Информация о государственных услугах, предоставляемых в электронном виде
Календарь памятных дат военной истории России
Руководство проекта запрещает использование адресов E-mail, находящихся на сайте, для нелицензионных массовых рассылок (СПАМа) и занесения их в базы данных. Нарушители будут привлекаться к ответственности в соответствии со ст. 272 УК РФ.
Защита персональных данных
Политика
ГАУДПО «НПЦ «Уралмедсоцэкономпроблем» в отношении обработки персональных данных
1. Общие положения
Настоящая Политика в отношении обработки персональных данных (далее – Политика) разработана в ГАУДПО «НПЦ «Уралмедсоцэкономпроблем» (далее – Организация) в соответствии с Федеральным законом от 27.07.2006 г. № 152-ФЗ "О персональных данных" (далее — федеральный закон) в целях обеспечения защиты прав и свобод физических лиц при обработке их персональных данных, а также в целях соблюдения требований законодательства Российской Федерации в области персональных данных.
Настоящая Политика обязательна к исполнению всеми сотрудниками Организации, описывает основные цели, принципы обработки и требования к безопасности персональных данных и действует в отношении всех персональных данных, обрабатываемых в Организации.
Персональные данные собираются и обрабатываются Организацией исключительно на законных основаниях, с согласия субъектов персональных данных, в целях исполнения трудовых договоров, служебных контрактов, предоставления услуг при обращении субъектов персональных данных по направлениям деятельности Организации.
Предоставляя свои персональные данные в Организацию, субъект персональных данных подтверждает свое согласие на их обработку любым способом в целях, в порядке и объеме, установленных действующим законодательством Российской Федерации.
В целях защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных в Организации разработаны необходимые правовые, организационные и технические меры.
Перечень основных проводимых мероприятий по защите информации в Организации включает в себя:
- разработка, введение в действие и обеспечение исполнения локальных нормативных актов, регламентирующих работу с персональными данными, в том числе определяющими условия и порядок доступа к информационным системам персональных данных, а также соблюдение требований конфиденциальности персональных данных;
- обеспечение необходимыми средствами защиты рабочих мест, мест хранения носителей информации и помещений в соответствии с установленными требованиями, обеспечивающими ограничение доступа к персональным данным, их уничтожению, изменению, блокированию, копированию и распространению;
- обеспечение ограничения, разграничения и непрерывного контроля доступа должностных лиц к персональным данным, носителям информации, помещениям и средствам обработки.
Требования настоящей Политики распространяются на всех сотрудников Организации (штатных, временных, работающих по контракту и т.п.), а также всех прочих лиц (подрядчики, аудиторы и т.п.).
Организация несет ответственность за нарушение обязательств по обеспечению безопасности и конфиденциальности персональных данных при их обработке в соответствии с законодательством Российской Федерации.
2. Информация об операторе
2.1. Наименование оператора: государственное автономное учреждение дополнительного профессионального образования "Уральский научно-практический центр медико-социальных и экономических проблем здравоохранения" (ГАУДПО "Уралмедсоцэкономпроблем"),
2.2. Адрес местонахождения: 620075, Свердловская обл, Екатеринбург г, Карла Либкнехта ул, дом 8-Б
2.3. Почтовый адреc: 620075, Свердловская обл, г. Екатеринбург, ул. Карла Либкнехта дом 8, стр. Б
2.4. ИНН: 6662074750, ОГРН 1026605424450
2.5. Регистрационный номер записи в реестре операторов, осуществляющих обработку персональных данных: 09-0067701.
2.2.6. Дата внесения оператора в реестр операторов, осуществляющих обработку персональных данных: 19.10.2009
3. Категории субъектов персональных данных, персональные данные которых обрабатываются Министерством, источники их получения, сроки обработки и хранения
3.1. Организация обрабатывает персональные данные следующих категорий субъектов персональных данных:
3.1.1. работники Организации;
3.1.2. слушатели образовательных курсов, проходящих на базе Организации.
3.2. Содержание и объем обрабатываемых Организацией персональных данных категорий субъектов персональных данных, указанных в пункте 3.1 настоящей политики, определяются в соответствии с целями обработки персональных данных, указанными в пункте 1 настоящей политики. Организация не обрабатывает персональные данные, которые являются избыточными по отношению к указанным целям обработки или несовместимы с такими целями.
3.3. В случаях, установленных федеральным законом, обработка Организацией персональных данных осуществляется без согласия субъекта персональных данных на обработку его персональных данных. В иных случаях обработка персональных данных осуществляется только с письменного согласия субъекта персональных данных на обработку его персональных данных в соответствии со статьей 9 федерального закона.
3.4. Сроки обработки и хранения персональных данных Министерством определяются для каждой цели обработки персональных данных в соответствии с законодательно установленными сроками хранения документации, образующейся в процессе деятельности Организации, в соответствии со сроком действия договора с субъектом персональных данных, сроками исковой давности, сроками хранения документов бухгалтерского учета и на основании "Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения", утвержденного приказом Министерством культуры Российской Федерации от 25.08.2010 г. № 558, и иных требований законодательства Российской Федерации.
