Политика в отношении обработки персональных данных ФГБУ «НМИЦ колопроктологии имени А.Н. Рыжих» Минздрава России

1. Общие положения

1.1.         С целью поддержания деловой репутации и обеспечения выполнения требований федерального законодательства ФГБУ «НМИЦ колопроктологии имени А.Н. Рыжих» Министерства здравоохранения Российской Федерации (далее – НМИЦ) считает важнейшей задачей – обеспечение надлежащего уровня защиты обрабатываемых в НМИЦ персональных данных, как правовой, так и организационно-технической.
1.2.         Политика в отношении обработки персональных данных ФГБУ «НМИЦ колопроктологии имени А.Н. Рыжих» Министерства здравоохранения Российской Федерации» (далее – Политика) подробно описывает, какого рода информацию собирается и каким образом эта информация обрабатывается в НМИЦ.
1.3.         НМИЦ обрабатывает персональные данные физических лиц на законных основаниях в соответствии с ч. 1 ст. 6 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», например, но не ограничиваясь:
для осуществления и выполнения возложенных законодательством Российской Федерации на НМИЦ функций, полномочий и обязанностей;
для исполнения или заключения договора, стороной которого либо выгодоприобретателем, по которому является субъект персональных данных;
на основании согласия на обработку персональных данных.
1.4.         Как оператор персональных данных НМИЦ реализовал многочисленные технические и организационные меры для обеспечения максимально полной защиты персональных данных.

2. Контактная информация

ФГБУ «НМИЦ колопроктологии имени А.Н. Рыжих» Минздрава России.

Юридический адрес: 123423, г. Москва, ул. Саляма Адиля д. 2.
Фактический адрес: 123423, г. Москва, ул. Саляма Адиля д. 2.
Телефон: +7(499) 642-54-40.
Сайт: https://gnck.ru.
Адрес электронной почты: info@gnck.ru.
Ответственный за обработку персональных данных: специалист по информационной безопасности.

3. Принципы обработки персональных данных

3.1. При обработке персональных данных НМИЦ придерживается следующих принципов:
осуществляет обработку персональных данных только на законной основе;
определяет конкретные законные цели до начала обработки (в том числе сбора) персональных данных;
собирает только те персональные данные, которые являются необходимыми и достаточными для заявленных целей обработки;
производит уничтожение персональных данных по достижении целей обработки или в случае утраты необходимости в достижении целей (если иное не предусмотрено договором или иным соглашением с субъектом персональных данных либо законодательством Российской Федерации).

4. Условия и способы обработки персональных данных в НМИЦ

4.1.         Обработка персональных данных в НМИЦ осуществляется только при наличии надлежащего правового основания: с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено действующим законодательством Российской Федерации в области персональных данных.
4.2.         В НМИЦ не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений и интимной жизни.
4.3.         НМИЦ обрабатывает персональные данные о состоянии здоровья с согласия субъекта персональных данных.
4.4.         НМИЦ не использует персональные данные субъектов персональных данных для принятия решений на основании исключительно их автоматизированной обработки, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих их права и законные интересы.
4.5.         НМИЦ не обрабатывает биометрические персональные данные.
4.6.         НМИЦ не распространяет персональные данные без отдельного предварительно полученного согласия субъекта персональных данных или его законного представителя.
4.7.         НМИЦ не раскрывает и не передает третьим лицам персональные данные без наличия надлежащего правового основания. При передаче персональных данных субъектов персональных данных, третьи лица НМИЦ обязательно предупреждаются о конфиденциальности передаваемых сведений.
4.8.         НМИЦ не осуществляет трансграничной передачи персональных данных.
4.9.         НМИЦ вправе поручить обработку персональных данных третьим лицам с согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, на основании заключаемого с этими лицами договора.
4.10.     Лица, осуществляющие обработку персональных данных по поручению НМИЦ на основании заключенного договора, соблюдают принципы и правила обработки и защиты персональных данных, предусмотренные законодательством Российской Федерации. Для каждого третьего лица в договоре определяются перечень действий (операций) с персональными данными, которые будут совершаться таким третьим лицом, осуществляющим обработку персональных данных, цели обработки персональных данных, устанавливается обязанность такого лица соблюдать конфиденциальность и обеспечивать безопасность персональных данных при их обработке, указываются требования к защите обрабатываемых персональных данных в соответствии с законодательством Российской Федерации.
4.11.     В случае если НМИЦ поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет НМИЦ. Лицо, осуществляющее обработку персональных данных по поручению НМИЦ, несет ответственность перед НМИЦ.
4.12.     НМИЦ осуществляет обработку персональных данных следующими способами:
с использованием средств автоматизации, в том числе с использованием информационных технологий и технических средств, включая средства вычислительной техники, информационно-технические комплексы и сети, средства и системы передачи, приема и обработки персональных данных, программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах;
без использования средств автоматизации.
4.13.     Совокупность операций обработки персональных данных, осуществляемых НМИЦ, включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ, распространение), блокирование, удаление и уничтожение персональных данных.

