Горячая линия

8 (391) 227-86-16

Версия для
слабовидящих
Работа с обращениями
граждан и организаций

Политика информационной безопасности

Прослушать

Приложение № 1

к приказу «ФКУ ГБ МСЭ по Красноярскому

краю» Минтруда России

от «29» марта 2018 № 109

Политика обработки персональных данных

ФКУ «ГБ МСЭ по Красноярскому краю» Минтруда России

I. Общие положения

1.1. Настоящая Политика обработки персональных данных ФКУ «ГБ МСЭ по Красноярскому краю» Минтруда России (далее - Политика) разработана с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, и определяет общие принципы и порядок обработки персональных данных и меры по обеспечению их безопасности.

1.2. ФКУ «ГБ МСЭ по Красноярскому краю» Минтруда России является оператором, осуществляющим обработку персональных данных

1.3. В настоящей Политике используются следующие основные понятия

персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу;

субъекты персональных данных – получатели (и их представители) государственной услуги; работники, их близкие родственники, бывшие работники;

обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

неавтоматизированная обработка персональных данных - обработка персональных данных, осуществляемая при непосредственном участии человека без использования средств вычислительной техники;

распространение персональных данных - действия, направленные на раскрытие персональных данных субъекта неопределенному кругу лиц;

предоставление персональных данных - действия, направленные на раскрытие персональных данных субъекта определенному лицу или определенному кругу лиц;

блокирование персональных данных - временное прекращение обработки персональных данных субъекта (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных субъектов и (или) в результате которых уничтожаются материальные носители персональных данных субъектов;

информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

конфиденциальность персональных данных - обязательное для соблюдения Учреждением требование не раскрывать третьим лицам персональные данные и не допускать их распространение без согласия субъектов персональных данных или наличия иного законного основания;

1.4. Права и обязанности Учреждения.

1.4.1. Права Учреждения:

- обрабатывать персональные данные субъекта персональных данных в соответствии с заявленной целью;

- требовать от субъекта персональных данных предоставления достоверных персональных данных, необходимых для исполнения договора, оказания услуги, идентификации субъекта персональных данных, а также в иных случаях, предусмотренных Федеральным законодательством Российской Федерации;

- обрабатывать персональные данные субъекта, предоставлять персональные данные субъекта третьим лицам без его согласия, если это предусмотрено Федеральным законодательством Российской Федерации;

- поручать обработку персональных данных другим лицам с согласия субъекта персональных данных;

- отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством.

1.4.2. Обязанности Учреждения:

- при сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию,

- опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональным данным, к сведениям о реализуемых требованиях к защите персональных данных;

- принимать необходимые меры для выполнения обязанностей оператора, предусмотренных законодательством Российской Федерации в сфере обработки и защиты персональных данных;

- принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

- разъяснять субъекту персональных данных юридические последствия отказа предоставить персональные данные, если это является обязательным в соответствии с законодательством Российской Федерации;

- предоставлять по просьбе субъекта персональных данных или его представителя информацию, касающуюся обработки его персональных данных, в порядке, установленном законодательством Российской Федерации и нормативно-правовыми актами.

1.5. Права и обязанности субъекта персональных данных.

1.5.1 Права субъекта персональных данных.

- получать информацию, касающуюся обработки его персональных данных, в порядке, форме и сроки, установленные Федеральным законом от 27.07.2006 № 152-ФЗ
«О персональных данных»;

- требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для заявленной цели обработки или используются в целях, не заявленных ранее при предоставлении субъектом персональных данных согласия на обработку персональных данных;

- отозвать свое согласие на обработку персональных данных;

- обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных.

1.5.2. Обязанности субъекта персональных данных

- предоставить достоверные персональные данные, необходимые для исполнения договора, оказания услуги, идентификации субъекта персональных данных, а также в иных случаях, предусмотренных Федеральным законодательством Российской Федерации;

- работники Учреждения обязаны в случае изменения своих персональных данных: фамилии, имени, отчества, адреса места жительства, паспортных данных, сведений об образовании, состоянии здоровья (вследствие выявления соответствии с медицинским заключением противопоказаний для выполнения работником его должностных обязанностей) и пр. сообщать об этом в течение пяти рабочих дней с даты таких изменений.

