ПОЛИТИКА
федерального государственного бюджетного учреждения «Национальный медицинский исследовательский центр гематологии» Министерства здравоохранения Российской Федерации в отношении обработки персональных данных
(версия 2.0)
(Утверждена приказом ФГБУ «НМИЦ гематологии» Минздрава России от 21.09.22 № 630)
Содержание:
1. Общие положения
2. Цели сбора персональных данных
3. Правовые основания обработки персональных данных
4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
5. Порядок и условия обработки персональных данных
6. Обеспечение безопасности персональных данных
7. Рассмотрение запросов субъектов персональных данных
8. Обязанности Оператора при обращении субъекта персональных данных, получении запроса от него, а также запроса от Роскомнадзора
9. Организация учета, хранения, уничтожения и передачи носителей персональных данных
10. Хранение и использование материальных носителей персональных данных
11. Уничтожение материальных носителей персональных данных
12. Передача носителей с персональными данными
1. Общие положения
1.1. Настоящая Политика определяет общие цели сбора и обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными, порядок и условия обработки персональных данных, меры, направленные на защиту персональных данных и сведения о реализуемых требованиях к защите персональных данных в ФГБУ «НМИЦ гематологии» Минздрава России (далее — Оператор).
1.2. Настоящая Политика не содержит положений, ограничивающих права субъектов персональных данных, а также не возлагает на Оператора не предусмотренные законодательством Российской Федерации полномочия и обязанности.
1.3. Действие Политики распространяется в отношении обработки Оператором персональных данных субъектов, как с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, так и без использования таких средств.
1.4. Обработка персональных данных Оператором осуществляется с соблюдением принципов и условий, предусмотренных законодательством Российской Федерации в области персональных данных, а также настоящей Политикой.
1.5. Оператор публикует настоящую Политику на своем официальном сайте в сети Интернет по адресу https://www.blood.ru/, а также предоставляет неограниченный доступ к ней любому лицу, при обращении к Оператору лично.
1.6. В настоящей Политике используются следующие основные понятия
и определения:
- автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
- биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных;
- блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- материальные носители — материальные объекты (в том числе физические поля), в которых персональные данные находят свое отображение в виде символов, образов и сигналов;
- обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая:
- сбор — действия (операции), направленные на получение персональных данных;
- запись — действия (операции), направленные на фиксирование персональных данных на материальных носителях и в информационной системе персональных данных;
- систематизация — действия (операции) по группировке персональных данных;
- накопление — действия (операции) по сбору персональных данных и формированию баз данных персональных данных;
- хранение — действия (операции) с персональными данными, направленные на создание условий для сохранности персональных данных, включая их защиту от несанкционированного доступа до момента, когда персональные данные должны быть уничтожены;
- извлечение — действия (операции), направленные на выборку персональных данных из других сведений;
- уточнение (обновление, изменение) — действия (операции) с персональными данными, совершаемые в целях их актуализации в случае изменения персональных данных;
- использование — действия (операции) с персональными данными, совершаемые в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом, затрагивающих права и свободы субъекта персональных данных или других лиц;
- распространение — действия, направленные на раскрытие персональных данных неопределенному кругу лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
- предоставление — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- доступ — действия, направленные на предоставление персональных данных;
- обезличивание — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- блокирование — действия, направленные на временное прекращение обработки персональных данных (за исключением случаев, если обработка персональных данных необходима для уточнения персональных данных);
- удаление, уничтожение — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными
- персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных);
- персональные данные, разрешенные субъектом персональных данных для распространения — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом;
- специальные категории персональных данных — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни;
- трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому
1.7. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
1.8. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Оператором.
1.9. Сбор (получение), запись, накопление и уточнение (обновление, изменение) персональных данных субъектов персональных данных Оператором осуществляется непосредственно от субъектов персональных данных или ітх представителей путем:
- получения оригиналов необходимых документов;
- копирования оригиналов документов;
- внесения сведений в учетные формы (на бумажных и электронных носителях);
- внесения персональных данных в автоматизированные информационные системы Оператора.
1.10. Если в соответствии с федеральным законом предоставление персональных данных и (или) получение Оператором согласия на обработку персональных данных являются обязательными, Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.
1.11. Оператор в соответствии с настоящей Политикой обрабатывает персональные данные следующих субъектов:
- работники Оператора, с которыми заключены трудовые договора, бывшие работники, кандидаты на замещение вакантных должностей, родственники работников, а также лица, выполняющие работы в интересах Оператора в соответствии с заключенными с ними гражданско-правовыми договорами, хозяйственными договорами и договорами подряда (далее — Работники);
- научные работники, участвующие в научной, научно-исследовательской, аналитической и научно-технической деятельности (далее — Научные работники);
- пациенты, которым Оператор оказывает медицинские услуги (далее — Пациенты);
- доноры, сдающие кровь для производства компонентов крови (далее — Доноры);
- лица, поступающие на обучение по образовательным программам высшего образования; обучающиеся по образовательным программам высшего образования; обучающиеся по программам дополнительного профессионального образования (далее — Обучающиеся);
- представители контрагентов Оператора, подписывающие договоры и соглашения о предоставлении Оператору товаров и услуг, выполнении в его интересах работ, или получении услуг Оператором (далее — Лица, подписавшие договор).
