Политика конфиденциальности в области персональных данных

Приложение № 1 к приказу

ФКУЗ «МСЧ МВД России

по Воронежской области»

от “04” марта 2019г. №28

ПОЛОЖЕНИЕ

по обработке персональных данных

I. Общие положения
1. Положение по обработке персональных данных в ФКУЗ «МСЧ МВД России по Воронежской области» (Далее - «Положение») определяет порядок обработки персональных данных и устанавливает общие требования к обеспечению безопасности персональных данных, обрабатываемых в ФКУЗ «МСЧ МВД России по Воронежской области», как с использованием средств автоматизации, так и без использования таких средств.
2. Действие Положения распространяется на все структурные подразделения, отделения, отделы, службы ФКУЗ «МСЧ МВД России по Воронежской области».
3. Основные понятия, используемые в настоящем положении:
3.1. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

3.2. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

3.3.   Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

3.4.   Кандидаты на вакантные должности (Далее - «кандидаты») - физические лица, претендующие на замещение вакантных должностей ФКУЗ «МСЧ МВД России по Воронежской области».

3.5.Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

3.6.   Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

3.7.   Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

3.8.     Пациенты (обследуемые) - сотрудники органов внутренних дел, пенсионеры МВД России, члены их семей, и иные лица, прикрелпленные на медицинское обслуживание к медицинским организациям МВД России в соответствии с законодательсвом Российской Федерации, граждане Российской Федерации, поступающие на службу в органы внутренних дел, противопожарную службу МЧС России, поступающие в образовательные учреждения среднего профессионального образования (специальные средние учебные заведения) и высшего профессионального образования МВД России, а также федеральные государственные общеобразовательные учреждения по дополнительным образовательным программам, граждане Российской Федерации, поступающие на военную службу по контракту в войска Росгвардии, а также иные лица, в соответствие с законодателдьством Российской Федерации.

3.9.   Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

3.10.   Посетители - физические лица, не являющиеся сотрудниками (работниками) ФКУЗ «МСЧ МВД России по Воронежской области» и пациенты (обследуемые).

3.11.   Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

3.12.   Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

3.13.   Сотрудники (работники) - физические лица, состоящие или состоявшие с ФКУЗ «МСЧ МВД России по Воронежской области» в служебных (трудовых) отношениях.

3.14.   Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

3.15.   Члены семьи (близкие родственники) сотрудников (работников) - физические лица, находящиеся в семейных либо родственных отношениях с сотрудниками (работниками) ФКУЗ «МСЧ МВД России по Воронежской области».

4. Обработка персональных данных осуществляется с согласия в письменной форме субъекта персональных данных на обработку его персональных данных.

II. Субъекты и цели обработки персональных данных

5. В ФКУЗ «МСЧ МВД России по Воронежской области» осуществляется обработка персональных данных следующих категорий субъектов персональных данных:

5.1.    Кандидаты на вакантные должности.

5.2.    Сотрудники (работники) медико-санитарной части.

5.3.   Члены семьи (близкие родственники) сотрудников (работников) медико-санитарной части.

5.4.    Пациенты (обследуемые).

5.5.    Посетители.

6. Для каждой категории субъектов персональных данных Положением определяются:

6.1.    Цели обработки персональных данных.

6.2.    Перечень персональных данных.

6.3.   Сроки обработки, в том числе сроки хранения персональных данных.

7. Персональные данные кандидатов обрабатываются исключительно с целью их подбора на замещение вакантных должностей ФКУЗ «МСЧ МВД России по Воронежской области» и включают следующий перечень:

7.1.    Фамилия, имя, отчество.

7.2.    Дата и место рождения.

7.3.    Паспортные данные.

7.4.    Сведения о семейном положении.

7.5.    Сведения об образовании.

7.6.    Сведения о стаже службы (работы).

7.7.    Сведения о предыдущих местах службы (работы).

7.8.    Сведения о воинском учете.

7.9.    Сведения о водительском удостоверении.

7.10.    Номер контактного телефона.

7.11.    Адреса мест регистрации и фактического проживания.

7.12.    Адрес электронной почты.

7.13.    Фотография.

7.14.    Сведения о состоянии здоровья.

8. Срок хранения документов кандидатов, не принятых на службу (работу), (анкеты, автобиографии, заявления, рекомендательные письма, резюме и др.) составляет 3 года. (Приказ МВД России от 30 июня 2012 г. № 655 «Об утверждении перечня документов, образующихся в деятельности органов внутренних дел Российской Федерации, с указанием сроков хранения». Приказ МВД России от 30 июня 2012 г. № 655 «Об утверждении перечня документов, образующихся в деятельности органов внутренних дел Российской Федерации, с указанием сроков хранения». г ст. 196 Гражданского кодекса Российской Федерации.)

