федеральное государственное бюджетное учреждение
НАЦИОНАЛЬНЫЙ МЕДИЦИНСКИЙ ИССЛЕДОВАТЕЛЬСКИЙ ЦЕНТР ИМЕНИ АКАДЕМИКА Е.Н. МЕШАЛКИНА 
Министерства здравоохранения Российской Федерации

Политика в отношении обработки персональных данных



Политика в отношении обработки персональных данных в федеральном государственном бюджетном учреждении «Национальный медицинский исследовательский центр имени академика Е.Н. Мешалкина» Министерства здравоохранения Российской Федерации







Наверх


ВВЕДЕНИЕ


Настоящим документом определяется политика федерального государственного бюджетного учреждения «Национальный медицинский исследовательский центр имени академика Е.Н. Мешалкина» Министерства здравоохранения Российской Федерации (далее - НМИЦ) в отношении обработки персональных данных (далее-ПДн).Документ предназначен для ознакомления неограниченного круга лиц.

Политика разработана в соответствии с действующим законодательством Российской федерации о ПДн :

  • Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
  • Федеральным законом от 27 июля 2006г №149-ФЗ «Об информации, информационных технологиях и защите информации»;
  • постановления Правительства Российской Федерации от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • постановления Правительства Российской Федерации от 15.09.2008 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • Приказом ФСТЭК России от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Действие настоящей Политики распространяется на любое действие (операцию) или совокупность действий(операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление , хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ) обезличивание, блокирование, удаление, уничтожение ПДн.

Настоящая Политика подлежит пересмотру и, при необходимости, актуализации в случае изменений в законодательстве Российской федерации о ПДн.





Наверх


ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ


Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу(субъекту персональных данных), в том числе: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, определяемая нормативно-правовыми актами Российской Федерации в области трудовых отношений и здравоохранения.

Обработка персональных данных - действия (операции) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, комбинирование, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке и действия (операции) совершаемые с персональными данными.

Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

Использование персональных данных - действия (операции) с персональными данными, совершаемые сотрудниками НМИЦ в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

Защита персональных данных – деятельность уполномоченных лиц по обеспечению с помощью локального регулирования порядка обработки персональных данных и обеспечение организационно-технических мер защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения.

Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающихих обработку информационных технологий и технических средств.





Наверх


1. ОБЩИЕ ПОЛОЖЕНИЯ


Настоящая Политика является обеспечение обработки ПДн в соответствии с требованиями действующего законодательства в сфере защиты ПДн, обеспечение безопасности ПДн, обрабатываемых в НМИЦ, от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности ПДн.

Безопасность ПДн достигается путем исключения несанкционированного, в том числе случайного, доступа к ПДн, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение ПДн, а также иных несанкционированных действий.

При обработке НМИЦ придерживается следующих принципов:

  • соблюдение законности получения, обработки, хранения, а так же других действий с ПДн;
  • обработка ПДн исключительно в целях, перечисленных в п.3 настоящей Политики;
  • хранение ПДн, обработка которых осуществляется с несвязанными между собой целями, в различных базах данных;
  • содержание и объем обрабатываемых ПДн соответсвует заявленным целям обработки. Обрабатываемые ПДн не являются избыточными по отношению к заявленным целям обработки;
  • выполнение мер по обеспечению безопасности ПДн, их точности, достаточности и других характеристик при обработке и хранении;
  • соблюдение прав субъекта ПДн на доступ к его ПДн;
  • соблюдение требований по уничтожению либо обезличиванию ПДн по достижении целей обработки или в случае утраты необходимости в достижении этих целей.

НМИЦ не производит обработку ПДн субъектов ПДн в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации.

В НМИЦ принятие решений на основании исключительно автоматизированной обработки ПДн не производится.