- физические лица, обратившиеся к Оператору в порядке, установленном Федеральным законом «О порядке рассмотрения обращений граждан Российской Федерации» и законные представители вышеуказанных субъектов персональных данных (далее — Лица, обратившиеся к Оператору).
1.12. Оператор является юридическим лицом, организующим обработку персональных данных по поручению других операторов, к которым относятся (не исчерпывая):
- органы власти и фонды обязательного страхования, в которые перечисляются средства Работников или средства для зачисления на счет Работников (налоговые инспекции Федеральной налоговой службы (ФНС), территориальное отделение Пенсионного фонда России (ПФР), территориальное отделение Федерального Фонда обязательного медицинского страхования (ФОМС), Фонда социального страхования Российской Федерации (ФСС) — в объеме, определенном соответствующими органами власти;
- органы управления здравоохранением, которым предоставляется отчетность, содержащая персональные данные Пациентов и Доноров, Работников и Научных работников, Обучающихся, в соответствии с законодательством Российской Федерации и нормативными правовыми актами, принятыми соответствующими органами в рамках их компетенции (Министерство здравоохранения Российской Федерации (Минздрав России), Министерство науки и высшего образования Российской Федерации (Минобрнауки России), Российская академия наук (РАН), Высшая аттестационная комиссия (BAK) при Минобрнауки России, Федеральное медико-биологическое агентство (ФMБA), Департамент здравоохранения г. Москвы (ДЗМ), Федеральный институт промышленной собственности (ФИПС, Роспатент), а также организациям, предоставление сведений которым предусмотрено нормативными правовыми актами органов управления здравоохранением (Единый донорский центр, Московская городская станция переживания крови Единая государственная информационная система учета научно-исследовательских, опытно- конструкторских и технологических работ гражданского назначения (ЕГИСУ НИОКТР, rosr1d.ru) — в объеме, определенном соответствующими федеральными законами и нормативными правовыми актами (далее — HПA).
2. Цели сбора персональных данных
2.1. Персональные данные субъектов персональных данных Оператор обрабатывает в целях обеспечения выполнения мероприятий:
- обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
- оплаты труда в соответствии с требованиями законов и иных нормативных документов;
- проведение фундаментальных и прикладных научных исследований в области физиологии и патологии кроветворения и иммунной системы, их онтогенеза и регуляции, возрастной гематологии, иммунологии, онкологии и трансфузиологии;
- разработка и внедрение новых методов лечения и медицинской реабилитации пациентов;
- трансплантация костного мозга и гемопоэтических стволовых клеток;
- предоставление специализированной, в том числе высокотехнологичной, медицинской помощи, медицинской реабилитации пациентов;
- оказание консультативной медицинской помощи уровня «врач-врач» по профилю «гематология» с применением телемедицинских технологий;
- оказание медицинской помощи пациентам с применением гемопоэтических стволовых клеток и костного мозга, ввоз в Российскую Федерацию и вывоз из Российской Федерации гемопоэтических стволовых клеток и костного мозга для этих целей в соответствии с федеральным законодательством;
- осуществление индивидуального ухода по инициативе больного (его законного представителя) в связи с необходимостью персонального ухода;
- осуществление научно-исследовательских, опытно—конструкторских, технологических работ по созданию высокоэффективных видов медицинской техники, диагностических, лечебных и профилактических технологий в области гематологии и трансфузиологии;
- фармацевтическая деятельность для обеспечения лечебно- диагностического процесса Оператора, в том числе изготовление лекарственных средств, их хранение, качественный и количественный анализ, получение и отпуск;
- деятельность, связанная с оборотом прекурсоров, наркотических средств и психотропных веществ в соответствии с федеральным законодательством;
- заготовка, переработка, хранение, обеспечение безопасности и применения донорской крови, её компонентов и кровезаменителей для обеспечения лечебно-диагностического процесса Оператора;
- реализация произведённых и приобретённых за cuëт средств, полученных от приносящей доход деятельности;
- образовательная деятельность по программам высшего образования — программам подготовки научных и научно-педагогических кадров в аспирантуре, программам ординатуры, а также по дополнительным профессиональным программам;
- организация и проведение конгрессов, съездов, конференций, симпозиумов, семинаров, выставок в соответствии с профилем деятельности Оператора;
- деятельность, связанная с правовой охраной и использованием результатов интеллектуальной деятельности Оператора в соответствии с федеральным законодательством;
- издание и распространение печатной продукции, содержащей результаты научной и научно-технической деятельности Оператора;
- создание информационных ресурсов по профилю деятельности Оператора;
- обеспечение пропускного режима, контроля и управления доступом на территорию Оператора;
- работа с обращениями и заявлениями граждан.
2.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
2.3. Посредством обработки персональных данных Оператором достигаются цели:
- в отношении Работников — содействие в трудоустройстве, обучении и карьерном росте, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы и обеспечение сохранности имущества;
- в отношении Научных работников — получение и применение данных с целью внесения в информационную систему учета результатов научной деятельности;
- в отношении Обучающихся — осуществление приема на обучение, содействие в обучении и трудоустройстве, обеспечение личной безопасности;
- в отношении Пациентов — оказание им медицинской помощи, предупреждение заболеваний, ведение работниками Оператора научных исследований (только с персональными данными, прошедшими процедуру обезличивания);
- в отношении Доноров — ведение учета Доноров и сведений о состоянии их здоровья в соответствии с НПА органов управления здравоохранением, предоставление сведений о Донорах в уполномоченные органы власти и организации;
- в отношении Лиц, подписавших договор с Оператором — выполнение норм Гражданского кодекса о договорной работе.