9. В случаях, когда ФКУЗ «МСЧ МВД России по Воронежской области» может получить необходимые персональные данные кандидата только у третьей стороны, ФКУЗ «МСЧ МВД России по Воронежской области» должно уведомить об этом кандидата и получить от него письменное согласие.

10. Персональные данные сотрудников (работников) обрабатываются с целью соблюдения требований законодательства Российской Федерации и иных нормативных правовых актов МВД России и включают следующий перечень:

10.1.    Фамилия, имя, отчество.

10.2.    Дата и место рождения.

10.3.    Паспортные данные.

10.4.    Адреса мест регистрации и фактического проживания.

10.5.    Сведения о семейном положении и составе семьи.

10.6.    Сведения об образовании и о повышении квалификации.

10.7.    Сведения о трудовом и общем стаже службы (работы).

10.8.    Сведения о предыдущих местах службы (работы).

10.9.    Сведения о воинском учете.

10.10.    Сведения о водительском удостоверении.

10.11.    Номер страхового свидетельства.

10.12.    ИНН.

10.13.    СНИЛС.

10.14.    Номер лицевого/зарплатного счёта.

10.15.    Номер контактного телефона.

10.16.    Адрес электронной почты.

10.17.  Сведения о денежном довольствии сотрудника и о заработной плате работника.

10.18.    Сведения о социальных льготах.

10.19.    Сведения о состоянии здоровья.

10.20.    Занимаемая должность.

10.21.    Фотография.

11. Личное дело, лицевой счет и личная карточка уволенного сотрудника (работника) на бумажных носителях информации хранятся до достижения предельного срока архивного хранения - 75 лет со дня увольнения сотрудника (работника).
12. Хранение персональных данных уволенного сотрудника (работника) в информационной системе персональных данных и на носителях информации осуществляется до истечения срока взаимной исковой давности - 3 лет со дня увольнения сотрудника (работника).
13. Персональные данные членов семьи сотрудников (работников) обрабатываются с целью соблюдения требований законодательстваРоссийской Федерации и иных нормативных правовых актов МВД России и включают следующий перечень:

13.1.    Фамилия, имя, отчество.

13.2.    Степень родства.

13.3.    Дата рождения.

13.4.    Адреса мест регистрации и фактического проживания.

13.5.    Номер контактного телефона.

13.6.    Сведения о состоянии здоровья.

14. Целью обработки персональных данных пациентов (обследуемых) является соблюдение действующего законодательства в сфере охраны здоровья и соблюдения социальных гарантий, а также проведение военно­врачебной экспертизы и медицинского освидетельствования в органах внутренних дел Российской Федерации, определения профессиональной психологической пригодности к службе в органах внутренних дел Российской Федерации (учебе в образовательных учреждениях, перемещении по службе) и включают следующий перечень:

14.1.    Фамилия, имя, отчество.

14.2.    Дата рождения.

14.3.    Серия и номер паспорта, когда и кем выдан.

14.4.    Серия и номер служебного удостоверения, когда и кем выдан.

14.5.    Домашний адрес и телефон.

14.6.    Сведения о страховом медицинском полисе.

14.7.    СНИЛС.

14.8.    Образование.

14.9.    Семейное положение.

14.10.    Место службы (работы).

14.11.    Данные о периодах службы.

14.12.    Специально (воинское) звание.

14.13.    Должность.

14.14.    Данные о годности к прохождению службы.

14.15.    Сведения о состоянии здоровья.

14.16.    Сведения о заключении МСЭ.

14.17.    Социальные льготы.

15. Срок хранения персональных данных пациентов (обследуемых) определяется в соответствие с законодательством Российской Федерации в зависимости от носителя персональных данных.
16. Персональные данные посетителей обрабатываются с целью их допуска на территорию ФКУЗ «МСЧ МВД России по Воронежской области» и включают следующий перечень:
17. Перечень персональных данных посетителей:

17.1.    Фамилия, имя, отчество.

17.2.    Цель визита.

17.3.    Наименование и номер документа, удостоверяющего личность.

18. Срок хранения журнала учета приема посетителей составляет три года (Приказ Министерства культуры Российской Федерации от 25 августа 2010 г. № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», зарегистрирован в Минюсте России 8 сентября 2010 года, регистрационный № 18380).

III. Организация обработки персональных данных

19. Для организации работ по обработке персональных данных в структурных подразделениях (отделениях, отделах, службах) ФКУЗ «МСЧ МВД России по Воронежской области» назначается ответственное лицо.
20. Допуск сотрудников (работников) ФКУЗ «МСЧ МВД России по Воронежской области» к обработке персональных данным осуществляется на основании Перечня должностных лиц, допущенных к обработке персональных данных для выполнения ими служебных (трудовых) обязанностей, утверждаемого приказом начальника ФКУЗ «МСЧ МВД России по Воронежской области», после выполнения следующих мероприятий:

20.1.    Ознакомления под роспись с руководящими документами ФКУЗ «МСЧ МВД России по Воронежской области» по обработке и защите персональных данных.

