ПОЛОЖЕНИЕ об обработке и обеспечению защиты персональных данных в государственном бюджетном учреждении здравоохранения города Москвы «Городской поликлиники № 214 Департамента здравоохранения города Москвы»

1.1.1. Целью Положения о порядке обработки и об обеспечении безопасности персональных данных в Государственном бюджетном учреждении здравоохранения города Москвы «Городской поликлинике № 214 Департамента здравоохранения города Москвы» (ГБУЗ «ГП № 214 ДЗМ») является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, четкое и неукоснительное соблюдение требований российского законодательства в области персональных данных.

1.1.2. Положение определяет цели обработки персональных данных ГБУЗ «ГП № 214 ДЗМ» и устанавливает общие требования к обеспечению их безопасности, основные задачи, функции и права подразделений и работников ГБУЗ «ГП № 214 ДЗМ», в обязанности которых входит обработка персональных данных и обеспечение их безопасности.

1.1.3. Положение разработано в соответствии с законодательством Российской Федерации.

1.1.4. Действие Положения распространяется на все филиалы и структурные подразделения ГБУЗ «ГП № 214 ДЗМ».

1.1.5. Положение является локальным актом ГБУЗ «ГП № 214 ДЗМ» и вступает в силу с момента подписания приказа об его утверждении.

1.1.6. Все Работники ГБУЗ «ГП № 214 ДЗМ» должны быть ознакомлены под роспись с настоящим Положением, Политикой ГБУЗ «ГП № 214 ДЗМ» в отношении обработки персональных данных, иными локальными актами ГБУЗ «ГП № 214 ДЗМ», устанавливающими процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, а также с правами и обязанностями работников в этой области.

1.2.1. Порядок обработки и обеспечения безопасности персональных данных регламентируют следующие законодательные и нормативные правовые акты Российской Федерации:

-                Конституция Российской Федерации;

-                Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;

-                Трудовой кодекс Российской Федерации;

-                Гражданский кодекс Российской Федерации;

-                Налоговый кодекс Российской Федерации;

-                Уголовный кодекс Российской Федерации;

-                Кодекс Российской Федерации об административных правонарушениях;

-                Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

-                Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете в Российской Федерации»;

-                Федеральный закон от 08.08.2001 N 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей»;

-                постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

-                постановление Правительства Российской Федерации от 15.09.2008
№ 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

-                постановление Правительства Российской Федерации от 16.04.2003 № 225 «О трудовых книжках»;

-                распоряжение Правительства Российской Федерации от 21.03.1994 № 358-р «Об обеспечении сохранности документов по личному составу»;

-                постановление Госкомстата России от 05.01.2004 № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты»;

-                Федеральным законом РФ от 21 ноября 2011 г. N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;

-                Федеральным законом от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации».

1.2.2. Организацию работы с персональными данными и материальными носителями персональных данных в дополнение к настоящему Положению регламентируют следующие локальные акты ГБУЗ «ГП № 214 ДЗМ»:

-                политика ГБУЗ «ГП № 214 ДЗМ» в отношении обработки персональных данных;

-                перечень должностей работников ГБУЗ «ГП № 214 ДЗМ», замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;

-                трудовые и гражданско-правовые договоры;

-                Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;

-                должностные инструкции работников ГБУЗ «ГП № 214 ДЗМ», допущенных к обработке персональных данных.

В Положении используются следующие термины и определения:

«автоматизированная обработка персональных данных» – обработка персональных данных с помощью средств вычислительной техники;

«биометрические персональные данные» – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность;

«блокирование персональных данных» – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

«доступ к персональным данным» – ознакомление определенных лиц (в том числе работников) с персональными данными субъектов, обрабатываемыми ГБУЗ «ГП № 214 ДЗМ», при условии сохранения конфиденциальности этих сведений;

«информационная система персональных данных» – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

«конфиденциальность персональных данных» – обязанность лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;

«обезличивание персональных данных» – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

«обработка персональных данных» – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

«общедоступные персональные данные» – персональные данные, доступ неограниченного круга лиц к которым предоставлен на основании федерального закона, субъектом персональных данных либо по его просьбе, в том числе данные, которые в соответствии с законодательством подлежат обязательному раскрытию или опубликованию;

«оператор» – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

«персональные данные» – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

«предоставление персональных данных» – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

«распространение персональных данных» – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

«субъект персональных данных» – физическое лицо, к которому относятся персональные данные;

«трансграничная передача персональных данных» – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

«уничтожение персональных данных» – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

3.1. ГБУЗ «ГП № 214 ДЗМ» является оператором персональных данных в отношении персональных данных следующих физических лиц:

-                работников ГБУЗ «ГП № 214 ДЗМ», с которыми заключены трудовые договоры, а также лиц, выполняющих работы в интересах ГБУЗ «ГП № 214 ДЗМ» в соответствии с заключенными с ними гражданско-правовыми договорами (далее – Работники);

-                близких родственников работников ГБУЗ «ГП № 214 ДЗМ», обработка персональных данных которых предусмотрена федеральными законами, а также выполняется ГБУЗ «ГП № 214 ДЗМ» как работодателем в соответствии с требованиями органов государственного статистического учета (далее – Родственники работников);

-                соискателей вакантных должностей ГБУЗ «ГП № 214 ДЗМ», представивших лично или через специализированные организации по подбору персонала (кадровые агентства) свои резюме или анкеты (далее – Соискатели);

-                представителей контрагентов ГБУЗ «ГП № 214 ДЗМ», с которыми у ГБУЗ «ГП № 214 ДЗМ» существуют договорные отношения или с которыми ГБУЗ «ГП № 214 ДЗМ» намерено вступить в договорные отношения (далее – Представители контрагентов);

-                заявителей – физических лиц, обратившихся в ГБУЗ «ГП № 214 ДЗМ» письменно или лично с предложением, заявлением, жалобой (далее – Заявители);

-                представителей субъектов персональных данных, не являющихся работниками ГБУЗ «ГП № 214 ДЗМ», обращающихся в ГБУЗ «ГП № 214 ДЗМ» по поручению и от имени субъектов персональных данных (далее – Представители субъектов);

-                граждан, написавших обращение в ГБУЗ «ГП № 214 ДЗМ»:

-                посетителей охраняемых служебных зданий и помещений филиалов и офисов ГБУЗ «ГП № 214 ДЗМ», не имеющих права постоянного прохода в них, которым необходимо оформление разового пропуска (далее – Посетители).