- в отношении Лиц, обратившихся к Оператору — выполнение норм законодательства по обработке обращений граждан.
3. Правовые основания обработки персональных данных
3.1. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных:
- Конституция Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Федеральный закон от 11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
- Федеральный закон от 25.12.2008 № 273-ФЗ «О противодействии коррупции»;
- Федеральный закон от 11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
- Федеральный закон от 20.07.2012 № 125-ФЗ «О донорстве крове и ее компонентов»;
- Федеральный закон от 07.2006 N- 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;
- Федеральный закон от 07.1993 N- 5485-1 «О государственной тайне»;
- Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
- Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждено постановлением Правительства Российской Федерации от 09.2008 № 687;
- Перечень типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утвержден приказом Федерального архивного агентства от 20.12.2019 г. № 236;
- Устав федерального государственного бюджетного учреждения «Национальный медицинский исследовательский центр гематологии» Министерства здравоохранения Российской Федерации;
- согласие субъектов на обработку персональных данных;
- согласие субъектов на распространение персональных данных;
- согласие субъектов на трансграничную передачу персональных данных;
- договоры, заключаемые между Оператором и субъектами персональных данных;
- договоры с контрагентами;
- иные нормативные правовые акты Российской Федерации и локальные правовые акты Оператора.
3.2. Обработка персональных данных Оператором допускается в следующих случаях:
- при наличии согласия субъекта на обработку его персональных данных;
- обработка персональных данных необходима для достижения целей, предусмотренных законодательством Российской Федерации о здравоохранении, об обязательных видах страхования, со страховым законодательством, законодательством о государственной социальной помощи, трудовым законодательством, законодательством о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
- для исполнения договора, стороной которого или выгодоприобретателем является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных. Преддоговорной работой является работа по подбору персонала, в которой согласие субъекта на обработку подтверждается собственноручно заполненной анкетой соискателя должности или анкетой (резюме), переданной им в специализированную организацию по подбору персонала, размещенной субъектом на специализированный сайтах в сети Интернет или присланной субъектом в адрес Оператора по электронной почте. В отношении Пациентов преддоговорной является деятельность с целью заключить в дальнейшем договор с Пациентом или выгодоприобретателем по которому является Пациент;
- обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну (врачом);
- обработка персональных данных необходима для защиты жизни и здоровья Пациента и/или Донора, если получение их согласия невозможно;
- обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц, установленных законодательством Российской Федерации или HПA органов управления здравоохранением либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных. К такой деятельности относится предоставление сведений в органы управления здравоохранением и/или определенные ими организации, деятельность по совершенствованию методов лечения и созданию новых методик лечения, привлечение для лечения Пациентов представителей иных учреждений здравоохранения;
- обработка персональных данных осуществляется в статистических или исследовательских целях при условии обязательного обезличивания персональных данных. К таким видам деятельности относятся ведение Оператором научно- исследовательской работы, международное сотрудничество с профильными организациями за рубежом и другие виды деятельности, в ходе которых в целях обеспечения прав Пациентов их персональные данные, предназначенные для использования в научных целях и в рамках международного сотрудничества, в обязательном порядке проходят процедуру обезличивания;
- доступ неограниченного круга лиц к персональным данным предоставлен субъектом персональных данных либо по его просьбе;
- персональные данные подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом.
4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
4.1. Содержание и объем обрабатываемых Оператором персональных данных соответствуют заявленным в разделе 2 целям обработки.
4.2. Оператор обрабатывает следующие персональные данные субъектов по категориям:
- Работники — иные и общедоступные персональные данные (специальные и биометрические):
- фамилия, имя, отчество (при наличии);
- дата и место рождения;
- пол, возраст;
- реквизиты документа, удостоверяющего личность;
- адрес регистрации по месту жительства (месту пребывания, месту временного проживания);
- адрес места фактического проживания;
- номер телефона (домашний, мобильный), адрес электронной почты;
- страховой номер индивидуального лицевого счета в Пенсионном фонде России (СНИЛС);
- данные Свидетельства о постановке на учет физического лица в налоговом органе на территории Российской Федерации (ИНН);
- сведения, содержащиеся в страховом медицинском полисе медицинского страхования (ОМС/ДМС);
- информация о трудовой деятельности (место работы или учебное заведение, должность);
- данные документа воинского учета;
- данные документов об образовании, квалификации, профессиональной подготовке и (или) наличии специальных знаний, сведения о повышении квалификации, профессиональной переподготовке;
- анкетные данные субъекта, в том числе — сведения о состоящих с ним в близком родстве или свойстве лицах (родителях, cyпpyгax, детях, братьях, сестрах, а также братьям, сестрах, родителях, детях супругов и супругов детей), перемене фамилии;
- данные иных документов, которые с учетом специфики работы и в соответствии с законодательством Российской Федерации должны быть предъявлены при заключении трудового договора или в период его действия;
- сведения о возможности исполнять трудовые обязанности по состоянию здоровья (специальная категория персональных данных);
- сведения о трудовом стаже, предыдущих местах работы, доходах с текущего и предыдущих мест работы;
- реквизиты счетов субъектов персональных данных (при необходимости);
- данные трудового договора/договора на обучение и соглашений к нему;
- данные документов о прохождении аттестации, собеседования, результатов оценки и обучения;
- сведения о деловых и личных качествах, носящие оценочный характер;
- фотографические изображения и изображения с видеокамер Оператора (категория биометрических персональных данных);
- сведения о гражданстве (подданстве), в том числе прежнем, когда и по какой причине изменялось;
- сведения о классном чине (квалификационном разряде) государственной службе Российской Федерации, муниципальной службе, дипломатическом ранге, воинском и (или) специальном звании, классном чине юстиции, классном чине прокурорских работников (кем и когда присвоены) (при наличии);
- сведения об ученом звании и степени (при наличии);
- сведения о форме и дате оформления допуска к государственной тайне, ранее имевшегося и (или) имеющегося;
- сведения о государственных наградах, иных наградах и знаках отличия (кем награжден(а) и когда) — (при наличии);
- сведения о пребывании за границей (когда, где, с какой целью);
- сведения о наличии (отсутствии) судимости, в том числе снятой или погашенной (специальная категория персональных данных);
- сведения о льготах;
- иные сведения, которые могут понадобиться для корректного документального оформления правоотношений и для предоставления предусмотренных законодательством или локальными нормативными актами Оператора льгот.
