1. Общие положения

1.1. Назначение документа

1.1.1. Важнейшим условием реализации деятельности Учреждения является обеспечение необходимого и достаточного уровня информационной безопасности ПДн и процессов, в рамках которых они обрабатываются.

1.1.2. Обеспечение безопасности ПДн является одной из приоритетных задач Учреждения.

1.1.3. Обработка и обеспечение безопасности ПДн, осуществляется в Учреждении в соответствии с законодательством РФ, в частности Федеральным законом №152 от 27.06.2006 г. «О ПДн», Постановлением Правительства РФ №1119 от 01.11.2012 г. «Об утверждении требований к защите ПДн при их обработке в информационных системах ПДн», Приказом ФСТЭК России №21 от 18.02.2013 г. «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн».

1.2. Область действия

1.2.1. Настоящая Политика определяет принципы, порядок и условия обработки ПДн различных категорий субъектов, чьи ПДн обрабатываются в Учреждении, с целью обеспечения защиты прав и свобод человека и гражданина при обработке его ПДн, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2.2. Положения настоящей Политики распространяются на весь объем ПДн, обрабатываемых Учреждением, полученных как до, так и после вступления ее в силу, а также на всех субъектов ПДн.

1.3. Вступление в силу документа

1.3.1. Настоящая Политика вступает в силу с момента ее утверждения главным врачом Учреждения и действует бессрочно до замены ее новой Политикой.

1.3.2. В соответствии с п.2 ст.18.1 ФЗ «О ПДн»: доступ к настоящему документу не может быть ограничен.

1.3.3. Настоящая Политика подлежит изменению, дополнению в случае внесения изменений в действующие законодательные акты и появления новых законодательных актов, и специальных нормативных документов по обработке и защите ПДн, но не реже одного раза в три года.

2. Сведения об Учреждении

2.1. Реквизиты

2.1.1. Полное наименование: Государственное бюджетное учреждение здравоохранения Республики Коми «Коми Республиканский Клинический перинатальный центр».

2.1.2. ИНН / КПП: 1101487382 / 110101001.

2.1.3. Юридический адрес: 167000, Республика Коми, город Сыктывкар, ул. Пушкина, д.114 к.4.

2.1.4. Телефон: 8 (8212) 21-16-26.

2.2. Исполнение политики

2.2.1. С целью исполнения настоящей Политики главным врачом Учреждения утверждены:

• Положение об обработке и защите ПДн;
• Правила обработки ПДн;
• Перечень обрабатываемых ПДн;
• Перечень работников, допущенных к неавтоматизированной обработке ПДн;
• Матрицы доступа к ресурсам ИСПДн;
• Перечень помещений, в которых ведется обработка ПДн;
• Списки лиц, имеющих право самостоятельного доступа в помещения, в которых ведется обработка ПДн;
• Перечень хранилищ ПДн и их материальных носителей;
• Планы проведения резервного копирования ПДн в информационных системах ПДн;
• иные локальные нормативные акты, принимаемые во исполнение требований законодательства РФ в области обработки и защиты ПДн.

3. Понятие и состав персональных данных

3.1. Понятия и определения

ПДн – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).

Обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

3.2. Субъекты персональных данных:

Учреждение осуществляет обработку ПДн следующих субъектов ПДн:

• работники (в т.ч. уволенные);
• близкие родственники работников (в т.ч. уволенных);
• пациенты;
• законные представители пациентов;
• соискатели;
• граждане;
• индивидуальные предприниматели.

3.3. Цели обработки

3.3.1. Обработка ПДн работников (в т.ч. уволенных) и близких родственников работников (в т.ч. уволенных) осуществляется исключительно в целях:

• обеспечения соблюдения конституционных прав работников, а также норм и требований законодательства РФ о государственной социальной помощи, о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях, трудового законодательства;
• исполнения обязательств и функций работодателя по договору с работником;
• обучения, повышения квалификации;
• ведения кадрового делопроизводства;
• оформления, выпуска банковской карты и зачисления денежных средств на открытые счета;
• освещения трудовой деятельности.