3.2. ГБУЗ «ГП № 214 ДЗМ» является лицом, организующим обработку персональных данных по поручению других операторов, к которым относятся (не исчерпывая):

-                органы власти и подведомственные им учреждения, государственные внебюджетные фонды, в которые перечисляются средства Работников или средства для зачисления на счет Работников (налоговые инспекции Федеральной налоговой службы, территориальные отделения Пенсионного фонда России, Федерального фонда обязательного медицинского страхования, Фонда социального страхования и др.);

-                лицензирующие и/или контролирующими органами государственной власти и местного самоуправления

-                военные комиссариаты, которым персональные данные предоставляются (передаются) в случаях, предусмотренных действующим законодательством Российской Федерации, и объеме, определенном этим законодательством.

Указанным выше операторам персональные данные предоставляются (передаются) ГБУЗ «ГП № 214 ДЗМ» в объеме, определенном федеральными законами, соответствующими органами власти и государственными внебюджетными фондами в пределах их полномочий. Специального согласия субъектов (Работников) на такую передачу персональных данных не требуется.

Обработка ГБУЗ «ГП № 214 ДЗМ» персональных данных осуществляется в соответствии со следующими принципами:

4.1. Законность и справедливая основа обработки персональных данных. ГБУЗ «ГП № 214 ДЗМ» принимает все необходимые меры по выполнению требований законодательства, не обрабатывает персональные данные в случаях, когда это не допускается законами Российской Федерации, не использует персональные данные во вред субъектам.

4.2. Ограничение обработки персональных данных достижением конкретных, заранее определённых и законных целей. Целями обработки персональных данных ГБУЗ «ГП № 214 ДЗМ» являются:

-                в отношении Работников – содействие в обучении и продвижении по службе, обеспечение личной безопасности работников; контроль количества и качества выполняемой работы, обеспечение сохранности имущества, расчет и выплата заработной платы, иных вознаграждений, расчет и перечисление налогов и страховых взносов;

-                в отношении Пациентов ГБУЗ «ГП № 214 ДЗМ» – оказание медицинских услуг, установления медицинского диагноза при этом обработка персональных данных осуществляется лицами, профессионально занимающимися медицинской деятельностью и обязанными в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

-                в отношении Учащихся - осуществления прав и законных интересов Университета в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Университета, или третьих лиц либо достижения общественно значимых целей;

-                в отношении Родственников работников – предоставление Работникам льгот и гарантий, предусмотренных федеральным законодательством для лиц, имеющих (усыновивших) детей, лиц с семейными обязанностями, выполнение требований нормативных правовых актов органов государственного статистического учета;

-                в отношении Соискателей – принятие решения о возможности замещения вакантных должностей кандидатами, наиболее полно соответствующими требованиям ГБУЗ «ГП № 214 ДЗМ»;

-                в отношении Представителей контрагентов – выполнение норм Гражданского кодекса, регулирующих договорную работу, и исполнение договоров с контрагентами;

-                в отношении Заявителей – заключение и исполнение договоров с ГБУЗ «ГП № 214 ДЗМ», оказание заявителям услуг, подготовка ответов на письменные и личные обращения (предложения, заявления, жалобы), ведение бухгалтерского учёта, формирование налоговой отчётности;

-                в отношении граждан, написавших обращение в ГБУЗ «ГП № 214 ДЗМ»;

-                в отношении Представителей субъектов – выполнение ГБУЗ «ГП № 214 ДЗМ» действий по поручению Представителей субъектов персональных данных;

-                в отношении Посетителей – обеспечение им возможности прохода в охраняемые служебные здания и помещения филиалов и офисов ГБУЗ «ГП № 214 ДЗМ»;

-                в отношении посетителей сайта https://gp214.mos.ru/ - ГБУЗ «ГП № 214 ДЗМ» собирает через сайт и хранит только те персональные данные, которые необходимы для оказания услуг, представленных на сайте, услуг консультирования и информирования, информационной рассылки, а также проведения аналитических и статистических исследований.

4.3. Обработка только тех персональных данных, которые отвечают заранее объявленным целям их обработки. Соответствие содержания и объёма обрабатываемых персональных данных заявленным целям обработки. Недопущение обработки персональных данных, не совместимой с целями сбора персональных данных, а также избыточных по отношению к заявленным целям их обработки персональных данных. ГБУЗ «ГП № 214 ДЗМ» не собирает и не обрабатывает персональные данные, не требующиеся для достижения целей, указанных в п.4.2 Положения, не использует персональные данные субъектов в каких-либо целях, отличных от указанных выше.

4.4. Недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой.

4.5. Обеспечение точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных. ГБУЗ «ГП № 214 ДЗМ» принимает все разумные меры по поддержке актуальности обрабатываемых персональных данных, включая, но не ограничиваясь, реализацией права каждого субъекта получать для ознакомления свои персональные данные и требовать от ГБУЗ «ГП № 214 ДЗМ» их уточнения, блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных выше целей обработки.

4.6. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения персональных данных не установлен федеральным законом, договором, стороной которого или выгодоприобретателем, по которому является субъект персональных данных.

4.7. Уничтожение либо обезличивание персональных данных по достижении заявленных целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения ГБУЗ «ГП № 214 ДЗМ» допущенных нарушений установленного законом порядка обработки персональных данных, отзыве согласия на обработку субъектом персональных данных, если иное не предусмотрено федеральными законами или договорами с субъектами.

5.1. Обработка персональных данных ГБУЗ «ГП № 214 ДЗМ» допускается в следующих случаях:

5.1.1. При наличии согласия субъекта персональных данных на обработку его персональных данных. Порядок получения ГБУЗ «ГП № 214 ДЗМ» согласия субъекта персональных данных определен в разделе 8 Положения.

5.1.2. Обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации на ГБУЗ «ГП № 214 ДЗМ» функций, полномочий и обязанностей. К таким случаям, в том числе относится, не исчерпывая их, исполнения обязанности по хранению первичных учетных документов, возложенной на ГБУЗ «ГП № 214 ДЗМ» как налогоплательщика, подготовка ответов на письменные и личные обращения (предложения, заявления, жалобы) Заявителей, а также обработка специальных категорий персональных данных Работников, Пациентов, Учащихся для достижения целей, предусмотренных законодательством Российской Федерации и нормативными правовыми актами, посвящённых обеспечению, указанных в п. 1.2.1 настоящего документа.

5.1.3. Обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах.

5.1.4. Обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта).

5.1.5. Обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг.

5.1.6. Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.