II. Цели сбора персональных данных

Учреждение обрабатывает персональные данные исключительно в следующих целях:

- выполнение функций и обязанностей работодателя;

- выполнение полномочий и задач, возложенных на учреждение при предоставлении государственной услуги по медико-социальной экспертизе гражданам;

III Правовые основы обработки персональных данных

Настоящая Политика разработана в соответствии с положениями следующих нормативно-правовых актов:

- Трудовым кодексом Российской Федерации от 30.12.2001 N 197-ФЗ;

- Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;

- Федеральный закон от 24.11.1995 N 181-ФЗ «О социальной защите инвалидов в Российской Федерации»;

- Федеральный закон от 24.07.1998 N 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»;

- Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

- Федеральный закон от 02.05.2006 N 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;

- Постановлением Правительства Российской Федерации от 01.11.2012 № 1119
«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

- Постановлением Правительства Российской Федерации от 15.09.2008 № 687
«Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

- Постановлением Правительства Российской Федерации от 20.02.2006 № 95
«О порядке и условиях признания лица инвалидом»;

- Постановлением Правительства РФ от 16.10.2000 N 789 «Об утверждении Правил установления степени утраты профессиональной трудоспособности в результате несчастных случаев на производстве и профессиональных заболеваний»;

- Приказом Министерства труда и социальной защиты РФ от 29.01.2014 N 59н
«Об утверждении Административного регламента по предоставлению государственной услуги по проведению медико-социальной экспертизы»;

- Приказом Министерства труда и социальной защиты РФ от 11.10.2012 N 310н
«Об утверждении Порядка организации и деятельности федеральных государственных учреждений медико-социальной экспертизы»;

- Приказом Министерства труда и социальной защиты РФ от 13.06.2017 N 486н
«Об утверждении порядка разработки и реализации индивидуальной программы реабилитации или абилитации инвалида, индивидуальной программы реабилитации или абилитации ребенка-инвалида, выдаваемых федеральными государственными учреждениями медико-социальной экспертизы, и их форм»;

- Приказ Минздравсоцразвития РФ от 25.12.2006 N 874 «Об утверждении формы Направления на медико-социальную экспертизу, выдаваемого органом, осуществляющим пенсионное обеспечение, или органом социальной защиты населения»;

- Приказ Минздравсоцразвития РФ от 31.01.2007 N 77 «Об утверждении формы направления на медико-социальную экспертизу организацией, оказывающей лечебно-профилактическую помощь»;

- Приказ Минздравсоцразвития России от 24.11.2010 N 1031н «О формах справки, подтверждающей факт установления инвалидности, и выписки из акта освидетельствования гражданина, признанного инвалидом, выдаваемых федеральными государственными учреждениями медико-социальной экспертизы, и порядке их составления»;

- Устава Учреждения.

IV. Объем и категории обрабатываемых персональных данных,
категории субъектов персональных данных

4.1. Учреждение обрабатывает следующие категории персональных данных:

- данные полученные при осуществлении трудовых отношений;

- данные полученные при предоставлении государственной услуги.

Состав персональных данных определяется порядком ведения документации и формами учета, утвержденными законодательством Российской Федерации и иными нормативно-правовыми актами, регламентирующими деятельность Учреждения.

Специальная категория персональных данных, касающаяся состояния здоровья субъекта персональных данных, осуществляется в целях оказания медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну.

4.2. Категории субъектов персональных данных относятся:

- физические лица, состоящие с учреждением в трудовых отношениях;

- физические лица, являющие близкими родственниками сотрудников учреждения;

- физические лица, уволившиеся из учреждения;

- физические лица, обратившиеся в учреждение для получения государственной услуги.

V. Порядок и условия обработки персональных данных

5.1. Учреждение в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в ст. 5 Федерального закона от 27.07.2006
152-ФЗ «О персональных данных».

5.2. Учреждение не осуществляет обработку биометрических (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) персональных данных.

5.3. Учреждение не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.

5.4. Учреждение не осуществляет трансграничную передачу персональных данных (передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу).

5.5. Перечень действий, осуществляемых с персональными данными: сбор персональных данных; запись персональных данных; систематизация персональных данных; накопление персональных данных; хранение персональных данных; уточнение (обновление, изменение) персональных данных; извлечение использование персональных данных; передачу (распространение, предоставление, доступ) персональных данных; блокирование персональных данных; уничтожение персональных данных.

5.6. В целях соблюдения законодательства РФ, для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных, Учреждение в ходе своей деятельности предоставляет персональные данные следующим организациям - операторам персональных данных:

- Федеральной налоговой службе России;

- Пенсионному фонду России;

- Федеральному фонду обязательного медицинского страхования;

- Лицензирующим и/или контролирующим органам государственной власти и местного самоуправления;

- Органам исполнительной власти субъекта Российской Федерации;

- Другим операторам персональных данных с согласия субъектов персональных данных и на законных основаниях.

5.7. Способы обработки персональных данных:

Обработка персональных данных осуществляется с помощью средств вычислительной техники (автоматизированная обработка) либо при непосредственном участии человека без использования средств вычислительной техники (неавтоматизированная обработка).

