Содержание

1    Общие положения. 3

2    Основание и цели обработки персональных данных. 5

3    Перечень персональных данных о субъекте персональных данных, обрабатываемых в информационных системах персональных данных, и типы субъектов, персональные данных которых обрабатываются. 5

4    Порядок и условия обработки персональных данных. 5

5    Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным. 7

Лист ознакомления. 11

 

 

1          Общие положения

1.1             Настоящая Политика обработки персональных данных в информационных системах персональных данных закрытого акционерного общества «Сибирский научно-исследовательский институт медико-экологических технологий «Центр-Сирена» (далее – Политика) определяет основные принципы получения, хранения, обработки, передачи и любого другого использования персональных данных, обрабатываемых в информационных системах персональных данных закрытого акционерного общества «Сибирский научно-исследовательский институт медико-экологических технологий «Центр-Сирена» (далее – ЗАО «СНИИМЭТ «Центр-Сирена» или Оператор) в соответствии с законодательством Российской Федерации.

1.2             Настоящая Политика разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

1.3             Для целей настоящей Политики используются следующие основные понятия:

-                   персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных);

-                   обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

-                   уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

-                   обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

1.4             Обязанности субъекта персональных данных и Оператора

1.4.1       В целях обеспечения достоверности персональных данных субъект персональных данных обязан:

-                   предоставлять ЗАО «СНИИМЭТ «Центр-Сирена» полные и достоверные данные о себе.

-                   в случае изменения своих персональных данных сообщать данную информацию ЗАО «СНИИМЭТ «Центр-Сирена».

1.4.2       Оператор обязан:

-                   осуществлять защиту персональных данных субъекта персональных данных;

-                   вести журнал учета обращений субъектов персональных данных по вопросам обработки их персональных данных в информационных системах персональных данных ЗАО «СНИИМЭТ «Центр-Сирена»;

-                   ограничить доступ к журналу учета обращений субъектов персональных данных по вопросам обработки их персональных данных в информационных системах персональных данных ЗАО «СНИИМЭТ «Центр-Сирена» (в электронной и бумажной форме) кругом должностных лиц (работников), которым сведения, содержащиеся в указанном журнале, необходимы для выполнения служебных (трудовых) обязанностей;

-                   обеспечивать хранение документации, содержащей персональные данные субъектов персональных данных, при этом персональные данные не должны храниться дольше, чем это оправдано выполнением задач, для которых они собирались, или дольше, чем это требуется в интересах лиц, о которых собраны данные;

-                   обеспечить взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации в порядке, определенном ФСБ России, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных;

-                   уведомлять Управление Роскомнадзора о фактах неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, и о результатах внутренних расследований выявленных инцидентов в сроки, определенные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

1.5             Права субъекта ПДн

1.5.1       Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

1.5.2       Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

-                    подтверждение факта обработки персональных данных Оператором;

-                    правовые основания и цели обработки персональных данных;

-                    цели и применяемые Оператором способы обработки персональных данных;

-                    сроки обработки персональных данных, в том числе сроки их хранения.

1.5.3       Субъект персональных данных имеет право на определение представителей для защиты своих персональных данных.

1.5.4       Субъект персональных данных имеет право требовать исключить или исправить неверные или неполные персональные данные, а также данные, обрабатываемые с нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

1.5.5       Если субъект персональных данных считает, что ЗАО «СНИИМЭТ «Центр-Сирена» осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие ЗАО «СНИИМЭТ «Центр-Сирена» в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.

1.5.6       Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

2          Основание и цели обработки персональных данных

2.1             Обработка ПДн осуществляется на законной и справедливой основе.

2.2             Основания обработки персональных данных в ИСПДн ЗАО «СНИИМЭТ «Центр-Сирена», а также источники их получения, указаны в таблице А.1 Приложения А к настоящей Политике.

2.3             Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей, указанных в таблице А.1 Приложения А к настоящей Политике.

2.4             Не допускается обработка ПДн, несовместимая с целями сбора ПДн. Обработке подлежат только ПДн, которые отвечают целям их обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки. Типы субъектов ПДн и состав обрабатываемых ПДн определены в таблице А.1 Приложения А к настоящей Политике и соответствуют заявленным целям обработки. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.

3          Перечень персональных данных о субъекте персональных данных, обрабатываемых в информационных системах персональных данных, и типы субъектов, персональные данных которых обрабатываются

Перечень персональных данных о субъекте персональных данных, обрабатываемых в информационных системах персональных данных, и типы субъектов, персональные данных которых обрабатываются указаны в таблице А.1 Приложения А к настоящей Политике.

4          Порядок и условия обработки персональных данных

4.1             Перечень действий, совершаемых оператором с ПДн субъектов

В ходе обработки ПДн Оператором возможно совершение указанных в таблице А.1 Приложения А к настоящей Политике действий с персональными данными субъектов.