Наверх


2. ОБРАБАТЫВАЕМЫЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ


ИСПДн, принадлежащие НМИЦ , предназначены для обработки ПДн:

  • физических лиц, состоящих в трудовых отношениях с НМИЦ , в том числе бывших сотрудников по срочному, бессрочному трудовому или гражданско-правовому договору;
  • физических лиц, обратившихся за медицинской помощью в НМИЦ;
  • физических лиц, которым оказывается медицинская помощь в соответствии с договором;
  • физических лиц, направленных на лечение в НМИЦ органами власти субъектов Российской федерации;
  • физических лиц, проходящих обучение в НМИЦ;




Наверх


3. ЦЕЛИ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ


Цели обработки персональных данных в НМИЦ определены в соответствии с действующим законодательством и Уставом НМИЦ. Основными целями обработки персональных данных являются:

  • соблюдение законности получения, обработки, хранения, а так же других действий с ПДн;
  • исполнение обязанностей, как работодателя, в соответствии с законодательством Российской Федерации: содействие в трудоустройстве, обучении и продвижении по службе, ведение кадрового делопроизводства, обеспечение личной безопасности работника, контроль количества и качества выполняемой работы, обеспечение сохранности имущества, обеспечение медицинского и социального страхования, охраны труда, организация командирования работников;
  • исполнение гражданско-правовых договоров, стороной которого, либо выгодоприобретателем по которому является субъект персональных данных;
  • кардиохирургическая реабилитация пороков сердца, болезней миокарда и сосудов, физиология и патология кровообращения и газообмена;
  • оказание высокотехнологичной медицинской помощи населению;
  • архивное хранение документов в соответствии с законодательством Российской Федерации, в том числе выдача архивных справок по требованию субъекта персональных данных или его законного представителя.

Согласно Уставу, для достижения основных целей деятельности НМИЦ может осуществлять иные виды деятельности за счет федерального бюджета или по договорам, контрактам с физическими и юридическими лицами, в том числе заключенных в рамках реализации федеральных, отраслевых, региональных, ведомственных программ, на возмездной основе.





Наверх


4. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ И ИХ ПЕРЕДАЧА ТРЕТЬИМ ЛИЦАМ


4.1 Обработка персональных данных


Обработка ПДн в НМИЦ происходит как неавтоматизированным, так и автоматизированным способом.

К обработке ПДн в НМИЦ допускаются только сотрудники, прошедшие определенную процедуру допуска, к которой относятся:

  • ознакомление сотрудника под роспись с локальными нормативными актами НМИЦ , регламентирующими порядок и процедуру работы с ПДн;
  • взятие с сотрудника подписки о соблюдении конфиденциальности в отношении ПДн при работе с ними;
  • получение сотрудником и использование в работе индивидуальных атрибутов доступа к информационным системам (далее - ИС) НМИЦ , содержащим в себе ПДн. При этом каждому сотруднику выдаются минимально необходимые для исполнения трудовых обязанностей права на доступ в информационные системы ПДн (далее - ИСПДн).

Сотрудники, имеющие доступ к ПДн, получают только те ПДн, которые необходимы им для выполнения конкретных трудовых обязанностей.


4.2 Хранение персональных данных


ПДн хранятся в бумажном и электронном виде.

В бумажном виде ПДн должны храниться в специально оборудованных металлических шкафах и сейфах, которые запираются и опечатываются. Ключи от шкафов и сейфов при этом находятся у ответственного сотрудника, назначаемого приказом по НМИЦ.

В электронном виде ПДн хранятся в базах данных ИСПДн НМИЦ обработки данных НМИЦ, а также в архивных копиях баз данных этих ИСПДн.

Места хранения носителей персональных данных, порядок хранения, учета и уничтожения к ним регламентируются внутренними документами НМИЦ, утверждаемыми директором.

При хранении ПДн соблюдаются организационные и технические меры по обеспечению их сохранности и исключению несанкционированного доступа к ним:

  • назначение сотрудника, ответственного за обработку ПДн в подразделении;
  • ограничение физического доступа к местам обработки персональных данных;
  • cъемные электронные носители, на которых хранятся резервные копии персональных данных субъектов ПДн, должны быть промаркированы и учтены в журнале регистрации, учета и выдачи внешних носителей для хранения резервных копий ПДн;
  • учет всех информационных систем и электронных и бумажных носителей, а также архивных копий;
  • применение сертифицированных средств защиты информации (далее - СЗИ) и средств криптографической защиты информации (далее - СКЗИ).

4.3 Передача персональных данных


Для целей обработки данных НМИЦ может передавать ПДн исключительно своим сотрудникам и третьим лицам, подписавшим обязательство по обеспечению конфиденциальности и безопасности полученных сведений.

