Защита персональных данных

 Этот документ в формате PDF

Политика 
ГАУДПО «НПЦ «Уралмедсоцэкономпроблем» в отношении обработки персональных данных

1. Общие положения

Настоящая Политика в отношении обработки персональных данных (далее – Политика) разработана в ГАУДПО «НПЦ «Уралмедсоцэкономпроблем» (далее – Организация) в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ "О персональных данных" (далее — федеральный закон) в целях обеспечения защиты прав и свобод физических лиц при обработке их персональных данных, а также в целях соблюдения требований законодательства Российской Федерации в области персональных данных.

Настоящая Политика обязательна к исполнению всеми сотрудниками Организации, описывает основные цели, принципы обработки и требования к безопасности персональных данных и действует в отношении всех персональных данных, обрабатываемых в Организации.

Персональные данные собираются и обрабатываются Организацией исключительно на законных основаниях, с согласия субъектов персональных данных, в целях исполнения трудовых договоров, служебных контрактов, предоставления услуг при обращении субъектов персональных данных по направлениям деятельности Организации.

Предоставляя свои персональные данные в Организацию, субъект персональных данных подтверждает свое согласие на их обработку любым способом в целях, в порядке и объеме, установленных действующим законодательством Российской Федерации.

В целях защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных в Организации разработаны необходимые правовые, организационные и технические меры.

Перечень основных проводимых мероприятий по защите информации в Организации включает в себя:

- разработка, введение в действие и обеспечение исполнения локальных нормативных актов, регламентирующих работу с персональными данными, в том числе определяющими условия и порядок доступа к информационным системам персональных данных, а также соблюдение требований конфиденциальности персональных данных; 

- обеспечение необходимыми средствами защиты рабочих мест, мест хранения носителей информации и помещений в соответствии с установленными требованиями, обеспечивающими ограничение доступа к персональным данным, их уничтожению, изменению, блокированию, копированию и распространению;

- обеспечение ограничения, разграничения и непрерывного контроля доступа должностных лиц к персональным данным, носителям информации, помещениям и средствам обработки.

Требования настоящей Политики распространяются на всех сотрудников Организации (штатных, временных, работающих по контракту и т.п.), а также всех прочих лиц (подрядчики, аудиторы и т.п.).

Организация несет ответственность за нарушение обязательств по обеспечению безопасности и конфиденциальности персональных данных при их обработке в соответствии с законодательством Российской Федерации.

2. Информация об операторе

2.1. Наименование оператора: государственное автономное учреждение дополнительного профессионального образования "Уральский научно-практический центр медико-социальных и экономических проблем здравоохранения" (ГАУДПО "Уралмедсоцэкономпроблем"),

2.2. Адрес местонахождения: 620075, Свердловская обл, Екатеринбург г, Карла Либкнехта ул, дом 8-Б

2.3. Почтовый адреc: 620075, Свердловская обл, г. Екатеринбург, ул. Карла Либкнехта дом 8, стр. Б

2.4. ИНН: 6662074750,  ОГРН 1026605424450

2.5. Регистрационный номер записи в реестре операторов, осуществляющих обработку персональных данных: 09-0067701.

2.2.6. Дата внесения оператора в реестр операторов, осуществляющих обработку персональных данных: 19.10.2009

3. Категории субъектов персональных данных, персональные данные которых обрабатываются Министерством, источники их получения, сроки обработки и хранения

3.1. Организация обрабатывает персональные данные следующих категорий субъектов персональных данных:

3.1.1. работники Организации;

3.1.2. слушатели образовательных курсов, проходящих на базе Организации.

3.2. Содержание и объем обрабатываемых Организацией персональных данных категорий субъектов персональных данных, указанных в пункте 3.1 настоящей политики, определяются в соответствии с целями обработки персональных данных, указанными в пункте 1 настоящей политики. Организация не обрабатывает персональные данные, которые являются избыточными по отношению к указанным целям обработки или несовместимы с такими целями.

3.3. В случаях, установленных федеральным законом, обработка Организацией персональных данных осуществляется без согласия субъекта персональных данных на обработку его персональных данных. В иных случаях обработка персональных данных осуществляется только с письменного согласия субъекта персональных данных на обработку его персональных данных в соответствии со статьей 9 федерального закона.

3.4. Сроки обработки и хранения персональных данных Министерством определяются для каждой цели обработки персональных данных в соответствии с законодательно установленными сроками хранения документации, образующейся в процессе деятельности Организации, в соответствии со сроком действия договора с субъектом персональных данных, сроками исковой давности, сроками хранения документов бухгалтерского учета и на основании "Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения", утвержденного приказом Министерством культуры Российской Федерации от 25.08.2010 г. № 558, и иных требований законодательства Российской Федерации.