4.2             Используемые оператором способы обработки персональных данных

Обработка полученных персональных данных осуществляется Оператором как с использованием средств автоматизации, так и на бумажных носителях (без использования средств автоматизации).

4.3             Порядок передачи персональных данных третьим лицам

В случае необходимости взаимодействия с третьими лицами в рамках достижения целей обработки персональных данных Оператор обязуется не распространять персональные данные без согласия субъекта ПДн, если иное не предусмотрено Федеральным законом.

Трансграничная передача ПДн Оператором не осуществляется.

В некоторых случаях осуществляется передача ПДн пациентов в государственные информационные системы (напр Роспотребнадзор)

4.4             Обеспечение конфиденциальности персональных данных

Оператор и иные лица, получившие доступ к персональным данным на законном основании, с целью обеспечения конфиденциальности ПДн в соответствии со ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обязуются не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом.

Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

4.5             Порядок ознакомления с политикой Оператора в отношении обработки персональных данных и принятых мерах по обеспечению безопасности ПДн

В соответствии с требованиями ч. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» настоящая Политика открыто опубликована и доступна для ознакомления в информационно-телекоммуникационной сети Интернет на официальном сайте ЗАО «СНИИМЭТ «Центр-Сирена».

Во исполнение требований ч.1 ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» Оператором приняты необходимые правовые, организационные и технические меры для защиты персональных данных при их обработке от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных в соответствии с утвержденным Оператором комплектом организационно-распорядительной документации в области защиты персональных данных при их обработке в ИСПДн ЗАО «СНИИМЭТ «Центр-Сирена».

4.6             Условия прекращения обработки персональных данных

Условием прекращения обработки персональных данных является достижение целей обработки персональных данных или отзыв согласия субъекта персональных данных на обработку его персональных данных (либо обращение с требованием о прекращении обработки ПДн), а также выявление неправомерной обработки персональных данных.

4.7             Организация хранения персональных данных

Хранение персональных данных осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством Российской Федерации и/или договором, стороной которого является субъект ПДн.

Для организации хранения персональных данных в случае автоматизированной обработки Оператор в соответствии с ч. 5 ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» использует базы данных, находящиеся на территории Российской Федерации. При обработке персональных данных без использования средств автоматизации хранение организовано в соответствии с требованиями Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15.09.2008 № 687, а именно:

-                    Оператором определены места хранения персональных данных (материальных носителей) и установлены перечни лиц, осуществляющих обработку персональных данных без использования средств автоматизации, либо имеющих к ним доступ;

-                    обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;

-                    Оператором определен перечень лиц, ответственных за реализацию организационно-режимных мер, направленных на обеспечение сохранности персональных данных, обработка которых осуществляется без использования средств автоматизации, и исключающих несанкционированный к ним доступ, и обеспечен контроль за их соблюдением.

5     Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

5.1             Актуализация, исправление, удаление персональных данных

При обработке ПДн должны быть обеспечены точность ПДн, их достаточность и актуальность по отношению к целям обработки ПДн. Оператор не проверяет достоверность персональных данных, предоставляемых субъектами персональных данных. При этом Оператор исходит из того, что субъект персональных данных предоставляет достоверную и достаточную для достижения целей обработки персональную информацию.

Согласно ст. 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в случае подтверждения факта неточности персональных данных или неправомерности их обработки ЗАО «СНИИМЭТ «Центр-Сирена» принимает необходимые меры, либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных и временному прекращению обработки до момента устранения выявленных нарушений.

5.2             Уничтожение персональных данных

Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, а также в случае отзыва согласия субъекта персональных данных на обработку его персональных данных, или в случае выявления неправомерной обработки персональных данных, если иное не предусмотрено договором, стороной которого является субъект персональных данных, или иным соглашением между Оператором и субъектом персональных данных.

5.3             Порядок рассмотрения запросов субъектов персональных данных

Оператор обязуется сообщать субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по его запросу.

Правила рассмотрения запросов субъектов персональных данных или их представителей, а также соответствующие формы запросов/обращений, предоставляются ЗАО «СНИИМЭТ «Центр-Сирена» по запросу не позднее десяти рабочих дней со дня получения запроса.

Приложение А

к Политике обработки персональных данных в информационных системах персональных данных закрытого акционерного общества «Сибирский научно-исследовательский институт медико-экологических технологий «Центр-Сирена»

Таблица А.1 – Общие сведения об информационных системах персональных данных ЗАО «СНИИМЭТ «Центр-Сирена»