Автоматизированная обработка персональных данных осуществляется в многопользовательском режиме с разграничением прав доступа, информация доступна лишь для строго определенных работников.

5.8. Доступ к обработке персональных данных:

К обработке персональных данных допускаются только те работники учреждения, доступ которых к персональным данным, необходим для исполнения ими служебных (трудовых) обязанностей. Указанные работники имеют право получать только те персональные данные и в том объеме, которые необходимы им для выполнения своих служебных (трудовых) обязанностей.

Работники учреждения, допущенные к обработке персональных данных, информируются об условиях и правилах обработки персональных данных, режимах защиты информационных систем персональных данных, порядке хранения материальных носителей персональных данных.

Работниками учреждения даются письменные обязательства о неразглашении персональных данных и конфиденциальной информации.

5.9. Учреждение при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них.

Обеспечение безопасности персональных данных достигается, в частности, следующими мерами:

назначение ответственных за организацию обработки персональных данных.

осуществление внутреннего контроля и/или аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам.

ознакомление работников Учреждения, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных, и обучение указанных сотрудников.

определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных.

оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.

учет машинных носителей персональных данных.

выявление фактов несанкционированного доступа к персональным данным и принятие соответствующих мер.

восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.

контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.

5.10.Учреждением установлены следующие условия прекращения обработки персональных данных:

- достижение целей обработки персональных данных и максимальных сроков хранения;

- утрата необходимости в достижении целей обработки персональных данных;

- представление субъектом персональных данных или его законным представителем документально подтвержденных сведений о том, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки;

- невозможность обеспечения правомерности обработки персональных данных;

- отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных;

5.11. Учреждение осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах, либо в запираемых помещениях с ограниченным правом доступа.

Персональные данные субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках (вкладках).

VI. Актуализация, исправление, удаление и уничтожение персональных данных,
ответы на запросы субъектов на доступ к персональным данным.

6.1. Учреждение принимает все разумные меры по поддержке актуальности обрабатываемых персональных данных, включая, но не ограничиваясь, реализацию права каждого субъекта получать для ознакомления свои персональные данные (кроме случаев ограничения этого права федеральными законами) и требовать от Учреждения их уточнения, блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных выше целей обработки.

6.2. Уничтожение либо обезличивание персональных данных по достижении заявленных целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Учреждения допущенных нарушений персональных данных, если иное не предусмотрено федеральными законами, а также при отзыве согласия субъекта персональных данных на обработку его персональных данных.

Уничтожение документов (носителей), содержащих персональные данные производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера. Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.

6.3. Рассмотрение обращений (запросов) субъектов персональных данных

6.3.1. Субъекты персональных данных имеют право получать информацию, касающуюся обработки их персональных данных, в том числе содержащей:

- подтверждение факта обработки персональных данных Учреждением;

- правовые основания и цели обработки персональных данных;

- цели и применяемые Учреждением способы обработки персональных данных;

- наименование и место нахождения Учреждения, сведения о лицах которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Учреждением или на основании федерального закона;

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

- сроки обработки персональных данных, в том числе сроки их хранения;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Учреждения, если обработка поручена или будет поручена такому лицу;

- иные сведения, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ
«О персональных данных» или другими федеральными законами.

6.3.2. Субъект персональных данных вправе требовать от Учреждения уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

6.3.3. Сведения предоставляются субъекту персональных данных в доступной форме, в них не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

6.3.4. Сведения предоставляются субъекту персональных данных или его представителю Учреждением, осуществляющим обработку персональных данных, при обращении либо при получении запроса субъекта персональных данных или его представителя.

Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Учреждением (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных в Учреждении, подпись субъекта персональных данных или его представителя.

Запрос может быть также направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

6.3.5. В случае если запрашиваемые сведения были предоставлены для ознакомления субъекту персональных данных по его запросу, он вправе обратиться повторно в Учреждение или направить повторный запрос в целях получения этих сведений и ознакомления с ними не ранее чем через 30 дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

До истечения этого срока субъект персональных данных вправе обратиться повторно в Учреждение или направить повторный запрос в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 6.3.4. настоящей Политики, должен содержать обоснование направления повторного запроса.

6.3.6. Учреждение вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктом 6.3.5. настоящей Политики. Такой отказ должен быть мотивированным.

6.3.7. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами в том случае, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

6.3.8. Ответы на письменные запросы субъектов персональных данных и организаций даются в письменной форме в объеме, обеспечивающем конфиденциальность персональных данных. Мотивированный отказ в предоставлении запрашиваемой информации направляется, если субъект персональных данных или организация не обладает правами доступа к запрашиваемой информации или запрос не соответствует требованиям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».