20.2.    Оформления письменного обязательства о неразглашении сведений конфиденциального характера (приложение № 1).

21. Сотрудники (работники) ФКУЗ «МСЧ МВД России по Воронежской области», имеющие допуск к персональным данным, имеют право получать только те персональные данные, которые необходимы им для выполнения служебных (трудовых) обязанностей.
22. В случае, если персональные данные получены не от субъекта персональных данных, ФКУЗ «МСЧ МВД России по Воронежской области» до начала обработки таких персональных данных обязано уведомить субъекта о получении его персональных данных.
23. Систематизация, накопление, уточнение и использование персональных данных осуществляется путем оформления и ведения документов учета и баз данных субъектов персональных данных.
24. Сотрудники (работники) ФКУЗ «МСЧ МВД России по Воронежской области», имеющие доступ к персональным данным, должны обеспечить их обработку, исключающую несанкционированный доступ к ним третьих лиц.

25. Передача персональных данных субъектов третьим лицам может осуществляться только при наличии письменного согласия субъекта, если иное не предусмотрено законодательством Российской Федерации.
26. Передача персональных данных субъектов между подразделениями ФКУЗ «МСЧ МВД России по Воронежской области» должна осуществляться только между сотрудниками (работниками), допущенными к обработке персональных данных.
27. Хранение персональных данных субъектов осуществляется на бумажных и машинных носителях информации в специально выделенных хранилищах подразделений ФКУЗ «МСЧ МВД России по Воронежской области», а также в информационных системах ФКУЗ «МСЧ МВД России по Воронежской области», обеспечивающих сохранность персональных данных и их защиту от несанкционированного доступа.
28. Уничтожение персональных данных в информационных системах, на машинных и бумажных носителях информации должно производиться в течение тридцати дней с даты предельного срока хранения персональных данных.

29. Уничтожение персональных данных производится специально назначенной комиссией с обязательным составлением акта.
30. Уведомление уполномоченного органа по защите прав субъектов персональных данных об обработке персональных данных в том числе, в случае изменения сведений, указанных в уведомлении, а также в случае прекращения обработки персональных данных.


IV. Особенности организации обработки персональных данных, осуществляемой без использования средств автоматизации

31. Персональные данные обрабатываются в ФКУЗ «МСЧ МВД России по Воронежской области» как с использованием средств автоматизации, так и без использования таких средств.
32. Персональные данные при их обработке без использования средств автоматизации обособляются от иной информации путем фиксации их на отдельных материальных носителях персональных данных или в специальных разделах (на полях форм (бланков)).
33. При фиксации персональных данных на материальных носителях не допускается запись на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. При обработке различных категорий персональных данных без использования средств автоматизации для каждой категории персональных данных должен использоваться отдельный материальный носитель.
34. Типовая форма документов, характер информации в которой предполагает или допускает включение в нее персональных данных, должна отвечать следующим условиям:

34.1.    Содержать сведения о цели обработки персональных данных, наименование и адрес ФКУЗ «МСЧ МВД России по Воронежской области», фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых способов обработки персональных данных.

34.2.   Предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных - при необходимости получения письменного согласия на обработку персональных данных.

34.3.   Исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

34.4.   Должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомления со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных.

35. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть принимаются меры по обеспечению раздельной обработки персональных данных.
36.Персональные данные (материальные носители) которые обрабатываются в разных целях подлежат раздельному хранению.
37.Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, производится способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе.
38.Уточнение персональных данных при их обработке без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

V. Организация защиты персональных данных

39. Защита персональных данных от неправомерного их использования или утраты обеспечивается ФКУЗ «МСЧ МВД России по Воронежской области» за счет собственных средств.
40. Сотрудники (работники) ФКУЗ «МСЧ МВД России по Воронежской области», которые в рамках исполнения должностных обязанностей имеют доступ к персональным данным, обязаны соблюдать режим конфиденциальности персональных данных на всех этапах их обработки.
41. В отсутствие сотрудника (работника) ФКУЗ «МСЧ МВД России по Воронежской области» на его рабочем месте не должно быть документов и машинных носителей информации, содержащих персональные данные.
42. Доступ сотрудников (работников) ФКУЗ «МСЧ МВД России по Воронежской области» и иных лиц в помещения, в которых осуществляется обработка и хранение персональных данных, ограничивается организационными мерами, техническими средствами, применением системы контроля и управления доступом, иными средствами защиты информации.
43. Общий контроль соблюдения требований по защите персональных данных осуществляют:

43.1.   На бумажных (материальных) носителях персональных данных - ответственный за организацию обработки персональных данных в подразделении.