5.1.7. Обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях", либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

5.1.8. Обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.

5.1.9. Обработка персональных данных, полученных в результате обезличивания персональных данных, осуществляется в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным законом от 24 апреля 2020 года N 123-ФЗ "О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона "О персональных данных" и Федеральным законом от 31 июля 2020 года N 258-ФЗ "Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации", в порядке и на условиях, которые предусмотрены указанными федеральными законами.

5.1.10. Для исполнения договора, стороной которого или выгодоприобретателем является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем. Такими договорами являются, не исчерпывая:

-                трудовые и гражданско-правовые договоры с Работниками ГБУЗ «ГП № 214 ДЗМ»;

-        гражданско-правовые договоры с физическими лицами.

                Преддоговорной работой является работа по подбору персонала, в которой согласие субъекта на обработку подтверждается собственноручно заполненной анкетой Соискателя должности или анкетой (резюме), переданной им в ГБУЗ «ГП № 214 ДЗМ», специализированную организацию по подбору персонала, размещенной субъектом на специализированных сайтах в сети интернет или присланной субъектом в ГБУЗ «ГП № 214 ДЗМ» по электронной почте, а также работа по заключению договоров с Заявителями и/или с физическими лицами указанными в пункте 3.1.

5.1.11. Обработка персональных данных осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных.

5.1.12. Доступ неограниченного круга лиц к персональным данным предоставлен субъектом персональных данных либо по его просьбе.

5.1.13. Персональные данные подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом.

5.2. ГБУЗ «ГП № 214 ДЗМ» не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральными законами.

          5.3. ГБУЗ «ГП № 214 ДЗМ» не обрабатывает персональные данные, относящиеся к специальным категориям и касающиеся расовой и национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья (за исключением сведений, относящихся к вопросу о возможности выполнения Работником трудовой функции), интимной жизни субъектов, о членстве Работников в общественных объединениях, за исключением случаев, прямо предусмотренных законодательством или договором между субъектом персональных данных и ГБУЗ «ГП № 214 ДЗМ».

5.4. Обработка персональных данных о судимости может осуществляться ГБУЗ «ГП № 214 ДЗМ» исключительно в случаях и в порядке, установленных федеральными законами.

5.5. Персональные данные, в том числе фотографические изображения, используемые в ГБУЗ «ГП № 214 ДЗМ» для установления личности субъекта, могут обрабатываться в ГБУЗ «ГП № 214 ДЗМ» только при наличии согласия субъекта в письменной форме или в случае, когда такая обработка предусмотрена законодательством Российской Федерации.

5.6. ГБУЗ «ГП № 214 ДЗМ» не осуществляет трансграничную передачу персональных данных, за исключением случаев, предусмотренных договором между субъектом персональных данных и ГБУЗ «ГП № 214 ДЗМ».

5.7. ГБУЗ «ГП № 214 ДЗМ» не принимает решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих права и законные интересы субъектов, на основании исключительно автоматизированной обработки персональных данных. Данные, имеющие юридические последствия или затрагивающие права и законные интересы субъекта, подлежат перед их использованием проверке со стороны уполномоченных Работников ГБУЗ «ГП № 214 ДЗМ».

6.1. ГБУЗ «ГП № 214 ДЗМ» осуществляет обработку персональных данных с использованием средств автоматизации, а также без использования таких средств.

6.2. Настоящее Положение распространяется в полном объеме на обработку персональных данных с использованием средств автоматизации, а на обработку без использования средств автоматизации – только в случаях, если такая обработка соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиска персональных данных, зафиксированных на материальном носителе, и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и/или доступ к таким персональным данным.

7.1. Работниками ГБУЗ «ГП № 214 ДЗМ», получившими доступ к персональным данным, обеспечивается конфиденциальность таких данных.

Обеспечение конфиденциальности не требуется в отношении:

-                персональных данных после их обезличивания;

-                общедоступных персональных данных.

7.2. На официальном сайте ГБУЗ «ГП № 214 ДЗМ» в сети интернет размещается информация, содержащая персональные данные руководства ГБУЗ «ГП № 214 ДЗМ», Работников ГБУЗ «ГП № 214 ДЗМ», организующих оказание услуг по направлениям деятельности ГБУЗ «ГП № 214 ДЗМ» в объёме, предусмотренном законодательством Российской Федерации. Сведения, не предусмотренные законом, размещаются только на основании согласия субъектов в письменной форме. Персональные данные работников (фамилия, имя, отчество, наименование должности) размещаются на табличках (бейджиках).

Согласно пункту 7 части 1 статьи 79 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» ГБУЗ «ГП № 214 ДЗМ» обязана информировать граждан в доступной форме, в том числе с использованием сети «Интернет», об осуществляемой медицинской деятельности и о медицинских работников ГБУЗ «ГП № 214 ДЗМ», об уровне их образования и об их квалификации, а также предоставлять иную информацию необходимую для проведения независимой оценки качества оказания услуг ГБУЗ «ГП № 214 ДЗМ».

Во исключения данной правовой нормы прказом Минздрава России от 30.12.2014 № 956н утверждены требования к содержанию и форме предоставления информации о деятельности медицинских организаций, размещаемой на офицальных сайтах Министерства здравоохранения РФ, органов государственой власти субъектов РФ, органов местного самоуправления и медицинских организаций в сети «Интернет». Обработка персональных данных лий, непредусмотренныхданным правовым актом, а также обработка категорий персональных данных, превышающих объем определенный приказом, возможен только с согласия субъекта персональных данных.

8.1. Субъект персональных данных принимает решение о предоставлении его персональных данных ГБУЗ «ГП № 214 ДЗМ» и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным и может предоставляться субъектом в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

8.2. В случае получения согласия на обработку персональных данных от Представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются ГБУЗ «ГП № 214 ДЗМ».

8.3. Специального выраженного согласия Работника на обработку его персональных данных не требуется, т.к. обработка необходима для исполнения трудового договора, стороной которого является Работник – субъект персональных данных, за исключением случаев, когда необходимо получение согласия Работника в письменной форме для конкретных случаев обработки персональных данных. К случаям, требующим согласия Работника в письменной форме, относятся (не исчерпывая):

8.3.1. Включение персональных данных Работника в общедоступные источники персональных данных, в том числе – размещение на официальном сайте ГБУЗ «ГП № 214 ДЗМ» и т.п.

8.3.2. Обработка специальных категорий персональных данных, в том числе обработка сведений о состоянии здоровья Работника, не связанных с возможностью выполнения Работником трудовой функции.

