Copy of Новосибирск Принципы и условия обработки персональных данных

Политика учреждения здравоохранения ОАО «РЖД» в отношении обработки персональных данных

УТВЕРЖДЕНА
приказом ЧУЗ «КБ «РЖД- Медицина» г. Новосибирск»
от 06.12.2023 г. № 805

Политика обработки персональных данных в частном учреждении здравоохранения
«Клиническая больница«РЖД-Медицина» города Новосибирск»

I. Общие положения

1. Настоящая Политика(далее – Политика), разработанная в соответствии с Федеральным законом«О персональных данных»,устанавливает цели, основныепринципы, правила и правовые основанияобработки персональных данных,а также определяет основные меры по обеспечению их безопасности.
2. Настоящая Политикаразработана для реализации в частном учреждении здравоохранения «Клиническая больница «РЖД-Медицина» города Новосибирск» (далее – Учреждение) требований законодательства Российской Федерации в области персональных данных, а также обеспечения защиты прав физических лиц при обработке их персональных данных.
3. Положения настоящейПолитики являются основойдля разработки и актуализации распорядительных и организационно-правовых документов Учреждения, регламентирующих процессыобработки персональных данныхразличных категорий субъектовперсональных данных, а также порядокреализации мер для защиты обрабатываемых персональных данных.
4.Положения настоящей Политикиобязательны для исполнения работниками Учреждения, имеющими доступк персональным данным.
5. Перечень целей обработки персональных данных в Учреждении, состава персональных данных и их категорий, а также категорий субъектов персональных данных предусмотрен приложением к настоящей Политике.

II. Основные понятия

6. В настоящей Политике используются следующие понятия:
1) автоматизированная обработкаперсональных данных – обработка персональных данных с помощью средстввычислительной техники;

2) безопасность персональных данных – состояниезащищенности персональных данных,характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах;
3) биометрические персональные данные – сведения, характеризующие физиологические и биологические особенности субъекта персональных данных,на основании которыхможно установить его личность и которые используются оператором для установления личности субъекта персональных данных;
4) информационная система– совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
5) контрагент – российское или иностранное юридическое или физическое лицо,с которым Учреждение состоит в договорных отношениях или планирует вступить в договорные отношения, за исключением трудовых отношений;
6) конфиденциальность персональных данных –обязательное для соблюдения требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации;
7)материальный носитель – бумажный или машинный носительинформации, предназначенный для фиксирования, передачии хранения персональных данных;
8) неавтоматизированная обработкаперсональных данных – обработка персональных данных, осуществляемая при непосредственном участииработника без использования средств вычислительной техники;
9)обработка персональных данных – любое действие (операция) или совокупность действий(операций), совершаемых с использованием средствавтоматизации или без использования таких средств с персональными данными,включая сбор, запись,систематизацию, накопление, хранение,уточнение (обновление, изменение), извлечение, использование, передачу(распространение, предоставление, доступ),обезличивание, блокирование, удаление(в том числе вымарывание), уничтожение персональных данных;
10) оператор – государственный орган, муниципальный орган,юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных,подлежащих обработке, действия(операции), совершаемые с персональными данными;

11) персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
12) персональные данные, разрешенные субъектом персональных данных для распространения, – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектомперсональных данных для распространения в порядке, предусмотренном Федеральным законом «О персональных данных»;
13) пользователь услуг Учреждения – пациент (физическое лицо, обратившееся в Учреждение за медицинской помощью),физическое лицо, проходящее медицинский осмотр, медицинскую экспертизу, медицинское освидетельствование, диспансеризацию в рамках медицинской деятельности Учреждения либо иное физическое или юридическое лицо, пользующиеся услугами,оказываемыми Учреждением;
14) предоставление персональных данных – действия,направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
15) распространение персональных данных – действия,направленные на раскрытие персональных данныхнеопределенному кругу лиц;
16) специальные категорииперсональных данных – категории персональных данных, касающиеся расовой,национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимнойжизни и судимости;
17) субъекты персональных данных – пользователи услуг, контрагенты, работники Учреждения, их близкие родственники, кандидаты для приема на работу (соискатели), пенсионеры, состоящие на учете в Учреждении, и их официальные представители, а также иные лица, чьи персональные данные стали известныУчреждению при осуществлении своей деятельности, в том числе в силу предоставления им со стороны Учреждения социальных льгот, гарантий и компенсаций;
18) трансграничная передачаперсональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;
19) уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данныхв информационной системе или на машинном носителе и (или) в результате которых уничтожаются материальные носители персональных данных.

