Политика ГУП «Медицинский центр» в отношении обработки персональных данных


1 Общие положения

1.1 Назначение документа

Настоящая Политика ГУП «Медицинский центр» в отношении обработки персональных данных (далее – Политика) разработана в соответствии со статьей 18.1 Федерального закона № 152 «О персональных данных» и определяет политику ГУП «Медицинский центр» (далее – Организация) в отношении информации о субъектах персональных данных, которую Организация может обрабатывать при осуществлении установленных в Уставе видов деятельности.

1.2 Нормативные ссылки

В документе используются положения следующих нормативных актов:
Федеральный  закон  от  27.07.06 № 149-ФЗ  «Об информации, информационных технологиях и о защите информации».
Федеральный закон от 27.07.06 № 152-ФЗ «О персональных данных».
Федеральный закон от 21 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».

1.3 Область действия

Действие настоящей Политики распространяется на персональные данные, обрабатываемые Организацией как с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, так и без использования таких средств.
Использование услуг Организации означает согласие субъекта персональных данных с настоящей Политикой и указанными в ней условиями обработки его персональных данных.

1.4 Термины, определения и сокращения
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

1.5 Утверждение и пересмотр
Настоящая Политика вступает в силу с момента ее утверждения Генеральным директором Организации (или лицом его замещающим) и действует бессрочно до замены ее новой Политикой. Обеспечение неограниченного доступа к Политике реализуется путем ее публикации на сайте Организации в сети Интернет в течение 10 дней после ее утверждения.

2 Персональные данные субъектов персональных данных, обрабатываемые в Организации

При организации обработки персональных данных в Организации утверждается перечень персональных данных, разрешенных к обработке, который формируется с учетом следующих принципов:
обработка персональных данных осуществляется на законной и справедливой основе;
обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
обработке подлежат только персональные данные, которые отвечают целям их обработки;
при обработке персональных данных обеспечивается точность персональных данных, их достаточность и актуальность по отношению к целям обработки персональных данных.
Организация в своей деятельности исходит из того, что субъект персональных данных предоставляет точную и достоверную информацию, во время взаимодействия с Организацией извещает представителей Организации об изменении своих персональных данных.

3 Цели сбора и обработки персональных данных субъектов персональных данных

В Организации производится обработка персональных данных следующих категорий субъектов персональных данных:
физические лица или их уполномоченные представители, обратившиеся в Организацию с запросом на предоставление медицинской услуги (далее – заявители);
иные лица, если для получения медицинской услуги необходимо получить документы или информацию об ином лице, не являющемся заявителем, или получателем услуги является иное лицо, не являющееся заявителем;
работники Организации;
контрагенты Организации;
соискатели вакансий Организации;
уволенные работники Организации;
члены семей работников Организации.

Для каждой категории субъектов персональных данных определены цели обработки их персональных данных.
Целью обработки персональных данных заявителей и иных лиц является предоставление медицинских услуг, а взаимодействие с органами, предоставляющими государственные услуги, или органами, предоставляющими муниципальные услуги, осуществляется Организацией без участия заявителя в соответствии с нормативными правовыми актами и соглашением о взаимодействии.

Целями обработки персональных данных работников Организации являются:
ведение кадрового делопроизводства;
начисление и выплата заработной платы, вознаграждений, премирования, материальной помощи;
начисление взносов в пенсионный фонд, фонд социального страхования;
начисление налога на доход физических лиц;
формирование отчетности для предоставления в государственные органы;
обеспечение общехозяйственной деятельности;
обеспечение экономической, физической, пожарной, информационной безопасности;
предотвращение конфликта интересов.

Целью обработки персональных данных соискателей вакансий Организации является заключение трудового договора.
Целями обработки персональных данных уволенных работников Организации являются:
ведение кадрового делопроизводства;
формирование отчетности для предоставления в государственные органы.

Целями обработки персональных данных членов семей работников Организации являются:
учет налоговых льгот при начислении заработной платы;
исполнение обязанностей работодателя при возникновении несчастного случая.

4 Условия обработки персональных данных субъектов персональных данных и её передачи третьим лицам

Организация обрабатывает и хранит персональные данные субъектов в соответствии с внутренними нормативными документами, разработанными согласно законодательству РФ.

В отношении персональных данных субъекта обеспечивается их конфиденциальность, целостность и доступность. Передача ПДн третьим лицам для выполнения договорных обязательств осуществляется только с согласия субъекта ПДн, а при выполнении функции предоставления государственной услуги – в рамках установленной законодательством процедуры. 
В случае реорганизации Организации к вновь образованной организации переходят все обязательства по соблюдению условий настоящей Политики применительно к получаемым им персональным данным.
Организация может поручить обработку персональных данных другому лицу при выполнении следующих условий:
получено согласие субъекта на поручение обработки персональных данных другому лицу;
поручение обработки персональных данных осуществляется на основании заключаемого с этим лицом договора.
При обработке персональных данных субъектов Организация руководствуется Федеральным законом № 152-ФЗ «О персональных данных».

5 Права субъекта персональных данных на доступ и изменение его персональных данных

Для обеспечения соблюдения установленных законодательством прав субъектов персональных данных в Организации разработан и введен порядок работы с обращениями и запросами субъектов персональных данных, предоставления субъектам персональных данных установленной законом информации.

Данный порядок обеспечивает соблюдение следующих прав субъектов персональных данных:
право на получение сведений об Организации, о месте ее нахождения, способах обработки персональных данных;
право на получение информации, касающейся обработки его персональных данных;
право на уточнение, блокирование или уничтожение своих персональных данных, которые являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных целей обработки.

6 Меры, применяемые для защиты персональных данных субъектов

Организация принимает необходимые и достаточные организационные и технические меры для защиты персональных данных субъектов от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ней третьих лиц.

К основным методам и способам обеспечения безопасности персональных данных относятся:
назначение ответственных лиц за организацию обработки и защиты персональных данных, распределение функций, обязанностей и полномочий;
ознакомление работников Организации с требованиями законодательства и организационно-распорядительными документами по вопросам обработки и защиты персональных данных;
установление правил обработки и разрешительной системы допуска к персональным данным субъектов;
организация физической защиты помещений, технических средств и носителей персональных данных;
постоянный контроль уровня защиты персональных данных;
другие необходимые организационные и технические мероприятия, установленные нормативными актами по вопросам защиты персональных данных.