8.3.3. Обработка персональных данных Работника, в том числе – его фотографических изображений, используемых для установления личности Работника.

8.3.4. Получение персональных данных Работников у третьих лиц, в том числе – с целью их проверки, а также в случаях, когда данные нельзя получить у самого Работника.

8.3.5. Передача персональных данных Работника какой-либо третьей стороне, в том числе – передача его персональных данных при направлении в служебные командировки, на обучение и повышение квалификации и т.п.

8.3.6. Сообщение персональных данных Работника третьим лицам в коммерческих целях, в том числе – банкам, открывающим и обслуживающим платежные карты для начисления заработной платы и иных доходов Работника, страховым компаниям, осуществляющим добровольное страхование Работников за счет Работодателя и т.п.

Согласие Работника в письменной форме на обработку персональных данных, определенную пп. 8.3.1-8.3.6, может даваться не в виде отдельного документа, а закрепляться трудовым договором (дополнительным соглашением к нему) при условии включения в него сведений, установленных ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

8.4. Специального выраженного согласия Родственников работников ГБУЗ «ГП № 214 ДЗМ» не требуется, если обработка их персональных данных осуществляется на основании федеральных законов (получение алиментов, оформление социальных выплат и пр.), а также выполняется ГБУЗ «ГП № 214 ДЗМ» как работодателем в соответствии с требованиями органов государственного статистического учета. Во всех остальных случаях необходимо получение доказываемого (подтверждаемого) согласия Родственников работников на обработку их персональных данных ГБУЗ «ГП № 214 ДЗМ».

8.5. Специального выраженного согласия Соискателя на обработку его персональных данных не требуется, т.к. обработка необходима в целях заключения трудового договора по инициативе Соискателя – субъекта персональных данных, за исключением случаев, когда необходимо получение согласия Соискателя в письменной форме для конкретных случаев обработки персональных данных. В случае принятия решения об отказе Соискателю в приеме на работу его персональные данные должны быть уничтожены в течение 30 дней с даты принятия такого решения.

8.6. Специального выраженного согласия Заявителя на обработку его персональных данных не требуется, т.к. он является стороной договора, заключенного с ГБУЗ «ГП № 214 ДЗМ» по инициативе субъекта или выразил свое согласие конклюдентными действиями, предоставив свои персональные данные в письменном обращении (предложении, заявлении, жалобе) или при личном обращении либо предоставленных с использованием информационно-телекоммуникационной сети «Интернет».

8.7. Персональные данные лиц, подписавших договор с ГБУЗ «ГП № 214 ДЗМ», содержащиеся в единых государственных реестрах юридических лиц и индивидуальных предпринимателей, являются открытыми и общедоступными, за исключением сведений о номере, дате выдачи и органе, выдавшем документ, удостоверяющий личность физического лица. Охраны их конфиденциальности и согласия субъектов на обработку не требуется. Во всех остальных случаях необходимо получение согласия субъектов персональных данных, являющихся Представителями контрагентов ГБУЗ «ГП № 214 ДЗМ», за исключением лиц, подписавших договоры с ГБУЗ «ГП № 214 ДЗМ», а также предоставивших доверенности на право действовать от имени и по поручению субъектов персональных данных и тем самым совершивших конклюдентные действия, подтверждающие их согласие с обработкой персональных данных, указанных в тексте договора и/или доверенности.

Согласие на передачу ГБУЗ «ГП № 214 ДЗМ» персональных данных Представителей контрагентов ГБУЗ «ГП № 214 ДЗМ» может быть получено самим контрагентом. В этом случае получение ГБУЗ «ГП № 214 ДЗМ» их согласия на обработку персональных данных не требуется.

8.8. Согласие Посетителя на обработку персональных данных дается в форме конклюдентных действий, выраженных либо в предоставлении своих персональных данных, необходимых для входа в здания, помещения и на территорию ГБУЗ «ГП № 214 ДЗМ», либо в форме предъявления документа, удостоверяющего личность, работникам бюро пропусков и службы охраны. Конклюдентные действия Посетителя также подтверждают его согласие с обработкой персональных данных, предоставленных для прохода на охраняемую территорию Организации, работниками охранной организации, осуществляющей охрану территории и доступ на нее.

8.9. Согласие Представителя субъекта на обработку его персональных данных дается в форме конклюдентных действий, выраженных в предоставлении доверенности на право действовать от имени и по поручению субъектов персональных данных, и документа, удостоверяющего его личность.

8.10. При запросе персональных данных, обработка которых не установлена требованиями законодательства или не требуется для исполнения договора, стороной которого или выгодоприобретателем по которому является субъект персональных данных, необходимо получение согласия субъекта только на обработку дополнительно истребованных ГБУЗ «ГП № 214 ДЗМ» персональных данных.

8.11. Согласие субъектов на предоставление их персональных данных не требуется при получении ГБУЗ «ГП № 214 ДЗМ», в рамках установленных полномочий, мотивированных запросов от органов прокуратуры, правоохранительных органов, органов безопасности, от государственных инспекторов труда при осуществлении ими государственного надзора и контроля за соблюдением трудового законодательства и иных органов, уполномоченных запрашивать информацию в соответствии с компетенцией, предусмотренной законодательством Российской Федерации.

Мотивированный запрос должен включать в себя указание цели запроса, ссылку на правовые основания запроса, в том числе подтверждающие полномочия органа, направившего запрос, а также перечень запрашиваемой информации.

8.12. В случае поступления запросов из организаций, не обладающих соответствующими полномочиями, ГБУЗ «ГП № 214 ДЗМ» обязано получить согласие субъекта на предоставление его персональных данных и предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, а также требовать от этих лиц подтверждения того, что это правило будет (было) соблюдено.

8.13. Согласие на обработку персональных данных, обработка которых не установлена требованиями законодательства или не требуется для исполнения договора с ГБУЗ «ГП № 214 ДЗМ», стороной которого или выгодоприобретателем по которому является субъект персональных данных, может быть отозвано субъектом персональных данных.

8.14. Типовая форма согласия субъекта на обработку его персональных данных ГБУЗ «ГП № 214 ДЗМ», даваемого в письменной форме в случаях, предусмотренных федеральными законами, приведена в Приложении 1 и 2 к настоящему Положению.

8.15. Во всех случаях обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных», возлагается на ГБУЗ «ГП № 214 ДЗМ».