III. Принципы и правила обработки персональных данных

7. Обработка персональных данных в Учреждении осуществляется с соблюдением следующих принципов и правил:
1) обработка осуществляется на законной и справедливой основе;
2) обработка ограничивается достижением конкретных, заранееопределенных и законных целей;
3) обработке подлежатперсональные данные, отвечающие целям обработки, при обязательном соответствии их объема и содержания заявленным целям обработки;
4) не допускается объединение баз данных,содержащих персональные данные,обработка которых осуществляется в целях, несовместимых между собой;
5) при обработкеобеспечиваются точность и достаточность персональных данных и, при необходимости, актуальность по отношению к целям обработки с принятием мер по удалению или уточнению неполных или неточных данных либо обеспечением принятиятаких мер;
6) хранение персональных данных осуществляется в форме, позволяющейопределить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок храненияперсональных данных не установлен федеральным законом, договором, сторонойкоторого, выгодоприобретателем или поручителем по которому являетсясубъект персональных данных;
7) обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
8. При обработке персональных данныхУчреждение обеспечивает их конфиденциальность и безопасность.

IV. Правовые основания обработки персональных данных

9. Правовыми основаниями обработки персональных данных,на основании которых допускается обработка персональных данныхв Учреждении, являются:
1) согласие субъекта персональных данных на обработку персональных данных с учетом требований, предусмотренных законодательством Российской Федерации для соответствующей категории персональных данных;
2) достижение целей, предусмотренных международным договором Российской Федерацииили законом, осуществление и выполнение

возложенных на Учреждение законодательством Российской Федерации и Уставом Учреждения функций,полномочий и обязанностей;
3) судебные акты, акты другогооргана или должностного лица, подлежащие исполнению Учреждением в соответствии с положениями законодательства Российской Федерации об исполнительном производстве;
4) договор, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также договор, заключенныйпо инициативе субъектаперсональных данных или договор, по которому субъектперсональных данных будет являться выгодоприобретателем или поручителем;
5) обеспечение и (или) осуществление защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
6)осуществление прав и законных интересов Учреждения или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободысубъекта персональных данных;
7) осуществление профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или инойтворческой деятельности при условии,что при этом не нарушаются права и законныеинтересы субъекта персональных данных;
8) обработка персональных данных в статистических или иных исследовательских целях при условии их обязательного обезличивания;
9) обработка персональных данных в целях опубликования или обязательного раскрытия информации в соответствии с законодательством Российской Федерации.

V. Организация обработки персональных данных

10. В целях эффективной организации процессов обработки и обеспечения безопасности персональных данных в Учреждении директорназначает из числа руководителей не ниже уровня начальника отдела ответственного за организацию обработкиперсональных данных в Учреждении, которыйв соответствии с установленными полномочиями обеспечивает:
1) осуществление внутреннего контроля за соблюдением в Учреждении требований законодательства Российской Федерации и нормативных документов Учреждения в областиперсональных данных, в том числе требований к защите персональных данных в Учреждении;
2) доведение до сведения работников Учреждения положений законодательства Российской Федерации, нормативных документов

Учреждения по вопросам обработки персональных данных, а также требований по защите персональных данных;
3) контроль за обработкой обращенийи запросов субъектовперсональных данных или их представителей по фактам нарушенийзаконодательства в области персональных данных, допущенных работниками Учреждения.
11. К обработкеперсональных данных допускаются руководители Учреждения, наделенные этим правом работодателем, а также работникиУчреждения, уполномоченные на обработку персональных данныхв установленном Учреждении порядке.
Указанные руководители и работники имеют право обрабатывать только те персональные данные,которые необходимы им для выполнения своих должностных обязанностей.
12. Обработка персональных данныхв Учреждении осуществляется с использованием средствавтоматизации и (или) без использования таких средств.
13. Обработка специальных категорий персональных данных,а также биометрических персональных данных в Учреждении осуществляется в соответствии с требованиями законодательства Российской Федерации.
14. В целях реализации прав субъектов персональных данных Учреждение при обработке их персональных данных:
1) применяет правовые,организационные и технические меры для защиты персональных данных субъектов персональных данных от неправомерного или случайного доступак ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;
2) разъясняет субъектамперсональных данных юридические последствия отказа предоставить их персональные данные и (или) дать согласие на их обработку, если предоставление персональных данных является обязательным в соответствии с законодательством Российской Федерации;
3)осуществляет блокирование, уточнение и уничтожение неправомерно обрабатываемых персональных данных, атакже прекращение их неправомерной обработки;
4) уведомляет субъектаперсональных данных об устранении допущенных нарушений или уничтожении его персональных данных;
5) предоставляет по запросу субъектаперсональных данных или его представителя информацию, касающуюся обработки его персональных данных, в порядке, установленном законодательством Российской Федерации, а также нормативными документами Учреждения;