3.3.2. Обработка ПДн работников (в т.ч. уволенных) и близких родственников работников (в т.ч. уволенных) осуществляется на основании:

• Согласия на обработку ПДн;
• Согласия на обработку ПДн, разрешённых субъектом ПДн для распространения;
• Трудового кодекса РФ;
• Постановления Правительства РФ от 16 апреля 2003 г. № 225 «О трудовых книжках»;
• Федерального закона от 21 ноября 2022 года № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
• Постановления Государственного Комитета РФ по статистике от 5 января 2004 г. №1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты».

3.3.3. Обработка работников (в т.ч. уволенных) и близких родственников работников (в т.ч. уволенных) прекращается в случаях:

• достижения целей обработки ПДн;
• отзыва согласия на обработку ПДн;
• отзыва согласия на обработку ПДн, разрешённых субъектом ПДн для распространения;
• расторжения трудового договора (служебного контракта) или по его окончанию;
• истечения срока хранения документов, содержащих ПДн.

3.3.4. Обработка ПДн пациентов и законных представителей пациентов осуществляется в целях:

• обеспечения соблюдения конституционных прав пациентов;
• оказания медицинских услуг;
• освещения деятельности Учреждения.

3.3.5. Обработка ПДн пациентов и законных представителей пациентов осуществляется на основании:

• Согласия на обработку ПДн;
• Согласия на обработку ПДн, разрешённых субъектом ПДн для распространения;
• Федерального закона от 21 ноября 2022 года № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
• Федерального закона от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»;
• Договора, стороной которого является пациент или его законный представитель.

3.3.6. Обработка ПДн пациентов и законных представителей пациентов прекращается в случаях:

• достижения целей обработки ПДн;
• отзыва согласия на обработку ПДн;
• отзыва согласия на обработку ПДн, разрешённых субъектом ПДн для распространения;
• истечения срока хранения документов, содержащих ПДн.

3.3.7. Обработка ПДн индивидуальных предпринимателей осуществляется с целью исполнения обязанностей по договору с субъектом ПДн.

3.3.8. Обработка ПДн индивидуальных предпринимателей осуществляется на основании договора с индивидуальным предпринимателем.

3.3.9. Обработка ПДн индивидуальных предпринимателей прекращается в случаях:

• достижения целей обработки ПДн;
• расторжения договора;
• истечения срока хранения документов, содержащих ПДн.

3.3.10. Обработка ПДн соискателей осуществляется с целью отбора кадров на вакантные должности.

3.3.11. Обработка ПДн соискателей осуществляется на основании согласия на обработку ПДн.

3.3.12. Обработка ПДн соискателей прекращается в случаях:

• достижения целей обработки ПДн;
• истечения срока хранения документов, содержащих ПДн.

3.3.13. Обработка ПДн граждан осуществляется с целью обеспечения соблюдения конституционных прав граждан.

3.3.14. Обработка ПДн граждан осуществляется на основании:

• Федерального закона от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг».

3.3.15. Обработка ПДн граждан прекращается в случаях:

• достижения целей обработки ПДн;
• истечения срока хранения документов, содержащих ПДн.

3.4. Биометрические персональные данные

3.4.1. Сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические ПДн) Учреждением не обрабатываются.

3.5. Специальные категории персональных данных

3.5.1. Сведения, касающиеся состояния здоровья (специальные категории ПДн), Учреждением обрабатываются с соблюдением Федерального закона от 21.11.2011 N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».

4. Обработка персональных данных

4.1. Общие сведения

4.1.1. Обработка ПДн в Учреждении осуществляется на основе принципов:

– законности и справедливости целей и способов обработки ПДн;

– соответствия целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн, а также полномочиям Учреждения;

– соответствия объема и характера обрабатываемых ПДн, способов обработки ПДн целям обработки ПДн;

– достоверности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн;

– недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих ПДн;

– хранения ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;

– уничтожения по достижении целей обработки ПДн или в случае утраты необходимости в их достижении, если иное не предусмотрено федеральным законом.

3.1.2. Учреждение осуществляет обработку ПДн с использованием средств автоматизации, в том числе с использованием информационных технологий и технических средств, включая средства вычислительной техники, средства и системы передачи, приема и обработки ПДн, программные средства, средства защиты информации, применяемые в информационных системах, а также без использования средств автоматизации.

4.2. Сбор

4.2.1. ПДн субъектов ПДн Учреждение получает напрямую от субъектов ПДн или их законных представителей.