- Научные работники — иные и общедоступные персональные данные:
- фамилия, имя, отчество (при наличии);
- дата рождения;
- реквизиты документа, удостоверяющего личность;
- адрес регистрации по месту жительства (месту пребывания, месту временного проживания);
- адрес места фактического проживания;
- номер телефона (домашний, мобильный), адрес электронной почты;
- гражданство;
- страховой номер индивидуального лицевого счета в Пенсионном фонде России (СНИЛС);
- данные Свидетельства о постановке на учет физического лица в налоговом органе на территории Российской Федерации (ИНН);
- информация о трудовой деятельности (место работы или учебное заведение, должность);
- данные документов об образовании, квалификации, профессиональной подготовке и (или) наличии специальных знаний, сведения о повышении квалификации, профессиональной переподготовке;
- сведения об ученом звании и степени (при наличии);
- фотографические изображения и изображения с видеокамер Оператора (категория биометрических персональных данных);
- индивидуальный идентификационный номер пользователя ResearcherID платформы Web of Science;
- уникальный идентификационный номер автора Author ID в базе Scopus;
- идентификационный номер автора в системе РИНЦ (при наличии);
- идентификационный номер ORCID;
- идентификационный номер Информационно-аналитической системы учета результатов научной деятельности «Внутренний портал 1—О\ОЦ гематологии для научных сотрудников»;
- иных внешних и локальных наукометрических и библиометрических информационно-аналитических систем и баз данных;
- ссылка на Wеb-страницу (при наличии);
- иные сведения, которые могут понадобиться для корректного документального оформления правоотношений и для предоставления предусмотренных законодательством или локальными нормативными актами Оператора льгот.
- Пациенты — специальные, биометрические, иные и общедоступные персональные данные:
- фамилия, имя, отчество (при наличии);
- дата и место рождения;
- пол, возраст;
- реквизиты документа, удостоверяющего личность;
- адрес регистрации по месту жительства (месту пребывания, месту временного проживания);
- адрес места фактического проживания;
- номер телефона (домашний, мобильный), адрес электронной почты;
- реквизиты полиса ОМС/ДМС;
- страховой номер индивидуального лицевого счета в Пенсионном фонде России (СНИЛС);
- сведения о трудовой деятельности (место работы или учебное заведение, должность) ;
- данные о состоянии здоровья, заболеваниях, случаях обращения за медицинской помощью (специальная категория персональных данных);
- результаты клинического исследования биологического материала (категория биометрических персональных данных);
- информация о перенесенных инфекционных заболеваниях, нахождении в контакте с инфекционными больными и другие данные (по необходимости) (специальная категория персональных данных);
- другую информацию медицинского характера.
- Доноры — специальные, биометрические, иные и общедоступные персональные данные:
- фамилия, имя, отчество (при наличии);
- дата и место рождения;
- пол, возраст;
- реквизиты документа, удостоверяющего личность;
- адрес регистрации по месту жительства (месту пребывания, месту временного проживания);
- адрес места фактического проживания;
- номер телефона (домашний, мобильный), адрес электронной почты;
- фотографическое изображение (категория биометрических персональных данных);
- сведения о трудовой деятельности (место работы или учебное заведение, ДОЛЖНОСТЬ);
- данные о состоянии здоровья, заболеваниях, случаях обращения за медицинской помощью (специальная категория персональных данных);
- результаты клинического исследования биологического материала (категория биометрических персональных данных);
- информацию о перенесенных инфекционных заболеваниях, нахождении в контакте с инфекционными больными, пребывании на территориях, на которых существует угроза возникновения и (или) распространения массовых инфекционных заболеваний или эпидемий, об употреблении наркотических средств, психотропных веществ, о работе с вредными и (или) опасными условиями труда, а также вакцинациях и хирургических вмешательствах, выполненных в течение года до даты сдачи крови и (или) ее компонентов (специальная категория персональных данных);
- информацию о предыдущих донациях;
- информацию о группе крови, резус-принадлежность, информацию об исследованных антигенах и о наличии иммунных антител (категория биометрических персональных данных);
- информация о награждении нагрудными знаками «Почетный донор СССР» и «Почетный донор России»;
- другую информацию медицинского характера.
