимости с привлечением сотрудников Оператора.
- В течение установленного срока ответственный за организацию обработки персональных данных подготавливает и направляет в уполномоченный орган мотивированный ответ и другие необходимые документы.