Безопасность персональных данных

Политика обработки и обеспечения безопасности персональных данных в ФГБУ "Санаторий "Москва"

  1. Общие положения
  1. Настоящая Политика в отношении обработки и обеспечения безопасности персональных данных в ФГБУ «Санаторий «Москва» (далее – Политика, Санаторий) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон) в целях обеспечения защиты прав и свобод физических лиц при обработке Санаторием их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также в целях соблюдения требований законодательства Российской Федерации в области персональных данных.
  2. Настоящая Политика раскрывает основные принципы и правила, используемые Санаторием при обработке персональных данных, в том числе определяет цели, правовые основания, условия и способы такой обработки, категории субъектов персональных данных, персональные данных которых обрабатываются Санаторием, а также содержит сведения об исполнении Санаторием обязанностей в соответствии с Федеральным законом и сведения о реализуемых в Санатории требованиях к защите обрабатываемых персональных данных. Политика действует в отношении всех персональных данных, обрабатываемых Санатории.
  3. Обеспечение безопасности персональных данных, законности и справедливости их обработки является одной из приоритетных задач Санатория.
  4. Политика является общедоступным документом, декларирующим концептуальные основы деятельности Санатория при обработке персональных данных, и подлежит опубликованию на официальном сайте Санатория в информационно-телекоммуникационной сети «Интернет» (далее – сеть Интернет)
  5. Понятия и термины, используемые в настоящей Политике, применяются в значениях, установленных Федеральным законом.
  6. Настоящая Политика может быть дополнена либо изменена. Изменения в Политику вносятся на основании приказов директора Санатория.
  1. Информация об операторе

  1. Санаторий в соответствии с Федеральным законом является оператором, организующим и осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
  2. Информация об операторе.

Наименование оператора: Федеральное государственное бюджетное учреждение «Санаторий «Москва» Управления делами Президента Российской Федерации.

Сокращенное наименование оператора: ФГБУ Санаторий «Москва».

Адрес местонахождения: 357600, г. Ессентуки, ул. Анджиевского, 8

Почтовый адрес оператора: 357600, г. Ессентуки, ул. Анджиевского, 8

ИНН: 2626008088.

Регистрационный номер записи в реестре операторов, осуществляющих обработку персональных данных: 10-0111923

  • Правовые основания и цели обработки персональных данных

  1. Санаторий при обработке персональных данных руководствуется следующими нормативными правовыми актами:

Конституция Российской Федерации;

Трудовой кодекс Российской Федерации;

Налоговый кодекс Российской Федерации

Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;

Федеральный закон от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;

Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» и принятые в соответствии с ним нормативные правовые акты Российской Федерации;

Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации» и принятые в соответствии с ним нормативные правовые акты Российской Федерации;

Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»; постановление Госкомстата России от 05.01.2004 № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты»;

Приказ Минздрава России от 05.05.2016 № 279н «Об утверждении Порядка организации санаторно-курортного лечения».

  1. Санаторий обрабатывает персональные данные с целью содействия работникам в трудоустройстве; обучении и продвижении по службе; обеспечения личной безопасности работников; контроля количества и качества выполняемой работы; обеспечения пользования работниками установленными законодательством Российской Федерации гарантиями, компенсациями и льготами; ведения кадрового делопроизводства, в том числе автоматизации кадрового учета и расчета заработной платы; для организации санаторно-курортного лечения, отдыха и оздоровления лиц, в т. ч. автоматизации технологических процессов санатория по учету отдыхающих и ведение карты в электронном виде.
  1. Категории субъектов персональных данных, персональные данные которых обрабатываются Санаторием, источники их получения, сроки обработки и хранения

  1. Санаторий обрабатывает персональные данные следующих категорий субъектов персональных данных:

Персональные данные Работников Санатория;

Персональные данные лиц, приобретающие комплекс санаторно-курортных услуг и/или лечебно-диагностических услуг в ФГБУ «Санаторий «Москва» (далее – «Отдыхающие»);

Персональные данные представителей Отдыхающих;

физические лица, посещающие Санаторий, обработка персональных данных которых необходима для однократного пропуска таких лиц в служебные помещения Санатория.

