Настоящим документом определяется политика федерального государственного бюджетного учреждения «Национальный медицинский исследовательский центр имени академика Е.Н. Мешалкина» Министерства здравоохранения Российской Федерации (далее - НМИЦ) в отношении обработки персональных данных (далее-ПДн).Документ предназначен для ознакомления неограниченного круга лиц.
Политика разработана в соответствии с действующим законодательством Российской федерации о ПДн :
Действие настоящей Политики распространяется на любое действие (операцию) или совокупность действий(операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление , хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ) обезличивание, блокирование, удаление, уничтожение ПДн.
Настоящая Политика подлежит пересмотру и, при необходимости, актуализации в случае изменений в законодательстве Российской федерации о ПДн.
Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу(субъекту персональных данных), в том числе: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, определяемая нормативно-правовыми актами Российской Федерации в области трудовых отношений и здравоохранения.
Обработка персональных данных - действия (операции) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, комбинирование, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке и действия (операции) совершаемые с персональными данными.
Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
Использование персональных данных - действия (операции) с персональными данными, совершаемые сотрудниками НМИЦ в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.
Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
Защита персональных данных – деятельность уполномоченных лиц по обеспечению с помощью локального регулирования порядка обработки персональных данных и обеспечение организационно-технических мер защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения.
Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающихих обработку информационных технологий и технических средств.
Настоящая Политика является обеспечение обработки ПДн в соответствии с требованиями действующего законодательства в сфере защиты ПДн, обеспечение безопасности ПДн, обрабатываемых в НМИЦ, от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности ПДн.
Безопасность ПДн достигается путем исключения несанкционированного, в том числе случайного, доступа к ПДн, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение ПДн, а также иных несанкционированных действий.
При обработке НМИЦ придерживается следующих принципов:
НМИЦ не производит обработку ПДн субъектов ПДн в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации.
В НМИЦ принятие решений на основании исключительно автоматизированной обработки ПДн не производится.
ИСПДн, принадлежащие НМИЦ , предназначены для обработки ПДн:
Цели обработки персональных данных в НМИЦ определены в соответствии с действующим законодательством и Уставом НМИЦ. Основными целями обработки персональных данных являются:
Согласно Уставу, для достижения основных целей деятельности НМИЦ может осуществлять иные виды деятельности за счет федерального бюджета или по договорам, контрактам с физическими и юридическими лицами, в том числе заключенных в рамках реализации федеральных, отраслевых, региональных, ведомственных программ, на возмездной основе.
Обработка ПДн в НМИЦ происходит как неавтоматизированным, так и автоматизированным способом.
К обработке ПДн в НМИЦ допускаются только сотрудники, прошедшие определенную процедуру допуска, к которой относятся:
Сотрудники, имеющие доступ к ПДн, получают только те ПДн, которые необходимы им для выполнения конкретных трудовых обязанностей.
ПДн хранятся в бумажном и электронном виде.
В бумажном виде ПДн должны храниться в специально оборудованных металлических шкафах и сейфах, которые запираются и опечатываются. Ключи от шкафов и сейфов при этом находятся у ответственного сотрудника, назначаемого приказом по НМИЦ.
В электронном виде ПДн хранятся в базах данных ИСПДн НМИЦ обработки данных НМИЦ, а также в архивных копиях баз данных этих ИСПДн.
Места хранения носителей персональных данных, порядок хранения, учета и уничтожения к ним регламентируются внутренними документами НМИЦ, утверждаемыми директором.
При хранении ПДн соблюдаются организационные и технические меры по обеспечению их сохранности и исключению несанкционированного доступа к ним:
Для целей обработки данных НМИЦ может передавать ПДн исключительно своим сотрудникам и третьим лицам, подписавшим обязательство по обеспечению конфиденциальности и безопасности полученных сведений.
Также с письменного согласия пациента или его законного представителя допускается передача сведений, составляющих врачебную тайну, другим гражданам, в том числе должностным лицам, в целях медицинского обследования и лечения пациента, проведения научных исследований, их опубликования в научных изданиях, использования в учебном процессе и в иных целях.