- Обучающиеся — иные и общедоступные персональные данные:
- фамилия, имя, отчество (при наличии);
- дата и место рождения;
- реквизиты документа, удостоверяющего личность;
- адрес регистрации по месту жительства (месту пребывания, месту временного проживания);
- адрес места фактического проживания;
- номер телефона (домашний, мобильный), адрес электронной почты;
- страховой номер индивидуального лицевого счета в Пенсионном фонде России (СНИЛС);
- данные Свидетельства о постановке на учет физического лица в налоговом органе на территории Российской Федерации (ИНН);
- сведения, содержащиеся в страховом медицинском полисе медицинского страхования (ОМС/ДМС);
- информация о трудовой деятельности (место работы или учебное заведение, должность);
- данные документа воинского учета;
- данные документов об образовании, квалификации, профессиональной подготовке и (или) наличии специальных знаний, сведения о повышении квалификации, профессиональной переподготовке;
- данные документов о медицинской деятельности (сведения об аккредитации, сертификаты об осуществлении медицинской и фармацевтической деятельности);
- анкетные данные (в том числе — сведения о семейном положении и составе семьи, перемене фамилии, наличии детей и иждивенцев);
- данные трудового договора/договора на обучение и соглашений к нему;
- данные документов о прохождении аттестации, собеседования, обучения, успеваемости;
- сведения о деловых и личных качествах, носящие оценочный характер;
- фотографические изображения и изображения с видеокамер Оператора (категория биометрических персональных данных);
- сведения об ученом звании и степени (при наличии);
- сведения о льготах;
- иные сведения, которые могут понадобиться для корректного документального оформления правоотношений и для предоставления предусмотренных законодательством или локальными нормативными актами Оператора льгот.
- Лица, подписавшие договор и Лица, обратившиеся к Оператору — общедоступные персональные данные:
- фамилия, имя, отчество (при наличии);
- реквизиты документа, удостоверяющего личность (при необходимости);
- номер телефона (домашний, мобильный), адрес электронной почты (при необходимости);
- должность, место работы, учебы (при необходимости);
- другую информацию, предусмотренную договором или представленную субъектом персональных данных по своей инициативе.
4.3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
5. Порядок и условия обработки персональных данных
5.1. Обработка персональных данных Оператором осуществляется в соответствии со следующими принципами:
5.1.1. Законность и справедливая основа обработки персональных данных. Оператор принимает все необходимые меры по выполнению требований законодательства, не обрабатывает персональные данные в случаях, когда это не допускается законами Российской Федерации, не использует персональные данные во вред субъектам.
5.1.2. Ограничение обработки персональных данных достижением конкретных, заранее определённых и законных целей.
5.1.3. Обработка только тех персональных данных, которые отвечают заранее объявленным целям их обработки. Соответствие содержания и объёма обрабатываемых персональных данных заявленным целям обработки. Недопущение обработки персональных данных, несовместимой с целями сбора персональных данных. Недопущение обработки избыточных персональных данных по отношению к заявленным целям их обработки.
5.1.4. Обеспечение точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных. Оператор принимает все разумные меры по поддержке актуальности обрабатываемых персональных данных, включая, но не ограничиваясь, реализацию права каждого субъекта получать для ознакомления свои персональные данные (кроме случаев ограничения этого права федеральными законами) и требовать от Оператора их уточнения, блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных выше целей обработки.
5.1.5. Уничтожение либо обезличивание персональных данных по достижении заявленных целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Оператором допущенных нарушений персональных данных, если иное не предусмотрено федеральными законами.
5.2. Оператор не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом или HПA органов управления здравоохранением.
5.3. Оператор не обрабатывает персональные данные, относящиеся к таким специальным категориям, как расовая и национальная принадлежность, политические взгляды, религиозные или философские убеждения, а также сведения о частной жизни субъектов персональных данных.
5.4. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность — биометрические персональные данные, в том числе фотографические изображения — могут обрабатываться Оператором только при наличии согласия субъекта в письменной форме или в случае, когда такая обработка предусмотрена законодательством Российской Федерации.
5.5. При осуществлении хранения персональных данных Оператор использует базы данных, находящиеся на территории Российской Федерации.
5.6. При обработке персональных данных, осуществляемой без использования средств автоматизации, персональные данные обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
5.7. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных используется отдельный материальный носитель.
5.8. Оператором, при хранении персональных данных, соблюдаются необходимые условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним, м принимаются меры, необходимые для обеспечения таких условий.
5.9. Оператор не принимает решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы субъектов, на основании исключительно автоматизированной обработки персональных данных.
5.10. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
5.11. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
5.12. Оператор осуществляет трансграничную передачу персональных данных только в следующих случаях:
- при наличии согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;
- когда это предусмотрено международными договорами Российской Федерации;
- для исполнения договора, стороной которого является субъект персональных данных;
- предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;
- для защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных при невозможности получения их согласия в письменной форме.
5.13. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных (запрос/обращение на отзыв согласия, уточнение, блокирование персональных данных и т.п.) дает законный представитель субъекта персональных данных.