4. Общая характеристика принимаемых Организацией мер по обеспечению безопасности персональных данных при их обработке
4.1. Организация обеспечивает конфиденциальность обрабатываемых персональных данных: не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральными законами.
4.2. Организация обеспечивает защиту персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
4.3. Организация принимает необходимые правовые, организационные, технические, физические, криптографические меры защиты персональных данных, а также меры, направленные на обеспечение выполнения обязанностей, предусмотренных федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Такие меры, в том числе, включают следующие:
4.3.1. назначение работника, ответственного за организацию обработки персональных данных;
4.3.2. издание правовых актов, регламентирующих вопросы обработки и защиты персональных данных;
4.3.3. ознакомление работников Организации, непосредственно осуществляющих обработку персональных данных, под роспись с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, распорядительными документами Организации, регламентирующими вопросы обработки и защиты персональных данных, а также с ответственностью за разглашение персональных данных, нарушение порядка обращения с документами, содержащими такие данные, и иные неправомерные действия в отношении персональных данных;
4.3.4. создание системы внутреннего контроля соответствия обработки персональных данных законодательству Российской Федерации, в том числе требованиям к защите персональных данных;
4.3.5. анализ и оценка угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
4.3.6. реализация разрешительной системы доступа работников Организации и иных лиц к персональным данным и связанным с их использованием работам, материальным носителям; обеспечение соблюдения условий, при которых работники Организации, иные лица получают доступ к персональным данным только в пределах, необходимых для выполнения своих должностных обязанностей, либо в объемах, вызванных необходимостью;
4.3.7. регистрация и учет действий работников Организации, допущенных к персональным данным;
4.3.8. ограничение доступа работников Организации и иных лиц в помещения, где размещены технические средства, предназначенные для обработки персональных данных, и хранятся носители персональных данных, к информационным ресурсам, программным средствам обработки и защиты информации;
4.3.9. учет материальных (машинных, бумажных) носителей персональных данных и обеспечение их сохранности;
4.3.10. определение мест хранения материальных носителей персональных данных и обеспечение раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
4.3.11. использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
4.3.12. предотвращение внедрения в информационные системы программ- вирусов, программных закладок;
4.3.13. резервирование технических средств и дублирование массивов и носителей информации;
4.3.14. обеспечение защиты персональных данных при подключении информационных систем к информационно-телекоммуникационным сетям, в том числе сети интернет;
4.3.15. восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
4.3.16. своевременное обнаружение фактов разглашения, утечки, несанкционированного доступа к персональным данным и принятие мер по таким фактам;
4.3.17. оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем;
4.3.18. контроль за принимаемыми мерами по обеспечению безопасности персональных данных.
4.4. Меры по обеспечению безопасности персональных данных при их обработке принимаются Организации с соблюдением требований федерального закона, иных нормативных правовых актов Российской Федерации.:
4.4.1. постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
4.4.2. постановление Правительства Российской Федерации от 15.09.2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
4.4.3. приказ ФСТЭК России от 11.02.2013 г. № 17 "Об утверждении Требований по защите информации, не составляющей государственную тайну, содержащихся в государственных информационных системах";
4.4.4. приказ ФСТЭК России от 18.02.2013 г. № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"; иные нормативные документы ФСТЭК России, нормативные документы ФСБ России.
5. Права субъекта персональных данных
5.1. Субъект персональных данных имеет право на:
5.1.1 получение информации, касающейся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами, в том числе по основаниям, установленным частью 8 статьи 14 федерального закона;
5.1.2 обжалование действий или бездействия Организации в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, если субъект персональных данных считает, что Организация осуществляет обработку его персональных данных с нарушением требований федерального закона или иным образом нарушает его права и свободы;
5.1.3 защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;
5.1.4 требование от Организации уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также уведомления о внесенных изменениях и предпринятых мерах третьих лиц, которым персональные данные, относящиеся к соответствующему субъекту, были переданы;
5.1.5 отзыв своего согласия на обработку персональных данных в соответствии со статьей 9 федерального закона (в случаях, когда обработка Организацией персональных данных осуществляется на основании согласия субъекта персональных данных).
5.2. Информация, касающаяся обработки персональных данных, предоставляется субъекту персональных данных или его представителю в доступной форме при обращении в Организацию или при получении Организацией запроса субъекта персональных данных или его представителя. Указанный запрос должен быть оформлен в соответствии с требованиями части 3 статьи 14 федерального закона и может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
5.3. Организация обязана сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, предоставить безвозмездно возможность ознакомления с такими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя, а также, в установленных федеральным законом случаях, порядке и сроки, устранить нарушения законодательства Российской Федерации, допущенные при обработке персональных данных, уточнить, блокировать или уничтожить персональные данные соответствующего субъекта персональных данных.
Организация обязана уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.