4.2.2. В случае возникновения необходимости получения ПДн субъекта ПДн от третьей стороны, Учреждение извещает об этом субъекта ПДн заранее и сообщает ему о целях, предполагаемых источниках и способах получения ПДн.

4.2.3. Для получения ПДн субъекта ПДн от третьей стороны Учреждение сначала получает его письменное согласие.

4.3. Хранение

4.3.1. Учреждение хранит ПДн и их материальные носители в порядке, исключающем их утрату, неправомерное использование или несанкционированный доступ к ним.

4.3.2. Учреждение хранит ПДн субъектов ПДн и их материальные носители не дольше, чем этого требуют цели их обработки и требования действующего законодательства РФ, и уничтожает их по истечению установленных сроков хранения.

4.3.3. Сроки хранения документов, содержащих ПДн субъектов ПДн, а также сроки хранения сведений, содержащих ПДн субъектов ПДн в электронном виде (электронные документы, записи баз данных) определяются Перечнем обрабатываемых ПДн в соответствии с приказом Министерства культуры РФ от 25 августа 2010 г. № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», номенклатурой дел, сроком исковой давности, а также иными требованиями законодательства РФ.

4.3.4. При обработке ПДн на бумажных носителях Учреждением обеспечивается выполнение требований «Положения об особенностях обработки ПДн, осуществляемой без использования средств автоматизации», утвержденного постановлением Правительства РФ от 15 сентября 2008 г. № 687.

4.3.5. При обработке ПДн на машинных носителях или в информационных системах ПДн Учреждением обеспечивается выполнение «Требований к защите ПДн при их обработке в информационных системах ПДн», утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.

4.4. Передача

4.4.1. В целях соблюдения законодательства РФ, для достижения целей обработки ПДн, а также в интересах субъектов ПДн, Учреждение в ходе своей деятельности предоставляет ПДн субъектов ПДн следующим организациям:

• Федеральная налоговая служба России;
• Федеральный фонд обязательного медицинского страхования;
• Социальный фонд России;
• Банки;
• Государственные и муниципальные органы власти;
• Страховые компании;
• Территориальные органы федеральных органов исполнительной власти.

4.5. Трансграничная передача

3.5.1. Передача ПДн на территорию иностранных государств, органам власти иностранных государств, иностранным физическим или юридическим лицам (трансграничная передача ПДн) Учреждением не осуществляется.

4.6. Общедоступные источники

4.6.1. Учреждение формирует общедоступные источники ПДн на стендах Учреждения, официальном сайте и аккаунтах Учреждения в социальных сетях в соответствии с требованиями и условиями законодательства РФ.

4.7. Поручение обработки

4.7.1. Учреждение вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.

5. Права сторон

5.1. Права субъектов персональных данных

5.1.1. Субъект ПДн имеет право на получение сведений об обработке его ПДн Учреждением.

5.1.2. Субъект ПДн вправе требовать от Учреждения уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

5.1.3. Субъекты ПДн имеют право запрашивать у Учреждения следующие сведения:

• подтверждение факта обработки ПДн Учреждением;
• правовые основания и цели обработки ПДн;
• используемые Учреждением способы обработки ПДн;
• наименование и адрес местонахождения Учреждения, сведения о лицах (за исключением работников Учреждения), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Учреждением или на основании федерального закона;
• обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• сроки обработки ПДн, в том числе сроки их хранения;
• порядок осуществления субъектом ПДн прав, предусмотренных законодательством РФ;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Учреждения, если обработка поручена или будет поручена такому лицу;
• иные сведения, предусмотренные законодательством РФ.

5.1.4. Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами.

5.1.5. Для реализации своих прав и защиты законных интересов, субъект ПДн имеет право обратиться в Учреждение. Учреждение рассматривает любые обращения и жалобы со стороны субъектов ПДн, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.

5.1.6. Субъект ПДн вправе обжаловать действия или бездействие Учреждения в уполномоченный орган по защите прав субъектов ПДн (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), Организация по защите прав субъектов ПДн) или в судебном порядке.

5.1.7. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

5.1.8. Субъект ПДн имеет право устанавливать условия и запреты, а также перечень устанавливаемых условий и запретов в отношении своих ПДн разрешённых субъектом ПДн для распространения или ПДн разрешённых субъектом ПДн для распространения своего подопечного.

5.1.9. Субъект ПДн имеет право в любое время отозвать свое согласие на обработку ПДн, разрешённых субъектом ПДн для распространения, обратившись в Учреждение.