9.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

-                подтверждение факта обработки его персональных данных ГБУЗ «ГП № 214 ДЗМ»;

-                правовые основания и цели обработки персональных данных;

-                сведения о применяемых ГБУЗ «ГП № 214 ДЗМ» способах обработки персональных данных;

-                наименование и место нахождения ГБУЗ «ГП № 214 ДЗМ», сведения о лицах (за исключением Работников ГБУЗ «ГП № 214 ДЗМ»), которые имеют доступ к персональным данным, или которым могут быть раскрыты персональные данные на основании договора с ГБУЗ «ГП № 214 ДЗМ», или на основании федерального закона;

-                обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;

-                сроки обработки персональных данных, в том числе сроки их хранения;

-                порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;

-                информацию об осуществленной или о предполагаемой трансграничной передаче данных;

-                наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению ГБУЗ «ГП № 214 ДЗМ», если обработка поручена или будет поручена такому лицу;

-                иные сведения, предусмотренные федеральными законами.

9.2. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных. Типовые формы ответов на запросы субъектов об обработке их персональных данных определены в Приложении 3 к настоящему Положению.

9.3. Запрос субъекта об обработке его персональных данных ГБУЗ «ГП № 214 ДЗМ» должен содержать:

-                фамилию, имя и отчество субъекта персональных данных или его представителя;

-                номер основного документа, удостоверяющего личность субъекта персональных данных, а также его представителя (если запрос направлен представителем), сведения о дате выдачи указанного документа (документов) и выдавшем его (их) органе (органах);

-                сведения, подтверждающие участие субъекта персональных данных в отношениях с ГБУЗ «ГП № 214 ДЗМ» (номер и дата заключения договора с ГБУЗ «ГП № 214 ДЗМ» и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных ГБУЗ «ГП № 214 ДЗМ» (письмо или SMS-сообщение ГБУЗ «ГП № 214 ДЗМ», адресованное субъекту, и т.п.);

-                подпись субъекта персональных данных или его представителя.

9.4. Все поступившие запросы субъектов персональных данных или их представителей регистрируются по форме, приведенной в Приложении 4 к настоящему Положению, докладываются руководителю ГБУЗ «ГП № 214 ДЗМ», и по его резолюции направляются в соответствующий филиал или структурное подразделение ГБУЗ «ГП № 214 ДЗМ»для подготовки ответа в кратчайшие сроки.

9.5. В случае, если сведения, указанные в п. 9.1 настоящего Положения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к ГБУЗ «ГП № 214 ДЗМ» или направить повторный запрос в целях получения таких сведений и ознакомления со своими персональными данными не ранее, чем через 10 рабочих дней (Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.) после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральными законами, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого является субъект персональных данных.

9.6. Повторный запрос субъекта персональных данных подлежит удовлетворению ранее предусмотренного п. 9.5 настоящего Положения срока, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены субъекту для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в п. 9.3, должен содержать обоснование направления повторного запроса.

9.7. При отсутствии в запросе субъекта сведений, определенных в п. 9.3 настоящего Положения, или несоблюдении сроков и условий, определенных п. 9.4 и п.9.6 настоящего Положения, ГБУЗ «ГП № 214 ДЗМ» вправе отказать субъекту в предоставлении запрашиваемых сведений. Форма отказа в удовлетворении запроса субъекта приведена в Приложении 5 к настоящему Положению.

9.8. Субъект персональных данных вправе требовать от ГБУЗ «ГП № 214 ДЗМ» уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

9.9. Субъект вправе в любой момент отозвать свое согласие на обработку персональных данных ГБУЗ «ГП № 214 ДЗМ», подав письменное заявление в произвольной форме, содержащее те же персональные данные, что были указаны при предоставлении персональных данных ГБУЗ «ГП № 214 ДЗМ» или сведения об основном документе, удостоверяющем личность субъекта. В случае отзыва субъектом персональных данных согласия на обработку персональных данных ГБУЗ «ГП № 214 ДЗМ» вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных» и иных федеральных законах.

9.10. В случае отзыва субъектом согласия на обработку его персональных данных, если законных оснований продолжить их обработку нет, ГБУЗ «ГП № 214 ДЗМ» прекращает их обработку и уничтожает персональные данные в срок, не превышающий 10 дней с даты поступления указанного отзыва.

9.11. Если субъект персональных данных считает, что ГБУЗ «ГП № 214 ДЗМ» осуществляет обработку его персональных данных с нарушением требований федерального законодательства или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие ГБУЗ «ГП № 214 ДЗМ» в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций – Роскомнадзор) или в судебном порядке.

9.12. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

10.1. При сборе персональных данных ГБУЗ «ГП № 214 ДЗМ» обязано предоставить субъекту персональных данных по его просьбе информацию, предусмотренную п.9.1 настоящего Положения.

10.2. В случаях, когда предоставление персональных данных является обязательным в соответствии с федеральным законодательством, ГБУЗ «ГП № 214 ДЗМ» обязано разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные. Типовая форма разъяснения последствий отказа предоставить персональные данные приведена в Приложении 6 к настоящему Положению.

10.3. ГБУЗ «ГП № 214 ДЗМ» обязано сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также безвозмездно предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя в течение 10 рабочих дней (Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.) с даты получения запроса субъекта персональных данных или его представителя.

10.4. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя, либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных ГБУЗ «ГП № 214 ДЗМ» обязано осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки.

В случае подтверждения и выявления факта неправомерной обработки персональных данных, осуществляемой ГБУЗ «ГП № 214 ДЗМ», в срок, не превышающий 3 рабочих дней с даты этого выявления, ГБУЗ «ГП № 214 ДЗМ» обязано прекратить неправомерную обработку персональных данных. В случае, если обеспечить правомерность обработки персональных данных невозможно, ГБУЗ «ГП № 214 ДЗМ» в срок, не превышающий 10 рабочих дней (Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.) с даты выявления неправомерной обработки персональных данных, обязано уничтожить такие персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных ГБУЗ «ГП № 214 ДЗМ» обязано уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, уведомить также и указанный орган.

10.5. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных ГБУЗ «ГП № 214 ДЗМ» обязано осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

В случае подтверждения факта неточности персональных данных ГБУЗ «ГП № 214 ДЗМ», на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов, обязано уточнить персональные данные в течение 7 рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

10.6. Если персональные данные были получены не от субъекта персональных данных, до начала обработки таких персональных данных ГБУЗ «ГП № 214 ДЗМ» обязано предоставить субъекту персональных данных следующую информацию:

-                наименование и адрес ГБУЗ «ГП № 214 ДЗМ»;

-                цель обработки персональных данных и ее правовое основание;

-                предполагаемые пользователи персональных данных;

-                установленные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» права субъекта персональных данных;

-                источник получения персональных данных.

