- Защита персональных данных
УТВЕРЖДЕНА
Приказом главного врача КОГБУЗ
"Кировский областной СПИД-центр"
№ 61 от "07" марта 2013 г.
Политика КОГБУЗ "Кировский областной СПИД-центр"
в отношении обработки персональных данных
Общие положения
Настоящая Политика разработана во исполнение требований Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных" (далее 152-ФЗ), определяет основные понятия, направления деятельности КОГБУЗ "Кировский областной СПИД-центр", необходимые для обеспечения единообразия взглядов на обработку персональных данных и их защиты.
Содержание Политики не затрагивает последовательность действий и процедуры обработки персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
Персональные данные являются конфиденциальной, строго охраняемой информацией и на них распространяются все требования, установленные внутренними документами КОГБУЗ "Кировский областной СПИД-центр" в области защиты персональных данных и конфиденциальной информации.
Основные понятия и определения
В целях соблюдения настоящей Политики применяются следующие понятия:
персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Обработка персональных данных
В зависимости от субъекта персональных данных, Учреждение обрабатывает персональные данные следующих категорий субъектов персональных данных:
- персональные данные работника Учреждения;
- персональные данные, полученные из общедоступных источников;
- персональные данные лиц, давших согласие на обработку персональных данных, во исполнение заключенных договоров или с целью их заключения, а также в иных целях в соответствии с требованиями законодательства Российской федерации;
Учреждение применяет процедуры обработки персональных данных в соответствии с технологическим процессом обработки информации и обеспечивает соответствующий уровень их защиты, предоставляет находящиеся в его распоряжении персональные данные третьим лицам только в установленных законодательством Российской Федерации случаях.
Цели обработки
Обработка персональных данных в Учреждении осуществляется для следующих целей:
- оказание специализированной медицинской помощи гражданам Кировской области, больным ВИЧ-инфекцией, а также организация и проведение мероприятий по предупреждению распространения ВИЧ-инфекции и инфекционных заболеваний среди населения;
- оказание социальных услуг;
- ведение кадрового делопроизводства;
- заключение договоров гражданско-правового характера;
- ведение бухгалтерского учета по начислению заработной платы;
- оказания психологической помощи.
Принципы обработки
Учреждение предпринимает все возможные меры для обеспечения законности обработки персональных данных и стремится к обеспечению необходимого уровня безопасности их обработки.
Обработка персональных данных в Учреждении строится на принципах:
- законности – обработка персональных данных должна осуществляться на законной основе;
- конкретности – обработка персональных данных должна ограничиваться достижением конкретных, заранее оговоренных целей;
- точности – при обработке персональных данных должна быть обеспечена их точность и актуальность;
- конфиденциальности – к обработке персональных данных допускаются только специально назначенные лица и осуществляются меры по недопущению несанкционированной передачи и (или) распространения персональных данных;
- персональной ответственности – специально назначенные должностные лица несут ответственность за соблюдение принципов обработки и выполнение установленных процедур;
- достаточности – содержание и объем используемых персональных данных должны соответствовать целям их обработки;
- разграничения доступа – содержание баз персональных данных и доступ к ним должностных лиц должны соответствовать целям обработки и обязанностям должностных лиц.
Права и обязанности
Права и обязанности Учреждения
Учреждение как оператор персональных данных, вправе:
- отстаивать свои интересы в суде;
- предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
- отказывать в предоставлении персональных данных в случаях предусмотренных законодательством;
- использовать персональные данные субъекта без его согласия, в случаях предусмотренных законодательством.
Права и обязанности субъекта персональных данных
Субъект персональных данных имеет право:
- дать согласие на обработку своих персональных данных, в том числе на трансграничную передачу его персональных данных;
- в любое время отозвать свое согласие на обработку персональных, в том числе на трансграничную передачу его персональных данных;
- требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- требовать перечень своих персональных данных, обрабатываемых Учреждения и источник их получения;
- получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
- требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;
- на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Основы обеспечения безопасности персональных данных
Учреждение предполагает достичь снижения вероятности реализации угроз безопасности персональных данных за счет проведения сбалансированной организационной и технической политики.
Организационные мероприятия по обеспечению безопасности персональных данных основываются:
- на установлении персональной ответственности должностных лиц Учреждения за соблюдение установленных правил и процедур обработки персональных данных;
- на доведении до должностных лиц Учреждения установленных правил и процедур обработки персональных данных;
- на разграничении доступа должностных лиц Учреждения к персональным данным;
- на регламентации деятельности должностных лиц Учреждения при обработке персональных данных;
- на учете материальных носителей персональных данных;
- на обеспечении физической защиты помещений, в которых обрабатываются или хранятся материальные носители персональных данных, и на ограничении доступа в эти помещения;
- на назначении лица, ответственного за организацию работ и координацию мероприятий по обработке персональных данных;
- на организации проверки наличия материальных носителей персональных данных и выполнения установленных правил обработки персональных данных;
- на своевременном уничтожении материальных носителей персональных данных, надобность в которых миновала, за исключением архивных материалов;
- на периодическом контроле достаточности принимаемых организационных мер для обеспечения безопасности персональных данных.
Технические мероприятия по обеспечению безопасности персональных данных основываются:
- на определении угроз безопасности персональных данных и определении необходимых мер защиты при их обработке в информационной системе персональных данных;
- на учете машинных носителей информации;
- на применении технических мер по обеспечению безопасности персональных данных, установленных законодательством Российской Федерации, и оценке их эффективности;
- на применении средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в информационной системе персональных данных и в других средствах автоматизации;
- на установлении правил доступа к персональным данным и их обработки в информационной системе персональных данных;
- на использовании только лицензионного программного обеспечения в информационной системе персональных данных и в других средствах автоматизации;
- на назначении должностного лица, ответственного за проведение технической политики обеспечения безопасности персональных данных;
- на использовании процедур регистрации и учета всех действий, совершаемых в информационной системе персональных данных;
- на использовании процедур восстановления персональных данных, измененных или уничтоженных в информационной системе персональных данных;
- на своевременном уничтожении пришедших в негодность машинных носителей информации;
- на своевременном уничтожении (обезличивании) персональных данных, цели обработки которых достигнуты;
- на периодическом контроле достаточности принимаемых технических мер для обеспечения безопасности персональных данных.
Заключительные положения
Настоящая Политика действует с момента её утверждения и официального опубликования.
Настоящая Политика является внутренним документом Учреждения, общедоступной и подлежит размещению на официальном сайте Учреждения.
Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года.
Подготовка предложений по внесению изменений в настоящую Политику возлагается на ответственного за организацию обработки персональных данных в Учреждении.
Ответственность должностных лиц Учреждения, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Учреждения.