5.14. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных (его представителем) по его запросу/обращению на отзыв данного согласия. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктам 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона № 152-ФЗ.
5.15. При получении согласия на обработку персональных данных субъекта (запроса/обращения на отзыв согласия, уточнение, блокирование персональных данных и т.п.) от его представителя Оператор обязан проверить подлинность доверенности или иного документа, подтверждающего полномочия этого представителя. Доверенность, выданная представителю, должна содержать:
- конкретное указание о том, кому она предоставлена в каких целях и на какой срок;
- указание оператора, для каких целей дается согласие на обработку персональных данных (запрос/обращение);
- указание на то, что данное действие не противоречит интересам субъекта персональных данных;
- указание на то, что согласие на обработку персональных данных (запрос/обращение) дается по воле субъекта персональных данных;
- причину, по которой субъект персональных данных дает согласие на обработку персональных данных (запрос/обращение) через представителя, а не лично.
5.16. Любое согласие в письменной форме субъекта персональных данных на обработку его персональных данных (запрос/обращение на отзыв согласия, уточнение и т.п.) при его получении Оператором через представителя, должно включать в себя: фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность представителя, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя. Копию доверенности или иного документа, подтверждающего полномочия этого представителя Оператор хранит вместе с согласием (запросом/обращением).
5.17. Оператор вправе продолжить обработку персональных данных субъектов без их согласия, если обработка персональных данных предписана или предусмотрена для него законодательством, в частности это персональные данные, которые:
- передаются, в соответствии с законодательством, в ФНС, ПФР, ФСС, МВД, ФСБ России, военкомат и другие государственные организации;
- передаются, в соответствии с законодательством, в государственные информационные системы;
- предоставляются по требованию инспекционных и надзорных органов при проведении проверок;
- предоставляются по запросам судов и следственных органов;
- указаны в личной карточке работника (форма No Т-2 или форма, утвержденная работодателем);
- содержатся в документах, обязательных для предъявления при приеме на работу (ст. 65 TK РФ);
- содержатся в медицинских заключениях, если прохождение медосмотров обязательно для субъекта;
- содержатся в других учетных документах, хранение которых предусмотрено законодательством.
5.18. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона № 152-ФЗ, возлагается на Оператора.
5.19. Специального выраженного согласия Работника на обработку его персональных данных не требуется, т.к. обработка необходима для исполнения трудового договора, стороной которого является Работник — субъект персональных данных, за исключением случаев, когда необходимо получение согласия Работника в письменной форме для конкретных случаев обработки персональных данных. Такое согласие в письменной форме необходимо, в частности, но не исчерпывается следующими случаями:
- включение персональных данных Работника в общедоступные источники персональных данных, в том числе на соответствующие страницы электронной регистратуры, информационные щиты регистратуры Оператора, размещение на официальном сайте Оператора и в других случаях;
- обработка специальных категорий персональных данных, в том числе обработка работниками Оператора, не занимающимися профессионально медицинской деятельностью и обязанными в соответствии с законодательством Российской Федерации сохранять врачебную тайну, сведений о состоянии здоровья Работника;
- обработка биометрических персональных данных Работника, в том числе его фотографических изображений, используемых для установления личности Работника, например, при осуществлении пропускного режима на территории Оператора;
- трансграничная передача персональных данных Работника на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных. Государствами, обеспечивающими адекватную защиту, являются государства-стороны Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и государства, включенные в специальный перечень, утверждаемый Роскомнадзором;
- получение персональных данных Работников у третьих лиц, в том числе с целью их проверки, а также в случаях, когда данные нельзя получить у самого Работника;
- получение и обработка персональных данных о частной жизни субъекта в случаях, непосредственно связанных с вопросами трудовых отношений;
- сообщение персональных данных Работника какой-либо третьей стороне;
- сообщение персональных данных Работника третьим лицам в коммерческих целях.
5.20. Специально выраженного согласия кандидата на соискание вакантной должности Оператора на обработку его персональных данных не требуется, т.к. такая обработка ведется Оператором для заключения трудового договора по инициативе соискателя — субъекта персональных данных, за исключением случаев, когда получение согласия в письменной форме предусмотрено федеральным законом.
5.21. Не требуется получения специального согласия Пациентов на обработку их персональных данных работниками Оператора, профессионально занимающимися медицинской деятельностью и обязанными в соответствии с законодательством Российской Федерации сохранять врачебную тайну, если обработка осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг. Во всех остальных случаях необходимо получение согласия Пациента порядком, установленным статьей 9 Федерального закона Х. 152-ФЗ.
5.22. Доноры, Научные работники и Обучающиеся дают согласие на обработку их персональных данных в письменной форме при первичном обращении порядком, установленным статьей 9 Федерального закона 152-ФЗ.
5.23. Все согласия на обработку персональных данных Оператор хранит 3 (три) года после истечения срока действия согласия или его отзыва, если иное не предусмотрено федеральным законом, договором.
5.24. Персональные данные Лиц, подписавших договор, содержащиеся в единых государственных реестрах юридических лиц и индивидуальных предпринимателей, являются открытыми и общедоступными, за исключением реквизитов документа, удостоверяющий личность физического лица. Охраны их конфиденциальности и согласия субъектов на обработку не требуется. Во всех остальных случаях необходимо получение согласия субъектов персональных данных, представляющих интересы контрагентов, при возникновении правоотношений с Оператором.