  1. Источниками получения персональных данных, обрабатываемых Санатория, являются:

непосредственно субъекты персональных данных (работники Санатория, кандидаты на замещение вакантных должностей Санатория, эксперты качества медицинской помощи, граждане, обратившиеся в Санатория, посетители, контрагенты);

Управления делами Президента Российской Федерации.

  1. Содержание и объем обрабатываемых Санатория персональных данных категорий субъектов персональных данных, указанных в пункте 11 настоящей Политики, определяются в соответствии с целями обработки персональных данных, указанными в пункте 10 настоящей Политики. Санаторий не обрабатывает персональные данные, которые являются избыточными по отношению к указанным целям обработки или несовместимы с такими целями.
  2. В случаях, установленных пунктами 2-11 части 1 статьи 6 и пунктами 2-10 части 2 статьи 10 Федерального закона, обработка Санаторием персональных данных осуществляется без согласия субъекта персональных данных на обработку его персональных данных. В иных случаях обработка Санаторием персональных данных осуществляется только с письменного согласия субъекта персональных данных на обработку его персональных данных в соответствии со статьей 9 Федерального закона.
  3. Сроки обработки и хранения персональных данных Санаторием определяются для каждой цели обработки персональных данных в соответствии с законодательно установленными сроками хранения документации, образующейся в процессе деятельности Санатория, в соответствии со сроком действия договора с субъектом персональных данных, сроками исковой давности, сроками хранения документов бухгалтерского учета и на основании Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утвержденного приказом Минкультуры Российской Федерации от 25.08.2010 № 558, и иных требований законодательства Российской Федерации.
  1. Принципы и способы обработки персональных данных, перечень действий, совершаемых с персональными данными

  1. Санаторий в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в статье 5 Федерального закона.
  2. Санаторий осуществляет обработку персональных данных путем сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), использования, передачи, обезличивания, блокирования, уничтожения.
  3. В Санатории используется смешанный (с использованием средств автоматизации и без использования средств автоматизации) способ обработки персональных данных с передачей информации по внутренней локальной сети Санатория и с передачей информации по информационно-телекоммуникационной сети «Интернет» в защищенном режиме.
  4. Санаторий не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, а также биометрических персональных данных. Обработка специальных категорий персональных данных, касающихся состояния здоровья, осуществляется Санаторием в соответствии с законодательством Российской Федерации, а также, в установленных случаях, по иным основаниям, указанным в части 2 статьи 10 Федерального закона.
  5. Санаторий не осуществляет трансграничную передачу персональных данных на территории иностранных государств.
  6. Санаторий передает обрабатываемые персональные данные в уполномоченные организации, государственные органы, государственные внебюджетные фонды только на основаниях и в случаях, предусмотренных законодательством Российской Федерации, в том числе:

для уплаты налогов на доходы физических лиц, обязательных страховых платежей и взносов;

в целях осуществления правосудия, исполнения судебного акта;

при ответах на официальные письменные мотивированные запросы правоохранительных органов и органов судебной власти, других уполномоченных государственных органов.

  1. В целях информационного обеспечения в Санатории созданы общедоступные источники персональных данных (справочники), в которые с письменного согласия работника Санатория включаются его фамилия, имя, отчество, сведения о должности и месте работы, фотография, служебные телефонные номера и иные персонифицированные сведения, сообщаемые работником Санатория для размещения в указанных источниках.
  2. Санаторий прекращает обработку персональных данных в следующих случаях:

достижение цели обработки персональных данных;

изменение, признание утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;

выявление неправомерной обработки персональных данных, осуществляемой Санаторием;

отзыв субъектом персональных данных согласия на обработку его персональных данных, если в соответствии с Федеральным законом обработка персональных данных допускается только с согласия субъекта персональных данных.

Уничтожение Санаторием персональных данных осуществляется в порядке и сроки, предусмотренные Федеральным законом.