Также с письменного согласия пациента или его законного представителя допускается передача сведений, составляющих врачебную тайну, другим гражданам, в том числе должностным лицам, в целях медицинского обследования и лечения пациента, проведения научных исследований, их опубликования в научных изданиях, использования в учебном процессе и в иных целях.

Предоставление сведений, составляющих врачебную тайну, без согласия пациента или его законного представителя допускается:

  1. в целях проведения медицинского обследования и лечения гражданина, который в результате своего состояния не способен выразить свою волю, с учетом положений пункта 1 части 9 статьи 20 Федерального закона Российской Федерации от 21 ноября 2011 г. №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
  2. при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;
  3. по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля за поведением условно осужденного, осужденного, в отношении которого отбывание наказания отсрочено, и лица, освобожденного условно-досрочно;
  4. в случае оказания медицинской помощи несовершеннолетнему в соответствии с пунктом 2 части 2 статьи 20 Федерального закона Российской Федерации от 21 ноября 2011 г. №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», а также несовершеннолетнему, не достигшему возраста, установленного частью 2 статьи 54 Федерального закона Российской Федерации от 21 ноября 2011 г. №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», для информирования одного из его родителей или иного законного представителя;
  5. в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий;
  6. в целях проведения военно-врачебной экспертизы по запросам военных комиссариатов, кадровых служб и военно-врачебных (врачебно-летных) комиссий федеральных органов исполнительной власти, в которых федеральным законом предусмотрена военная и приравненная к ней служба;
  7. в целях расследования несчастного случая на производстве и профессионального заболевания;
  8. при обмене информацией медицинскими организациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований регуляторов по защите персональных данных;
  9. в целях осуществления учета и контроля в системе обязательного социального страхования;
  10. в целях осуществления контроля качества и безопасности медицинской деятельности в соответствии с Федеральным законом Российской Федерации от 21 ноября 2011 г. №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».


Передача персональных данных третьим лицам в остальных случаях возможна только с согласия субъекта ПДн и только с целью исполнения обязанностей перед субъектом ПДн в рамках договора, либо когда такая обязанность у НМИЦ наступает в результате требований федерального законодательства или при поступлении запроса от уполномоченных государственных органов. В последнем случае НМИЦ ограничивает передачу ПДн запрошенным объемом. Передача данных, в данном случае, должна фиксироваться в соответствующем журнале ответственным лицом.

Передача персональных данных третьим лицам возможна только в рамках соглашения об информационном обмене или поручения оператора на обработку ПДн. Исключением являются случаи предоставления информации в соответствии с требованиями о предоставлении информации, предъявленными уполномоченными государственными органами в соответствии с действующим законодательством.

В случае заключения поручения на обработку персональных данных с третьими лицами, в таком поручение должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона №152-ФЗ «О персональных данных».

При передаче персональных данных в электронном виде третьим лицам по открытым каналам связи НМИЦ обязан принимать все необходимые меры по защите передаваемой информации в соответствии с требованиями нормативно-методической документации регуляторов.





Наверх


5. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ


5.1. При обработке ПДн НМИЦ применяет необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДН, а также от иных неправомерных действий в отношении ПДн.

5.2. Обеспечение безопасности персональных данных в НМИЦ достигается следующими мерами:

  • определение угроз безопасности ПДн при их обработке в информационных системахПДн;
  • применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает, установленные Правительством Российской федерации уровни защищенности ПДн;
  • применение прошедших в установленном порядке процедуру оценки соответствия требованиям законодательства Российской федерации в области обеспечения безопасности информации средств защиты информации для нейтрализации актуальных угроз безопасности;
  • оценка эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационной системы ПДн;
  • учет машинных носителей ПДн;
  • обнаружение фактов несанкционированного доступа к ПДн и принятие мер по их нейтрализации;
  • восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • определением правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;
  • назначением сотрудника, ответственного за организацию обработки ПДн;
  • назначение структурного подразделения, ответственного за обеспечение безопасности персональных данных;
  • назначением для ИСПДн ответственных лиц (администратор ИСПДн, администратор безопасности, ответственный пользователь криптосредств);
  • определением списка лиц, допущенных к работе с ПДн;
  • разработкой и утверждением локальных нормативных актов НМИЦ, регламентирующих порядок обработки ПДн;
  • проведением обучения и повышением осведомленности сотрудников в области защиты ПДн;
  • контроль соответствия обработки ПДн Федеральному закону «О персональных данных» и принятым в соответсвии с ним нормативным правовым актам, требованиям к защите ПДн, лакальным актам НМИЦ, в том числе контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
  • ответственность за нарушение установленных правил обработки ПДн;




Наверх


6. ПРАВА


Субъект персональных данных имеет право на получение информации, касающейся обработки его ПДн, за исключением случаев, когда право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами.