5.25. При рассмотрении обращения Лиц, обратившихся к Оператору, не допускается разглашение сведений, содержащихся в обращении, а также сведений, касающихся частной жизни гражданина, без его согласия. Не является разглашением сведений, содержащихся в обращении, направление письменного обращения в государственный орган, орган местного самоуправления или должностному лицу, в компетенцию которых входит решение поставленных в обращении вопросов.
5.26. Обработка персональных данных в целях продвижения услуг Оператора на рынке путём осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если Оператор не докажет, что такое согласие было получено.
6. Обеспечение безопасности персональных данных
6.1. Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных, технических мер, необходимых и достаточных для обеспечения требований федерального законодательства в области защиты персональных данных.
6.2. Правовые меры включают в себя:
- разработку локальных нормативных актов Оператора, реализующих требования российского законодательства, в том числе настоящей Политики;
- отказ от любых способов обработки персональных данных, не соответствующих определенным в настоящей Политике целям
6.3. Организационные меры включают в себя:
- назначение лица, ответственного за организацию обработки персональных данных;
- установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- ограничение состава работников Оператора, имеющих доступ к персональным данным, и организацию разрешительной системы доступа к ним;
- ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе требованиями к защите персональных данных, настоящей Политикой, локальными актами Оператора по вопросам обработки персональных данных, и обучение указанных работников;
- определение в трудовых договорах с работниками и их должностных инструкциях обязанностей по обеспечению безопасности обработки персональных данных и ответственности за нарушение установленного порядка;
- регламентацию процессов обработки персональных данных;
- организацию учёта материальных носителей персональных данных и их хранения, обеспечивающих предотвращение хищения, подмены, несанкционированного копирования и уничтожения;
- определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;
- размещение технических средств обработки персональных данных в пределах охраняемой территории;
- ограничение допуска посторонних лиц на территорию Оператора и принадлежащих ему зданий, недопущение их нахождения в помещениях, где ведется работа с персональными данными и размещаются технические средства их обработки, без контроля со стороны работников Оператора;
- взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных;
- контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
6.4. Технические меры включают в себя:
- разработку на основе модели угроз системы защиты персональных данных для соответствующих классов информационных систем или установленных Правительством Российской Федерации уровней защищенности персональных данных при их обработке в информационных системах персональных данных;
- применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- реализацию разрешительной системы доступа работников к информационным ресурсам, программно-аппаратным средствам обработки и защиты информации, парольную систему доступа к информационным системам защиты персональных данных;
- регистрацию и улёт действий пользователей информационных систем персональных данных;
- применение сертифицированных средств криптографической защиты при передаче персональных данных по незащищенным каналам связи (в том числе по сети Интернет);выявление вредоносного программного обеспечения (применение антивирусных программ) на всех узлах информационной сети Оператора, обеспечивающих соответствующую техническую возможность;
- безопасное межсетевое взаимодействие (применение межсетевого экранирования);
- обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним (систему резервного копирования и восстановления персональных данных);
- периодическое проведение мониторинга действий пользователей, разбирательств по фактам нарушения требований безопасности персональных данных.
7. Рассмотрение запросов субъектов персональных данных
7.1. В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации Оператором, а обработка должна быть прекращена, соответственно.
7.2. Оператор обязан сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего.
7.3. В соответствии с действующим законодательством субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных Оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые Оператором способы обработки персональных данных;
- наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законам;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом 3° 152 ФЗ;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование организации или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу (организации);
- информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Федерального закона N. 152-ФЗ;
- иные сведения, предусмотренные федеральными законами.
7.4. Оператор обязан сообщить субъекту персональных данных или его представителю информацию, в объеме, предусмотренном п. 7.3, о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при непосредственной обращении субъекта персональных данных или его представителя, либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
7.5. Запрос должен содержать:
- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя;
- сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
- подпись субъекта персональных данных или его представителя.
7.6. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Форма запроса может быть произвольная, либо предоставлена Оператором, как одна из типовых форм запросов (Приложения №N° 1 — 4).
7.7. Оператор предоставляет сведения субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
7.8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:
- обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
- обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
- обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
- доступ субъекта персональных данных к его персональным данным нарушает права законные интересы третьих лиц;
- обработка персональных данных осуществляется в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
7.9. Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона № 152-ФЗ или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в уполномоченном органе по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.
7.10. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
8. Обязанности Оператора при обращении субъекта персональных данных, получении запроса от него, а также запроса от Роскомнадзора
8.1. Оператор назначает уполномоченного за обработку обращений субъектов (далее по тексту — Уполномоченный). Допускается назначение нескольких Уполномоченных.
8.2. При обращении субъекта или его представителя, Оператор, через Уполномоченного, должен предоставить субъекту или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя.