  1. Общая характеристика принимаемых Санаторием мер по обеспечению безопасности персональных данных при их обработке

  1. Санаторий обеспечивает конфиденциальность обрабатываемых персональных данных: не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральными законами.
  2. Санаторий обеспечивает защиту персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
  3. Санаторий принимает необходимые правовые, организационные, технические, физические, криптографические меры защиты персональных данных, а также меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Такие меры, в том числе, включают следующее:

назначение работника Санатория, ответственного за организацию обработки персональных данных;

издание нормативных актов, регламентирующих вопросы обработки и защиты персональных данных;

ознакомление работников Санатория, непосредственно осуществляющих обработку персональных данных, под подпись с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, нормативными актами Санатория, регламентирующими вопросы обработки и защиты персональных данных, а также с ответственностью за разглашение персональных данных, нарушение порядка обращения с документами, содержащими такие данные, и иные неправомерные действия в отношении персональных данных;

создание системы внутреннего контроля соответствия обработки персональных данных законодательству Российской Федерации, в том числе требованиям к защите персональных данных;

реализация разрешительной системы доступа работников Санатория и иных лиц к персональным данным и связанным с их использованием работам, материальным носителям; обеспечение соблюдения условий, при которых работники Санатория, иные лица получают доступ к персональным данным только в пределах, необходимых для выполнения своих должностных обязанностей, либо в объемах, вызванных необходимостью;

ограничение доступа работников Санатория и иных лиц в помещения, где размещены технические средства, предназначенные для обработки персональных данных, и хранятся носители персональных данных, к информационным ресурсам, программным средствам обработки и защиты информации;

учет материальных (машинных, бумажных) носителей персональных данных и обеспечение их сохранности;

определение мест хранения материальных носителей персональных данных и обеспечение раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях;

использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;

предотвращение внедрения в информационные системы программ-вирусов, программных закладок;

обеспечение защиты персональных данных при их передаче по каналам связи, в том числе каналам связи сети Интернет, с использованием средств криптографической защиты информации и электронной подписи;

контроль за принимаемыми мерами по обеспечению безопасности персональных данных.

  1. Меры по обеспечению безопасности персональных данных при их обработке принимаются Санаторием с соблюдением требований Федерального закона, иных нормативных правовых актов Российской Федерации, в том числе следующих:

постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных;

постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

иные нормативные документы ФСТЭК России, нормативные документы ФСБ России.

  • Права субъекта персональных данных

  1. Субъект персональных данных имеет право на:

получение информации, касающейся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами, в том числе по основаниям, установленным частью 8 статьи 14 Федерального закона;

обжалование действий или бездействия Санатория в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, если субъект персональных данных считает, что Санаторий осуществляет обработку его персональных данных с нарушением требований Федерального закона или иным образом нарушает его права и свободы;

защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;

требование от Санатория уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также уведомления о внесенных изменениях и предпринятых мерах третьих лиц, которым персональные данные, относящиеся к соответствующему субъекту, были переданы;

отзыв своего согласия на обработку персональных данных в соответствии со статьей 9 Федерального закона (в случаях, когда обработка Санаторием персональных данных осуществляется на основании согласия субъекта персональных данных).

  1. Информация, касающаяся обработки персональных данных, предоставляется субъекту персональных данных или его представителю в доступной форме при обращении в Санаторий или при получении Санаторием запроса субъекта персональных данных или его представителя. Указанный запрос должен быть оформлен в соответствии с требованиями части 3 статьи 14 Федерального закона и может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
  2. Санаторий обязан сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, предоставить безвозмездно возможность ознакомления с такими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя, а также, в установленных Федеральным законом случаях, порядке и сроки, устранить нарушения законодательства Российской Федерации, допущенные при обработке персональных данных, уточнить, блокировать или уничтожить персональные данные соответствующего субъекта персональных данных.

Санаторий обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

  • Контактная информация

  1. Ответственным за организацию обработки персональных данных в Санатории назначен начальник группы информационных технологий Катаев Максим Михайлович.

Контактная информация:

тел.: 8(87934)62260;

адрес: 357600, г. Ессентуки, ул. Анджиевского, 8

e-mail:Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.

Прочитано 1200 раз
Санаторий МОСКВА

Забронировать