Предоставление сведений, составляющих врачебную тайну, без согласия пациента или его законного представителя допускается:
Передача персональных данных третьим лицам в остальных случаях возможна только с согласия субъекта ПДн и только с целью исполнения обязанностей перед субъектом ПДн в рамках договора, либо когда такая обязанность у НМИЦ наступает в результате требований федерального законодательства или при поступлении запроса от уполномоченных государственных органов. В последнем случае НМИЦ ограничивает передачу ПДн запрошенным объемом. Передача данных, в данном случае, должна фиксироваться в соответствующем журнале ответственным лицом.
Передача персональных данных третьим лицам возможна только в рамках соглашения об информационном обмене или поручения оператора на обработку ПДн. Исключением являются случаи предоставления информации в соответствии с требованиями о предоставлении информации, предъявленными уполномоченными государственными органами в соответствии с действующим законодательством.
В случае заключения поручения на обработку персональных данных с третьими лицами, в таком поручение должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона №152-ФЗ «О персональных данных».
При передаче персональных данных в электронном виде третьим лицам по открытым каналам связи НМИЦ обязан принимать все необходимые меры по защите передаваемой информации в соответствии с требованиями нормативно-методической документации регуляторов.
5.1. При обработке ПДн НМИЦ применяет необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДН, а также от иных неправомерных действий в отношении ПДн.
5.2. Обеспечение безопасности персональных данных в НМИЦ достигается следующими мерами:
Субъект персональных данных имеет право на получение информации, касающейся обработки его ПДн, за исключением случаев, когда право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами.
6.1. В частности, субъект ПДн имеет право на получение следующей информации, касающейся обработки его ПДн:
6.2. Потребовать от НМИЦ уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
6.3. Отозвать согласие на обработку ПДн в предусмотренных законом случаях.
Получить данную информацию субъект ПДн может, обратившись с письменным запросом в НМИЦ. Ответ, содержащий запрашиваемую информацию, либо мотивированный отказ в ее предоставлении направляется по адресу, указанному в запросе, в течение 30 дней.
Порядок обработки запросов субъектов ПДн по выполнению их законных прав в НМИЦ производится согласно утвержденному внутреннему документу, разработанному в соответствии с действующим законодательством в области защиты ПДн и подконтролен сотруднику, ответственному за обработку ПДн.
НМИЦ обязуется осуществлять обработку ПДн только с согласия субъектов ПДн, за исключением случаев, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
При сборе ПДн НМИЦ обязуется по запросу субъекта ПДн предоставлять информацию, касающуюся обработки его ПДн, перечисленную в п.6 настоящей Политики. В случае если предоставление ПДн является обязательным в соответствии с федеральным законом, НМИЦ обязуется разъяснять субъекту ПДн юридические последствия отказа предоставить его ПДн.
Если ПДн получены не от субъекта ПДн, НМИЦ до начала обработки таких ПДн обязуется предоставить субъекту ПДн сведения, касающиеся обработки его ПДн в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных». В случаях, если НМИЦ не является оператором ПДн, полученных от субъектов ПДн, обязанность по предоставлению субъекту ПДн соответствующих сведений возлагается на оператора ПДн, от которого эти данные получены.
НМИЦ обработке ПДн обязуется принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении ПДн. Описание принимаемых мер приведено в п.5 настоящей Политики.
НМИЦ обязуется отвечать на запросы субъектов ПДн, их представителей, а также уполномоченного органа по защите прав субъектов ПДн касательно обрабатываемых ПДн в соответствии с требованиями законодательства.
В случае предоставления субъектом ПДн, либо его представителем сведений, подтверждающих факты каких-либо нарушений в процессе обработки ПДн, НМИЦ обязуется устранить данные нарушения в течение семи рабочих дней и уведомить субъекта ПДн о внесенных изменениях и предпринятых мерах.
В случае достижения целей обработки ПДн НМИЦ обязуется прекратить обработку ПДн и уничтожить ПДн в течение 30 дней, если иное не предусмотрено условиями договора, заключенного с субъектом ПДн, либо иным соглашением.
НМИЦ обязуется уведомлять уполномоченный орган по защите прав субъектов ПДн о своем намерении осуществлять обработку ПДн, за исключением случаев, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных». В случае изменения предоставленных сведений Центр обязуется предоставлять актуализированные сведения в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки ПДн.