6.1. В частности, субъект ПДн имеет право на получение следующей информации, касающейся обработки его ПДн:

  • подтверждение факта обработки ПДн;
  • правовые основания и цели обработки ПДн;
  • цели и применяемые способы обработки ПДн;
  • сведения о лицах (за исключением сотрудников НМИЦ), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора или на основании федерального закона;
  • обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения;
  • сроки обработки ПДн, в том числе сроки их хранения;
  • порядок осуществления субъектом ПДн своих прав;
  • информацию об осуществленной или предполагаемой трансганичной передаче данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению НМИЦ, если обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» или другими федеральными законами.

6.2. Потребовать от НМИЦ уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

6.3. Отозвать согласие на обработку ПДн в предусмотренных законом случаях.

Получить данную информацию субъект ПДн может, обратившись с письменным запросом в НМИЦ. Ответ, содержащий запрашиваемую информацию, либо мотивированный отказ в ее предоставлении направляется по адресу, указанному в запросе, в течение 30 дней.

Порядок обработки запросов субъектов ПДн по выполнению их законных прав в НМИЦ производится согласно утвержденному внутреннему документу, разработанному в соответствии с действующим законодательством в области защиты ПДн и подконтролен сотруднику, ответственному за обработку ПДн.




Наверх


7. ОБЯЗАННОСТИ


НМИЦ обязуется осуществлять обработку ПДн только с согласия субъектов ПДн, за исключением случаев, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

При сборе ПДн НМИЦ обязуется по запросу субъекта ПДн предоставлять информацию, касающуюся обработки его ПДн, перечисленную в п.6 настоящей Политики. В случае если предоставление ПДн является обязательным в соответствии с федеральным законом, НМИЦ обязуется разъяснять субъекту ПДн юридические последствия отказа предоставить его ПДн.

Если ПДн получены не от субъекта ПДн, НМИЦ до начала обработки таких ПДн обязуется предоставить субъекту ПДн сведения, касающиеся обработки его ПДн в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных». В случаях, если НМИЦ не является оператором ПДн, полученных от субъектов ПДн, обязанность по предоставлению субъекту ПДн соответствующих сведений возлагается на оператора ПДн, от которого эти данные получены.

НМИЦ обработке ПДн обязуется принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении ПДн. Описание принимаемых мер приведено в п.5 настоящей Политики.

НМИЦ обязуется отвечать на запросы субъектов ПДн, их представителей, а также уполномоченного органа по защите прав субъектов ПДн касательно обрабатываемых ПДн в соответствии с требованиями законодательства.

В случае предоставления субъектом ПДн, либо его представителем сведений, подтверждающих факты каких-либо нарушений в процессе обработки ПДн, НМИЦ обязуется устранить данные нарушения в течение семи рабочих дней и уведомить субъекта ПДн о внесенных изменениях и предпринятых мерах.

В случае достижения целей обработки ПДн НМИЦ обязуется прекратить обработку ПДн и уничтожить ПДн в течение 30 дней, если иное не предусмотрено условиями договора, заключенного с субъектом ПДн, либо иным соглашением.

НМИЦ обязуется уведомлять уполномоченный орган по защите прав субъектов ПДн о своем намерении осуществлять обработку ПДн, за исключением случаев, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных». В случае изменения предоставленных сведений Центр обязуется предоставлять актуализированные сведения в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки ПДн.




Наверх


8. ОТВЕТСТВЕННОСТЬ


НМИЦ несет ответственность за разработку, введение и действенность соответствующих требованиям законодательства норм, регламентирующих получение, обработку и защиту ПДн.

leftmail@meshalkin.ru