5. Источники персональных данных

5.1.         Персональные данные субъектов персональных данных могут быть получены НМИЦ непосредственно от субъекта персональных данных лично или от его представителя, который действует в интересах субъекта персональных данных, или от контрагента (как правило, это работодатель субъекта персональных данных), который передает персональные данные для исполнения условий договора или поручает НМИЦ обработку персональных данных.

6. Получатели персональных данных

6.1.         Работники НМИЦ – ФНС, СФР.
Цель передачи: отправка отчетности в ФНС, СФР в целях исполнения требований законодательства.
6.2.         Работники НМИЦ, а также физические лица, выполняющие работы (оказывающие услуги) на основании гражданско-правовых договоров с НМИЦ – Банки.
Цель передачи: осуществление расчета и начисления заработной платы и иных выплат.
6.3.         Обучающиеся – ФИС ФРДО / ФИС ГИА, учебные заведения.
Цель передачи: организация и сопровождение учебного процесса.

6.4.         Посетители сайта НМИЦ – ООО «Яндекс».
Цель передачи: мониторинг посетителей сайта.
6.5.         Работники НМИЦ – площадки для проведения закупочных процедур.
Цель передачи: проведение закупочных процедур.
6.6.         Работники НМИЦ – поликлиники.
Цель передачи: организация медицинских осмотров.

6.7     Работники НМИЦ – система ЭЦП
Цель передачи: управление электронными подписями.
6.8     Работники/посетители НМИЦ – ИС «СКУД PERCo-s-20»
Цель передачи: обеспечение пропускного режима
6.9     Пациенты НМИЦ – ГАИС «Асклепиус»
Цель передачи: медицинские услуги.

7. Защита персональных данных

7.1.            В НМИЦ реализована совокупность мер, направленных на обеспечение безопасности персональных данных в процессе деятельности НМИЦ.
7.2.         Для защиты персональных данных в НМИЦ установлены следующие меры:
назначение лица, ответственного за организацию обработки персональных данных;
разработка и утверждение локальных актов по вопросам обработки и защиты персональных данных;
применение средств защиты информации;
учет материальных носителей персональных данных;
возможность обнаружения фактов несанкционированного доступа к персональным данным и принятие мер по недопущению подобных инцидентов в дальнейшем;
возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
установление правил доступа к персональным данным, обрабатываемым в информационных системах, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах;
контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем;
проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения требований законодательства, соотношение указанного вреда и принимаемых НМИЦ мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством;
соблюдение условий, исключающих несанкционированный доступ к материальным носителям персональных данных и обеспечивающих сохранность персональных данных;
ознакомление работников НМИЦ, непосредственно осуществляющих обработку персональных данных, с требованиями законодательства о персональных данных;
организация порядка уничтожения информации, содержащей персональные данные;
разъяснительная работа с работниками НМИЦ по предупреждению угроз или опасности утраты персональных данных;
организация пропускного режима в НМИЦ;
организация порядка охраны территории, зданий, помещений НМИЦ.
7.3.         В НМИЦ выстроен процесс реагирования на инциденты информационной безопасности. Если Вам известно о факте утечки персональных данных в НМИЦ, пожалуйста, сообщите об этом по следующим каналам:
по телефону +7(499) 642-54-40;
по адресу электронной почты info@gnck.ru.

8. Права и обязанности НМИЦ как оператора персональных данных

8.1.         НМИЦ имеет право:
отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством Российской Федерации;
обрабатывать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством Российской Федерации;
осуществлять иные права оператора персональных данных.
8.2.         НМИЦ обязан:
предоставлять персональные данные по требованию уполномоченных государственных органов, если это предусмотрено законодательством Российской Федерации (налоговые, правоохранительные органы и др.);
предоставлять субъектам персональных данных по их требованию информацию, касающуюся обработки их персональных данных;
разъяснить субъектам персональных данных юридические последствия их отказа в предоставлении НМИЦ своих персональных данных при условии, что такое предоставление является обязательным в соответствии с законодательством Российской Федерации;
в случае получения персональных данных не от субъекта персональных данных, за исключением случаев, предусмотренных ч. 4 ст. 18 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», до начала обработки таких персональных данных предоставить субъекту персональных данных следующую информацию:
наименование НМИЦ;
цель обработки персональных данных и ее правовое основание;
перечень персональных данных;
предполагаемые пользователи персональных данных;
установленные Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» права субъекта персональных данных;
источник получения персональных данных;
при сборе персональных данных, в том числе посредством сети Интернет, обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 ст. 6 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
исполнять иные обязанности оператора персональных данных.
9. Права субъекта персональных данных
9.1.         Отозвать в любое время согласие на обработку персональных данных. Рекомендуемая форма отзыва согласия на обработку персональных данных представлена в Приложении № 1 к настоящей Политике.
9.2.         Получить от НМИЦ сведения, указанных в части 7 статьи 14 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», за исключением случаев, предусмотренных частью 8 статьи 14 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных». Рекомендуемые формы запросов субъектов персональных данных представлены в Приложениях № 2, 3 к настоящей Политике.
9.3.         Требовать от НМИЦ уточнения персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
9.4.         Обжаловать действия или бездействие НМИЦ в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.