10.7. Информирование субъекта персональных данных о получении ГБУЗ «ГП № 214 ДЗМ» его данных и намерении их обрабатывать не требуется в следующих случаях:

-                субъект персональных данных уже уведомлен об осуществлении обработки его персональных данных соответствующим оператором;

-                персональные данные получены ГБУЗ «ГП № 214 ДЗМ» в связи с исполнением договора, стороной которого или выгодоприобретателем по которому является субъект персональных данных;

-                персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

-                ГБУЗ «ГП № 214 ДЗМ» осуществляет обработку персональных данных для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта персональных данных;

-                предоставление субъекту персональных данных сведений, указанных в п. 10.6 настоящего Положения, нарушает права и законные интересы третьих лиц.

11.1.1. В ГБУЗ «ГП № 214 ДЗМ» назначается ответственный за организацию обработки персональных данных.

11.1.2. Ответственный за организацию обработки персональных данных, получает указания по данным вопросам непосредственно от руководителя ГБУЗ «ГП № 214 ДЗМ» и подотчетно ему.

11.1.3. Руководители филиалов и структурных подразделений ГБУЗ «ГП № 214 ДЗМ» обязаны оперативно предоставлять необходимые материалы и сведения по запросам лица, ответственного за организацию обработки персональных данных в ГБУЗ «ГП № 214 ДЗМ», а также устранять нарушения требований законодательства Российской Федерации при работе с персональными данными в случае выявления их в подразделении.

11.1.4. Ответственный за организацию обработки персональных данных, обязаны:

-                осуществлять внутренний контроль за соблюдением ГБУЗ «ГП № 214 ДЗМ» и его Работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

-                доводить до сведения Работников ГБУЗ «ГП № 214 ДЗМ» положения законодательства Российской Федерации о персональных данных, локальных актов ГБУЗ «ГП № 214 ДЗМ» по вопросам обработки персональных данных, требований к защите персональных данных;

-                организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов филиалами и структурными подразделениями ГБУЗ «ГП № 214 ДЗМ».

-                обеспечивать взаимодействие с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА), включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПД;

-                в случае неправомерной или случайной передачи персональных данных обязан уведомить Роскомнадзор в течение 24 часов о произошедшем инциденте, связанном с неправомерной или случайной передачей персональных данных, его предполагаемых причинах, о принятых мерах по установлению последствий этого инцидента, а в течение 72 часов уведомлять Роскомнадзор о результатах внутреннего расследования по поводу инцедента и сообщить о лицах, действия которых стали причиной утечки ПД.

11.2.1. Работник, доступ которых к персональным данным необходим для выполнения должностных (трудовых) обязанностей, допускаются к соответствующим персональным данным (в том числе к персональным данным, переданным для обработки ГБУЗ «ГП № 214 ДЗМ» Заявителями) в соответствии с Перечнем должностей работников ГБУЗ «ГП № 214 ДЗМ», замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, утверждаемым руководителем ГБУЗ «ГП № 214 ДЗМ» и вводимым в действие приказом ГБУЗ «ГП № 214 ДЗМ» (форма Перечня должностей установлена Приложением 7 к настоящему Положению).

11.2.2. Перечень должностей состоит из двух частей – постоянной и переменной. Постоянная часть определяет должности работников структурных подразделений ГБУЗ «ГП № 214 ДЗМ» и количество работников, замещающих данные должности, которым необходим доступ к персональным данным для выполнения своих трудовых обязанностей. В переменной части указываются фамилии и инициалы работников, замещающих соответствующие должности.

Перечень должностей ведется работником, назначаемым руководителем структурного подразделения ГБУЗ «ГП № 214 ДЗМ», в ведении которого находятся вопросы кадрового учета ГБУЗ «ГП № 214 ДЗМ». Допускается ведение Перечня должностей (заполнение сведений переменной части) в электронном виде.

Изменения в Перечень должностей вносятся по мере необходимости (при изменении штатного расписания или бизнес-процессов ГБУЗ «ГП № 214 ДЗМ») руководителем ГБУЗ «ГП № 214 ДЗМ» самостоятельно или по представлению руководителей структурных подразделений ГБУЗ «ГП № 214 ДЗМ».

Работнику ГБУЗ «ГП № 214 ДЗМ» должность которого не включена в Перечень должностей работников ГБУЗ «ГП № 214 ДЗМ», замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, но которому необходим разовый или временный доступ к персональным данным субъектов персональных данных в связи с исполнением должностных обязанностей, приказом руководителя ГБУЗ «ГП № 214 ДЗМ» может быть предоставлен такой доступ на основании письменной заявки непосредственного руководителя работника, направленной на имя руководителя ГБУЗ «ГП № 214 ДЗМ» (в филиалах – на имя руководителя ГБУЗ «ГП № 214 ДЗМ»). Форма заявки приведена в Приложении 8 к настоящему Положению.

При наличии технической возможности заявки целесообразно подавать и согласовывать в электронном виде.

11.2.3. Работники ГБУЗ «ГП № 214 ДЗМ» допускаются только к тем персональным данным, которые необходимы им для выполнения служебных обязанностей.

С этой целью организация хранения и использования материальных носителей персональных данных возлагается на конкретных работников, а в информационных системах осуществляется разграничение прав доступа пользователей.

11.2.4. Обязанности Работников, допускаемых к работе с персональными данными, определяются соответствующими разделами их должностных инструкций. Типовой раздел должностной инструкции, регламентирующий работу с персональными данными, приведен в Приложении 9 к настоящему Положению.

11.3.1. Все материальные носители персональных данных подлежат обязательному поэкземплярному учету. Машинные носители персональных данных (системы хранения данных, жесткие диски серверов и рабочих станций, оптические диски, съемные USB- и флэш-диски, ленты (кассеты) для резервного копирования и т.д.) учитываются по форме, установленной Приложением 10 к настоящему Положению.

11.3.2. Носители персональных данных выдаются работникам под роспись в соответствующих журналах учета, за их использование устанавливается личная ответственность. Не допускается безучетная передача носителей персональных данных от одного работника другому.

11.3.3. При обработке персональных данных с использованием средств вычислительной техники запрещается записывать персональные данные на машинные носители, предварительно не учтенные установленным порядком.