8.3. Информация предоставляется в той же форме, в какой получен запрос, если иное не предусмотрено законодательством или не указано в обращении заявителя, при этом она не должна содержать персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
8.4. Сроки предоставления информации Оператором, через Уполномоченного, зависят от формы обращения субъекта персональных данных либо его представителя:
- при обращении лично субъекта персональных данных или его представителя — непосредственно при обращении;
- при направлении запроса — в течение 10 (десяти) рабочих дней с даты его получения, заказным письмом с уведомлением и (или) другим способом, указанным заявителем. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
8.5. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных субъекту персональных данных или его представителю при их обращении, либо при получении запроса субъекта персональных данных или его представителя, Оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» или иного федерального закона, являющегося основанием для такого отказа, в срок, не превышающий 10 (десяти) рабочих дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
8.6. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий 7 (семи) рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения. В срок, не превышающий 7 (семи) рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
8.7. Факт обращения субъекта персональных данных с запросом/обращением к Оператору и принятое на этот запрос/обращение решение, отражается в Журнале учета запросов субъектов персональных данных.
8.8. При получении запроса из Роскомнадзора Оператор обязан сообщить в этот уполномоченный орган по защите прав субъектов персональных данных необходимую информацию в течение 10 (десяти) рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
9. Организация учета носителей персональных данных
9.1. Меры, предпринимаемые Оператором по защите носителей персональных данных, их средств обработки, хранения, исключают возможность несанкционированного доступа к носителям и хранящимся на них персональным данным, а также несанкционированное использование материальных носителей персональных данных.
9.2. К материальным носителям персональных данных относятся. Машинные (машиночитаемые) носители:
- магнитные ленты в кассетах;
- съемные жесткие магнитные диски;
- несъемные жесткие магнитные диски;
- гибкие магнитные диски;
- оптические и магнитооптические диски;
- UЅВ-носители;
- карты памяти мобильных устройств;
- электронные средства аутентификации (iButton, UЅВ-токены, и т.п.). Носители на бумажной (пластикой или пленочной) основе:
- распечатки текстовой, графической и иной информации на бумажной основе;
- пластиковые (пленочные) карты с нанесенной на них информацией.
9.3. Машинные носители информации, используемые в технологическом процессе обработки информации, в том числе информационных системах Оператора, подлежат учету в электронных журналах или журналах на бумажном носителе.
9.4. Учет материальных носителей информации с персональными данными на бумажной основе осуществляется на основании действующего законодательства Российской Федерации и внутренних нормативных документов Оператора по делопроизводству.
10. Хранение и использование материальных носителей персональных данных
10.1. Хранение материальных носителей персональных данных осуществляется в подразделениях Оператора, в условиях, исключающих возможность хищения, бесконтрольного доступа, приведения в негодность или уничтожения содержащейся на них информации.
10.2. Перечень мест хранения материальных носителей персональных данных утверждается приказом.
10.3. По фактам утраты или несанкционированного уничтожения носителей персональных данных проводится служебное расследование и составляется акт расследования. Соответствующие отметки делаются в журналах учета машинных/бумажных носителей персональных данных.
10.4. При увольнении работника, убытии в отпуск, служебную командировку и в иных случаях длительного его отсутствия на рабочем месте он обязан передать носители, содержащие персональные данные, лицу, на которое возложено исполнение его трудовых обязанностей.
11. Уничтожение материальных носителей персональных данных
11.1. Документы на бумажных носителях, содержащие персональные данные, сроки хранения которых истекли, подлежат уничтожению в соответствии с Правилами организации хранения, комплектования, учета и использования документов Архивного фонда Российской Федерации и других архивных документов в органах государственной власти, органах местного самоуправления и организациях, утвержденными приказом Министерства культуры Российской Федерации от 31.03.2015 3° 526.
11.2. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:
- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами Российской Федерации;
- отсутствие у Оператора законных оснований для продолжения обработки персональных данных;
- получения запроса субъекта персональных данных об уничтожении его персональных данных, если персональные данные являются устаревшими, неточными, незаконно полученными;
- получения запроса субъекта персональных данных об уничтожении его персональных данных, если персональные данные не являются необходимыми для заявленной цели обработки;
- иное не предусмотрено иным соглашением между Оператором и субъектом персональных данных.
11.3. Оператором осуществляются систематический контроль и выделение документов, содержащих персональных данных с истекшими сроками хранения, подлежащих уничтожению.
11.4. Boпpoc об уничтожении выделенных документов, содержащих персональных данных, рассматривается экспертной комиссией, состав которой утверждается приказом.
11.5. Под удалением персональных данных понимаются действия, в результате которых невозможно восстановить содержание персональных данных (безвозвратное уничтожение информации с носителя) или в результате которых уничтожаются материальные носители персональных данных.
11.6. Уничтожение материальных носителей информации, пришедших в негодность или утративших практическую ценность, осуществляется:
- для бумажных носителей — путем сжигания или помещения в устройство уничтожения (шредер и т.п.);
- для машинных носителей — путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных (распиливания, расплющивания и т.п.) или гарантированного стирания информации программными средствами.
11.7. Для утилизации и уничтожения носителей могут привлекаться сторонние организации. При этом со сторонней организацией должно оформляться соглашение об обеспечении безопасности персональных данных и акт передачи персональных данных на основе типовых форм (Приложение № 5).
12. Передача носителей с персональными данными
12.1. Передача материальных носителей, содержащих персональные данные, третьим лицам (включая надзорные органы) возможна только в случаях, прямо предусмотренных законодательными и нормативными актами, либо в случае отдельного согласия субъекта персональных данных.
12.2. Факт передачи должен быть оформлен соответствующим типовым соглашением (Приложение N 5).