Наименование ИСПДн	Цель обработки ПДн	Основание обработки ПДн	Категории ПДн	Категории субъектов
Информационная система персональных данных «Программа автоматического заполнения медицинской документации и ведения электронного журнала»	Машинописное заполнение: o      амбулаторной карты в части персональных данных (Выписки из амбулаторной карты); o      договора на оказание медицинских услуг; o      согласия на оказание медицинских услуг; o      согласия на обработку персональных данных; o      бланка медицинского заключения. Присвоение уникального номера амбулаторной карте; Ведение журнала обратившихся за медицинской услугой.	Распоряжение генерального директора от 06.02.2006 года	Специальные категории персональных данных	Субъекты ПДн, не являющиеся сотрудниками оператора
Информационная система персональных данных «Медицинская информационная система закрытого акционерного общества «Сибирский научно-исследовательский институт медико-экологических технологий «Центр-Сирена» (ИСПДн «МИС ЗАО «СНИИМЭТ «Центр-Сирена»)	Формирование СМЭД «Медицинское заключение по результатам предварительного (периодического) медицинского осмотра (обследования)». Взаимодействие с медицинской информационной системой «Инфоклиника» для предоставления СЭМД «Медицинское заключение по результатам предварительного (периодического) медицинского осмотра (обследования)» в Федеральную службу по надзору в сфере защиты прав потребителей и благополучия человека (Роспотребнадзор)	Приказ Министерства здравоохранения Российской Федерации от 18.02.2022 № 90Н «Об утверждении формы, порядка ведения отчетности, учета и выдачи работникам личных медицинских книжек, в том числе в форме электронного документа»	Специальные категории персональных данных	Субъекты ПДн, не являющиеся сотрудниками оператора
Информационная система персональных данных «1С: Зарплата и управление персоналом»	Автоматизация кадрового учёта, управления персоналом и расчётов с сотрудниками. Учёт кадровых изменений: оформление приёма сотрудников на работу, ведение трудовых книжек, подготовка приказов о переводе на другую должность или документов на увольнение. Расчёт выплат сотрудникам: зарплат, премий, отпускных. Расчёт НДФЛ и страховых взносов за сотрудников. Подготовка отчётности по сотрудникам.	С целью исполнения трудовых договоров с сотрудниками, для обеспечения личной безопасности, защиты жизни и здоровья работника, в целях ведения финансово-хозяйственной деятельности организации.	Иные категории персональных данных	Субъекты ПДн, являющиеся сотрудниками оператора

 

Таблица А.2 ‒ Общие сведения об информационных системах персональных данных ЗАО «СНИИМЭТ «Центр-Сирена»

Наименование ИСПДн	Перечень обрабатываемых ПДн	Способы обработки	Сроки обработки	Порядок уничтожения
Информационная система персональных данных «Программа автоматического заполнения медицинской документации и ведения электронного журнала»	Фамилия, имя, отчество; пол; дата рождения; паспортные данные (тип, серия, номер, дата выдачи); адрес регистрации; СНИЛС; место работы; категории на управление которыми предоставляется право; положительный результат заключения комиссии	Смешанный способ обработки. Осуществляемые операции: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, передача (предоставление, доступ), удаление	По достижению целей обработки в соответствии с сроками, установленными нормативными правовыми актами	ПДн, представленные в бумажном виде, уничтожаются при помощи специального оборудования (измельчителя бумаги). ПДн, представленные в электронном виде, уничтожаются специализированным программным обеспечением, гарантирующим предотвращение восстановления удаленных данных
Информационная система персональных данных «Медицинская информационная система закрытого акционерного общества «Сибирский научно-исследовательский институт медико-экологических технологий «Центр-Сирена» (ИСПДн «МИС ЗАО «СНИИМЭТ «Центр-Сирена»)	Фамилия, имя, отчество; пол; дата рождения; паспортные данные (тип, серия, номер, дата выдачи); адреса (фактический, регистрации); СНИЛС; данные о работе и учебе; сведения о перенесенных заболеваниях; сведения о профилактических прививках; результаты осмотра врачей; данные лабораторных и инструментальных обследований; заключение по результатам предварительных или периодических медицинских осмотров	Смешанный способ обработки. Осуществляемые операции: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, передача (предоставление, доступ), удаление	По достижению целей обработки в соответствии с сроками, установленными нормативными правовыми актами	ПДн, представленные в бумажном виде, уничтожаются при помощи специального оборудования (измельчителя бумаги). ПДн, представленные в электронном виде, уничтожаются специализированным программным обеспечением, гарантирующим предотвращение восстановления удаленных данных
Информационная система персональных данных «1С: Зарплата и управление персоналом»	Фамилия, имя, отчество; пол; дата рождения; паспортные данные (тип, серия, номер, дата выдачи); адреса (фактический, регистрации); СНИЛС; данные о работе и учебе, данные о доходе, стаже, открытых банковских счетах, сведения о постановке на налоговый учет (ИНН), сведения о семейном положении, детях (фамилия, имя, отчество, дата рождения), контактная информация	Сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, передача (предоставление, доступ), удаление	По достижению целей обработки в соответствии с сроками, установленными нормативными правовыми актами	ПДн, представленные в бумажном виде, уничтожаются при помощи специального оборудования (измельчителя бумаги). ПДн, представленные в электронном виде, уничтожаются специализированным программным обеспечением, гарантирующим предотвращение восстановления удаленных данных