11.3.4. Работник при работе с персональными данными, обязан:

-                соблюдать режим конфиденциальности персональных данных;

-                передавать персональные данные только тем работникам, которые допущены к их обработке;

-                обеспечивать надежное хранение носителей персональных данных;

-                своевременно сообщать непосредственному начальнику о ставших ему известными попытках посторонних лиц получить доступ к защищаемым персональным данным;

-                немедленно уведомлять непосредственного начальника и принимать меры по предотвращению утечки персональных данных при выявлении фактов утраты или недостачи ключей от помещений, хранилищ, личных печатей и о других фактах, которые могут привести к разглашению защищаемых сведений;

-                сдать носители персональных данных в соответствии с порядком, установленным настоящим Положением, при увольнении или отстранении от исполнения обязанностей, связанных с обработкой персональных данных.

11.3.5. Работнику, осуществляющему обработку персональных данных, запрещается:

-                выносить носители персональных данных из служебных помещений ГБУЗ «ГП № 214 ДЗМ» без разрешения руководителя структурного подразделения;

-                записывать на учтенные машинные носители информацию, не имеющую отношения к выполняемой работе;

-                принимать и передавать носители персональных данных без соответствующего разрешения и оформления в установленном порядке;

-                хранить носители персональных данных на рабочих столах либо оставлять их без присмотра.

Ответственные за обработку персональных данных должны пресекать действия работников и других лиц, которые могут привести к хищению или разрушению носителей персональных данных, и сообщать о фактах таких действий вышестоящему руководству.

11.4.1. Персональные данные субъектов, обрабатываемые структурными подразделениями ГБУЗ «ГП № 214 ДЗМ», передаются от одного структурного подразделения другому с соблюдением следующих правил:

-                данные передаются в минимально возможном объеме, необходимом для выполнения соответствующим структурным подразделением своих функций;

-                передача из одного структурного подразделения в другое персональных данных, излишествующих по отношению к целям обработки в данном подразделении, не допускается;

-                передача персональных данных на материальных носителях (в виде документов) оформляется установленным порядком по журналам первичного учета документов;

-                в информационной системе персональных данных (приложении, обрабатывающем персональные данные) работнику предоставляются минимальные права, достаточные для выполнения им своих трудовых обязанностей.

11.4.2. При достижении целей обработки персональных данных, полученных из другого структурного подразделения, их носители должны быть возвращены в передавшее их ранее структурное подразделение или уничтожены порядком, определенным разделом 11.6 настоящего Положения.

11.5.1. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если конкретный срок хранения персональных данных не установлен федеральным законом или договором, стороной которого является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки, в случае утраты необходимости в достижении этих целей, отзыва согласия субъекта на обработку его персональных данных или передаются на архивное хранение в случаях, предусмотренных федеральными законами и нормативными правовыми актами федеральных органов исполнительной власти, уполномоченных на регулирование деятельности в области архивного хранения.

11.5.2. ГБУЗ «ГП № 214 ДЗМ» вправе продолжить обработку персональных данных по достижении целей обработки, в случае утраты необходимости в достижении этих целей, отзыва согласия субъекта на обработку его персональных данных при наличии оснований, указанных в п.5.1 настоящего Положения.

11.5.3. Передача документов, содержащих персональные данные, на архивное хранение, и сроки их хранения в архивах определяются соответствующими законами и нормативными правовыми актами уполномоченных на то федеральных органов исполнительной власти.

11.5.4. Для хранения носителей персональных данных необходимо использовать специальные хранилища (сейфы, металлические шкафы и т.п.), исключающие возможность несанкционированного к ним доступа, подмены, хищения или уничтожения. Места хранения носителей персональных данных утверждаются приказом генерального директора.

11.5.5. Не допускается хранение машинных носителей информации вблизи источников сильных электромагнитных полей и приборов отопления, а также вдали от источников теплового, светового (ультрафиолетового) или ионизирующего излучений.

11.5.6. Машинные носители информации с резервными копиями персональных данных рекомендуется хранить в отдельном хранилище.

11.6.1. Подлежат уничтожению персональные данные, в отношении которых:

-                достигнута цель обработки персональных данных;

-                утрачена необходимость в достижении ранее определенных целей обработки;

-                выявлены факты неправомерной обработки персональных данных (в том числе при обращении субъекта персональных данных) и обеспечить их правомерность не представляется возможным;

-                отозвано согласие субъекта на обработку персональных данных и законных оснований продолжать такую обработку не имеется;

-                нет оснований осуществлять архивное хранение материальных носителей, содержащих эти персональные данные.

11.6.2. Для уничтожения материальных носителей персональных данных или передачи их на архивное хранение приказом руководителя ГБУЗ «ГП № 214 ДЗМ» назначается комиссия. Комиссия проводит отбор материальных носителей персональных данных, подлежащих уничтожению или передаче на архивное хранение, определяет данные, подлежащие уничтожению, и после утверждения перечня документов и данных лицом, назначившим комиссию, производит их уничтожение.

Материальные носители, подлежащие архивному хранению, передаются по акту в структурное подразделение ГБУЗ «ГП № 214 ДЗМ», на которое возложено ведение архива ГБУЗ «ГП № 214 ДЗМ».

11.6.3. Уничтожение материальных носителей персональных данных должно обеспечивать их полное физическое уничтожение, а уничтожение персональных данных, записанных на машинных носителях информации, – невозможность восстановления персональных данных.

11.6.4. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

11.6.5. Уничтожение персональных данных должно производиться в течение 7 рабочих дней с момента обнаружения данных, подлежащих уничтожению. Во всех случаях срок уничтожения не должен превышать 30 дней с даты окончания срока хранения персональных данных, достижения целей обработки персональных данных, утраты необходимости достижения этих целей, поступления отзыва согласия субъекта на обработку персональных данных или установления факта неправомерности обработки персональных данных, если иное не предусмотрено федеральным законом.

11.6.6. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в п.11.6.5 настоящим Положением, ГБУЗ «ГП № 214 ДЗМ» осуществляет блокирование таких персональных данных и уничтожает их в срок не более чем 6 месяцев, если иной срок не установлен федеральными законами.

11.6.7. Машинные носители информации, содержащие персональные данные и пришедшие в негодность, отслужившие установленный срок или утратившие практическое значение, уничтожаются одним из следующих способов: разрезание, сжигание, механическое уничтожение, сдача предприятию по утилизации вторичного сырья. В последнем случае перед сдачей машинных носителей информации на утилизацию на них производится стирание персональных данных с использованием программ (устройств) гарантированного уничтожения информации.