6) осуществляет внутренний контроль и (или) аудит соответствия обработки персональных данныхзаконодательству Российской Федерациии нормативным документам Учреждения;
7) проводит оценку вреда, которыйможет быть причиненсубъектам персональных данных в случае нарушения законодательства Российской Федерации о персональных данных,соотношения указанного вредаи принимаемых Учреждением мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством РоссийскойФедерации в области персональных данных.
15. Обработка персональных данных, разрешенных субъектомперсональных данных для распространения, осуществляется с соблюдением запретов и условий, установленных статьей 10.1 Федерального закона
«О персональных данных».
Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъектаперсональных данных.
16. Передача персональных данных третьимлицам осуществляется с письменного согласиясубъектов персональных данных,за исключением случаев,когда это необходимов целях предупреждения угрозыжизни и здоровью субъектов персональных данных, а также в иных случаях, установленных законодательством Российской Федерации.
17. Передача персональных данных органам государственной власти допускается в отсутствие согласия субъекта персональных данныхна обработку его персональных данных в порядкеи в случаях, предусмотренных законодательством Российской Федерации.
18. Трансграничная передача персональных данных осуществляется с учетом ограничений и запретов, предусмотренных законодательством Российской Федерации в области персональных данных.
До начала осуществления трансграничной передачи персональных данных Учреждение:
проводит оценку мер, принимаемых органамивласти иностранного государства, иностранными физическими и юридическими лицами, которым планируется трансграничная передача персональных данных, по обеспечению конфиденциальности и безопасности персональных данных;
уведомляет уполномоченный орган по защите прав субъектовперсональных данных о своем намеренииосуществлять трансграничную передачу персональных данных.
19. Учреждение вправе поручить обработкуперсональных данных другомулицу с согласия субъекта персональных данных, если иное

не предусмотрено законодательством Российской Федерации, на основании заключаемого с этим лицом договора.
20. При сборе персональных данных,в том числе с использованием информационно-телекоммуникационной сети «Интернет», Учреждение обеспечивает запись, систематизацию, накопление, хранение, уточнение(обновление, изменение), извлечение персональных данных гражданРоссийской Федерации сиспользованием баз данных,находящихся на территории Российской Федерации, за исключением случаев,предусмотренных законодательством Российской Федерации.
21. Обеспечение безопасности персональных данных, втом числе при их обработке в информационных системах, осуществляется в соответствии с законодательством Российской Федерации и требованиями уполномоченного органа по защите прав субъектов персональных данных, федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти,уполномоченного в областипротиводействия техническим разведками технической защитыинформации.
22. Сроки обработки и хранения персональных данных для каждой цели обработки персональных данных в Учреждении, предусмотренной приложением № 1 к настоящей Политике, определяются с учетом соблюдения требований законодательства Российской Федерациии (или) с учетом положенийдоговора, стороной, выгодоприобретателем илипоручителем по которомувыступает субъект персональных данных и (или) согласия субъектаперсональных данных на обработку его персональных данных.
23. Порядок испособы уничтожения персональных данныхв Учреждении определяются в соответствии с законодательством Российской Федерациии нормативными документами Учреждения.
Персональные данные подлежат уничтожению в следующих случаях:
1) по достижении целей обработки или в случае утраты необходимости в достижении целей обработкиперсональных данных;
2) в случае отзывасубъектом персональных данныхсогласия на обработкусвоих персональных данных,за исключением случаев,предусмотренных законодательством Российской Федерации;
3) при предоставлении субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные:
а) являются неполными,устаревшими, неточными (при условии, что уточнение персональных данных невозможно);
б) персональные данные получены незаконно;
в) персональные данные не являются необходимыми для заявленной цели обработки;

4) при выявлении неправомернойобработки персональных данных (в случае невозможности обеспечить правомерность обработки персональных данных);
5) в случаеобращения субъекта персональных данных с требованием о прекращении обработкиперсональных данных, за исключением случаев,предусмотренных законодательством Российской Федерации.

VI. Права субъекта персональных данных

24.Субъекты персональных данных имеют право на:
1) получение по запросу полной информации о своих персональных данных, обрабатываемых в Учреждении;
2) ознакомление со своими персональными данными при обращениив Учреждение;
3)уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконнополученными или не являются необходимыми для заявленной цели обработки;
4) прекращение обработки своих персональных данных;
5) предоставление своих персональных данных и согласияна их обработку свободно, своей волей и в своем интересе;
6) отзыв согласия на обработкусвоих персональных данных;
7) обжалование в соответствии с законодательством Российской Федерации действий (бездействия) Учреждения при обработке персональных данных;
8) осуществление иных прав, предусмотренных законодательством Российской Федерации.

VII. Заключительные положения

25. Ответственность за нарушение требований законодательства Российской Федерациии нормативных документов Учреждения в областиперсональных данных определяется в соответствии с законодательством Российской Федерации.
26.Политика является общедоступным документом и подлежитопубликованию на официальном сайте Учреждения в информационно- телекоммуникационной сети «Интернет» по интернет-адресу: https://novosibirsk.rzd-medicine.ru.

Полная версия документа СКАЧАТЬ