5.1.10. Субъект ПДн имеет право в любое время отозвать свое согласие на обработку ПДн, обратившись в Учреждение.

5.2. Права Учреждения

5.2.1. Учреждение, как оператор ПДн, вправе:

– отстаивать свои интересы в суде;

– предоставлять ПДн субъектов государственным и иным уполномоченным органам, если это предусмотрено действующим законодательством РФ (налоговые, правоохранительные органы и др.);

– отказывать в предоставлении ПДн в случаях предусмотренных законодательством РФ;

– обрабатывать ПДн субъекта без его согласия, в случаях предусмотренных законодательством РФ.

6. Защита персональных данных

6.1. Учреждение гарантирует конфиденциальность ПДн и предоставляет доступ к ним только уполномоченным работникам, подписавшим обязательство о неразглашении ПДн.

6.2. Все работники Учреждения, имеющие доступ к ПДн, соблюдают правила их обработки и выполняют требования по их защите.

6.3. Учреждение принимает все необходимые правовые, организационные и инженерно-технические меры, достаточные для защиты ПДн от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ними со стороны третьих лиц.

6.4. Обеспечение безопасности ПДн достигается в частности:

• назначением ответственных за организацию обработки и защиты ПДн;
• разработкой документов, определяющих порядок обработки и защиты ПДн;
• определением порядка доступа в помещения, в которых ведется обработка ПДн, а также порядка доступа к ресурсам информационных систем ПДн;
• определением актуальных угроз безопасности ПДн при их обработке в информационных системах ПДн и возможного вреда субъектам ПДн;
• резервированием ПДн, а также определением порядка их восстановления;
• использованием средств защиты информации в информационных системах ПДн;
• учетом машинных носителей, содержащих ПДн;
• определением мест хранения носителей ПДн;
• осуществлением внутреннего контроля и (или) аудита соответствия обработки ПДн ФЗ «О ПДн» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, локальным актам;
• ознакомлением работников Учреждения, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ о ПДн, в том числе требованиями к защите ПДн, локальными актами в отношении обработки ПДн, и (или) обучением, сбором обязательств с работников, непосредственно осуществляющих обработку персональных данных, в случае расторжения с ними трудового договора прекратить обработку ПДн, ставших известными в связи с исполнением должностных обязанностей;
• оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационных систем ПДн;
• обнаружением фактов несанкционированного доступа к ПДн и принятием мер;
• восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• регистрацией и учетом всех действий, совершаемых с ПДн в информационных системах ПДн;
• контролем за принимаемыми мерами по обеспечению безопасности ПДн;
• уведомлением Национального координационного центра по компьютерным инцидентам о компьютерных инцидентах.

7. Заключительные положения

7.1. Настоящая Политика является внутренним документом и подлежит размещению в общедоступном месте (на информационном стенде и официальном сайте).

7.2. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки ПДн в Учреждении.

7.3. Ответственность должностных лиц Учреждения, имеющих доступ к ПДн, за невыполнение требований норм, регулирующих обработку и защиту ПДн, определяется в соответствии с законодательством РФ, и внутренними документами Учреждения.

8. Контактная информация

8.1. Учреждение

8.1.1. ФИО ответственного за организацию обработки ПДн в Учреждении: начальник отдела информационных технологий Косырев Сергей Павлович.

8.1.2. Адрес: 167000, Республика Коми, город Сыктывкар, ул. Пушкина, д.114 к.4.

8.1.3. Телефон: 8 (8212) 21-16-26.

8.1.4. Электронная почта: krpc@perinatal-komi.ru.

8.1.5. Все вопросы и предложения по внесению изменений или дополнений в настоящую Политику следует направлять на имя ответственного за организацию обработки ПДн по указанному выше контактному телефону или почтовому адресу.

8.2. Территориальный орган Роскомнадзора по Республике Коми

8.2.1. Руководитель Управления: Пименова Виктория Вячеславовна.

8.2.2. Почтовый адрес: 167981, Республика Коми, г. Сыктывкар, ул. Коммунистическая, 17.

8.2.3. Контактный телефон: 8 (8212) 216-800.

8.2.4. Электронная почта: rsockanc11@rsoc.ru.

8.2.5. Официальный сайт: www.11.rsoc.ru.