43.2.   В информационных системах персональных данных - ответственный за обеспечение безопасности персональных данных.

44. Организацию обработки, хранения персональных данных субъектов, контроль соблюдения мер их защиты в структурных подразделениях ФКУЗ «МСЧ МВД России по Воронежской области», сотрудники которых имеют доступ к персональным данным, осуществляют их непосредственные руководители.
45. Мероприятия по защите персональных данных осуществляются комиссией по обработке персональных данных (Далее - «комиссия») в соответствии с планом работы комиссии, утверждаемым начальником ФКУЗ «МСЧ МВД России по Воронежской области».
46. Разработка и осуществление мероприятий по обеспечению безопасности персональных данных, обрабатываемых в информационных системах, может осуществляться сторонними организациями на договорной основе, имеющими лицензии на право проведения соответствующих работ.


VI. Порядок обработки обращений и запросов по вопросам обработки персональных данных
47.Организация приема и обработки обращений и запросов субъектов персональных данных или их представителей, а также запросов и предписаний уполномоченного органа по защите прав субъектов персональных данных осуществляется лицом, ответственным за организацию обработки персональных данных (Далее - «ответственное лицо»).
48. С целью регистрации обращений и запросов по вопросам персональных данных, а также ответов на них ответственным лицом ведется Журнал учета обращений субъектов персональных данных (приложение № 2).
49. При обработке запроса (обращения) субъекта персональных данных (или их законного представителя) в Журнале учета обращений субъектов персональных данных фиксируются:

49.1.   Сведения о запрашивающем лице - фамилия, имя, отчество, паспортные данные.

49.2.    Учетный номер и дата получения запроса (обращения).

49.3.    Краткое содержание запроса (обращения).

49.4.   Отметка о предоставлении (об отказе в предоставлении с указанием основания в соответствии с законодательством Российской Федерации) информации.

49.5.   Учетный номер и дата письменного ответа на запрос (обращение) субъекта.

49.6.   Дата и подпись запрашивающего субъекта (отметка об отправке заказного письма с ответом на запрос).

49.7.    Дата и подпись ответственного должностного лица.

50. При обработке запроса уполномоченного органа по защите прав субъектов персональных данных или иных надзорных органов, осуществляющих контроль и надзор в области персональных данных, в Журнале учета обращений субъектов персональных данных фиксируются:

50.1.    Сведения о запрашивающем контролирующем органе.

50.2.    Учетный номер и дата получения запроса.

50.3.    Краткое содержание запроса.

50.4.    Отметка о предоставлении информации.

50.5.   Учетный номер и дата письменного ответа на запрос контролирующего органа.

50.6.    Отметка об отправке ответа заказным письмом.

50.7.    Дата и подпись ответственного должностного лица.

51. Запрос об обработке персональных данных может быть направлен в электронной форме и подписан электронной подписью в соответствии с законодательством Российской Федерации.
52. Ответственное должностное лицо при формировании ответа на запрос (обращение) организует и обеспечивает следующие мероприятия:

52.1.   Предоставление информации о наличии персональных данных, относящихся к субъекту, а также предоставление возможности ознакомления с ними в течение тридцати дней с даты получения запроса.

52.2.   В случае отказа в предоставлении субъекту (или его законному представителю) при получении его запроса (обращения) о наличии персональных данных - формирование и отправку в письменной форме мотивированного ответа, содержащего ссылку на соответствующий нормативный правовой акт, в срок, не превышающий тридцати дней с даты получения запроса.

52.3.   Предоставление субъекту возможности ознакомления с его персональными данными, а также внесение в них в течение семи рабочих дней необходимых изменений, уничтожение или блокировку соответствующих персональных данных по предоставлении этим субъектом сведений, подтверждающих, что его персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

52.4.    Уведомление субъекта (или его законного представителя) и третьих лиц, которым персональные данные этого субъекта были переданы, о внесенных изменениях и предпринятых мерах.

52.5.    Формирование и отправку в уполномоченный орган по защите прав субъектов персональных данных по его запросу информации, необходимой для осуществления деятельности указанного органа, в течение тридцати дней с даты получения такого запроса.

53. Получаемые запросы (обращения) о предоставлении персональных данных, а также ответы на них не должны нарушать конституционные права и свободы других лиц.


VII. Заключительные положения
54. Иные права и обязанности работников, в функции которых входит обработка персональных данных, определяются также их должностными инструкциями.
55. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном законодательством Российской Федерации и иными нормативными правовыми актами.

Официальный сайт медицинского учреждения Министерства внутренних дел Российской Федерации
© 2021, МВД России