4. Общая характеристика принимаемых Организацией мер по обеспечению безопасности персональных данных при их обработке

4.1. Организация обеспечивает конфиденциальность обрабатываемых персональных данных: не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральными законами.

4.2. Организация обеспечивает защиту персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

4.3. Организация принимает необходимые правовые, организационные, технические, физические, криптографические меры защиты персональных данных, а также меры, направленные на обеспечение выполнения обязанностей, предусмотренных федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Такие меры, в том числе, включают следующие:

4.3.1. назначение работника, ответственного за организацию обработки персональных данных;

4.3.2. издание правовых актов, регламентирующих вопросы обработки и защиты персональных данных;

4.3.3. ознакомление работников Организации, непосредственно осуществляющих обработку персональных данных, под роспись с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, распорядительными документами Организации, регламентирующими вопросы обработки и защиты персональных данных, а также с ответственностью за разглашение персональных данных, нарушение порядка обращения с документами, содержащими такие данные, и иные неправомерные действия в отношении персональных данных;

4.3.4. создание системы внутреннего контроля соответствия обработки персональных данных законодательству Российской Федерации, в том числе требованиям к защите персональных данных;

4.3.5. анализ и оценка угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

4.3.6. реализация разрешительной системы доступа работников Организации и иных лиц к персональным данным и связанным с их использованием работам, материальным носителям; обеспечение соблюдения условий, при которых работники Организации, иные лица получают доступ к персональным данным только в пределах, необходимых для выполнения своих должностных обязанностей, либо в объемах, вызванных необходимостью;

4.3.7. регистрация и учет действий работников Организации, допущенных к персональным данным;

4.3.8. ограничение доступа работников Организации и иных лиц в помещения, где размещены технические средства, предназначенные для обработки персональных данных, и хранятся носители персональных данных, к информационным ресурсам, программным средствам обработки и защиты информации;

4.3.9. учет материальных (машинных, бумажных) носителей персональных данных и обеспечение их сохранности;

4.3.10. определение мест хранения материальных носителей персональных данных и обеспечение раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях;

4.3.11. использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;

4.3.12. предотвращение внедрения в информационные системы программ- вирусов, программных закладок;

4.3.13. резервирование технических средств и дублирование массивов и носителей информации;

4.3.14. обеспечение защиты персональных данных при подключении информационных систем к информационно-телекоммуникационным сетям, в том числе сети интернет;

4.3.15. восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

4.3.16. своевременное обнаружение фактов разглашения, утечки, несанкционированного доступа к персональным данным и принятие мер по таким фактам;

4.3.17. оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем;

4.3.18. контроль за принимаемыми мерами по обеспечению безопасности персональных данных.

4.4. Меры по обеспечению безопасности персональных данных при их обработке принимаются Организации с соблюдением требований федерального закона, иных нормативных правовых актов Российской Федерации.:

4.4.1. постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

4.4.2. постановление Правительства Российской Федерации от 15.09.2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

4.4.3. приказ ФСТЭК России от 11.02.2013 г. № 17 "Об утверждении Требований по защите информации, не составляющей государственную тайну, содержащихся в государственных информационных системах";

4.4.4. приказ ФСТЭК России от 18.02.2013 г. № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"; иные нормативные документы ФСТЭК России, нормативные документы ФСБ России.

5. Права субъекта персональных данных

5.1. Субъект персональных данных имеет право на:

5.1.1 получение информации, касающейся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами, в том числе по основаниям, установленным частью 8 статьи 14 федерального закона;

5.1.2 обжалование действий или бездействия Организации в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, если субъект персональных данных считает, что Организация осуществляет обработку его персональных данных с нарушением требований федерального закона или иным образом нарушает его права и свободы;

5.1.3 защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;

5.1.4 требование от Организации уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также уведомления о внесенных изменениях и предпринятых мерах третьих лиц, которым персональные данные, относящиеся к соответствующему субъекту, были переданы;

5.1.5 отзыв своего согласия на обработку персональных данных в соответствии со статьей 9 федерального закона (в случаях, когда обработка Организацией персональных данных осуществляется на основании согласия субъекта персональных данных).

5.2. Информация, касающаяся обработки персональных данных, предоставляется субъекту персональных данных или его представителю в доступной форме при обращении в Организацию или при получении Организацией запроса субъекта персональных данных или его представителя. Указанный запрос должен быть оформлен в соответствии с требованиями части 3 статьи 14 федерального закона и может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

5.3. Организация обязана сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, предоставить безвозмездно возможность ознакомления с такими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя, а также, в установленных федеральным законом случаях, порядке и сроки, устранить нарушения законодательства Российской Федерации, допущенные при обработке персональных данных, уточнить, блокировать или уничтожить персональные данные соответствующего субъекта персональных данных.

Организация обязана уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.