11.6.8. Уничтожение носителей информации на бумажной основе производится с применением бумагорезательных машин (шредеров) или путем сжигания их в специально оборудованных печах, сдача предприятию по утилизации вторичного сырья. В последнем случае в договоре с таким предприятием должна предусматриваться обязанность предприятия-утилизатора обеспечить конфиденциальность персональных данных, находящихся на уничтожаемых (утилизируемых) носителях. При отсутствии такого обязательств в договоре уничтожение должно осуществляться только под личным наблюдением уполномоченного работника ГБУЗ «ГП № 214 ДЗМ».

11.6.9. Уничтожение персональных данных в информационных системах проводится путем удаления записей баз данных, содержащих персональные данные, или стирания файлов с использованием программ (устройств) гарантированного уничтожения информации.

11.6.10. По результатам уничтожения оформляется акт об уничтожении персональных данных, содержащий следующие сведения: данные, позволяющие идентифицировать субъекта персональных данных, чьи данные были уничтожены, состав уничтоженных данных, перечень информационных систем, в которых были уничтожены данные (Приложения 11 и 12 к настоящему Положению).

Система защиты персональных данных Предприятия должна обеспечивать:

-                нейтрализацию актуальных угроз безопасности персональных данных;

-                проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

-                своевременное обнаружение фактов несанкционированного доступа к персональным данным;

-                недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

-                возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

-                постоянный контроль обеспечения уровня защищенности персональных данных.

Разработка и проведение мероприятий по обеспечению безопасности персональных данных, обрабатываемых в информационных системах, осуществляется силами и средствами Предприятия либо на договорной основе сторонней организацией, имеющей лицензию на деятельность по технической защите конфиденциальной информации.

-                разработку локальных актов ГБУЗ «ГП № 214 ДЗМ», реализующих требования федерального законодательства, в том числе – Положения и «Политики ГБУЗ «ГП № 214 ДЗМ» в отношении обработки персональных данных», и размещение ее на сайте ГБУЗ «ГП № 214 ДЗМ» в сети интернет;

-                отказ от любых способов обработки персональных данных, не соответствующих определенным в настоящем Положении целям;

-                оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения требований Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных», соотношение указанного вреда и принимаемых ГБУЗ «ГП № 214 ДЗМ» мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством.

-                назначение ответственных за организацию обработки персональных данных;

-                назначение ответственных за обеспечение безопасности персональных данных в информационных системах;

-                осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, определенным в «Политике ГБУЗ «ГП № 214 ДЗМ» в отношении обработки персональных данных», локальным актам ГБУЗ «ГП № 214 ДЗМ»; контроль за выполнением требований безопасности организуется и проводится ГБУЗ «ГП № 214 ДЗМ» самостоятельно и (или) с привлечением на договорной основе юридических лиц, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации, не реже 1 раза в 3 года в сроки, определяемые ГБУЗ «ГП № 214 ДЗМ»;

-                ограничение состава работников ГБУЗ «ГП № 214 ДЗМ», имеющих доступ к персональным данным, и организацию разрешительной системы доступа к ним;

-                ознакомление работников ГБУЗ «ГП № 214 ДЗМ» с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, с Положением, другими локальными актами ГБУЗ «ГП № 214 ДЗМ» по вопросам обработки персональных данных;

-                обучение всех категорий работников, непосредственно осуществляющих обработку персональных данных, правилам работы с ними и обеспечения безопасности обрабатываемых данных;

-                определение в должностных инструкциях работников ГБУЗ «ГП № 214 ДЗМ» обязанностей по обеспечению безопасности обработки персональных данных и ответственности за нарушение установленного порядка;

-                регламентацию процессов обработки персональных данных;

-                организацию учёта материальных носителей персональных данных, их хранения, обеспечивающую предотвращение хищения, подмены, несанкционированного копирования и уничтожения;

-                определение типа угроз безопасности персональных данных, актуальных для информационных систем персональных данных с учетом оценки возможного вреда субъектам персональных данных, который может быть причинен в случае нарушения требований безопасности, определение уровня защищенности персональных данных, формирование частных моделей актуальных угроз персональным данным;

-                размещение технических средств обработки персональных данных в пределах охраняемой территории;

-                ограничение допуска посторонних лиц в помещения ГБУЗ «ГП № 214 ДЗМ», недопущение их нахождения в помещениях, где ведется работа с персональными данными и размещаются технические средства их обработки, без контроля со стороны работников ГБУЗ «ГП № 214 ДЗМ».

-                реализацию требований к защите персональных данных при их обработке в информационных системах, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

-                разработку на основе модели угроз системы защиты персональных данных для установленных Правительством Российской Федерации уровней защищенности персональных данных при их обработке в информационных системах;

-                использование для нейтрализации актуальных угроз средств защиты информации, прошедших процедуру оценки соответствия;

-                оценку эффективности принимаемых мер по обеспечению безопасности персональных данных;

-                идентификацию и аутентификацию субъектов доступа и объектов доступа;

-                реализацию разрешительной системы доступа работников к персональным данным, обрабатываемым в информационных системах, и программно-аппаратным и программным средствам защиты информации;

-                регистрацию и учёт действий c персональными данными пользователей информационных систем, в которых обрабатываются персональные данные;

-                выявление вредоносного программного обеспечения (применение антивирусных программ) на всех узлах информационной сети ГБУЗ «ГП № 214 ДЗМ», обеспечивающих соответствующую техническую возможность;

-                защиту технических средств;

-                защиту информационной системы, ее средств, систем связи и передачи данных;

-                управление конфигурацией информационной системы и системы защиты персональных данных.

-                обеспечение доступности персональных данных;

-                защиту машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные;

-                применение в необходимых случаях для обеспечения безопасности персональных данных средств криптографической защиты информации;

-                обеспечение безопасности среды виртуализации;

-                безопасное межсетевое взаимодействие (применение межсетевого экранирования);

-                обнаружение вторжений в информационную систему ГБУЗ «ГП № 214 ДЗМ», нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;

-                восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним (использование системы резервного копирования и восстановления персональных данных);

-                периодическое проведение мониторинга действий пользователей, разбирательств по фактам нарушения требований безопасности персональных данных;

-                анализ защищенности информационных систем с применением специализированных программных средств (сканеров безопасности);

-                централизованное управление системой защиты персональных данных;

-                контроль за выполнением настоящих требований (самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации) не реже 1 раза в 3 года.

Входные двери помещений, где хранятся материальные носители персональных данных, должны быть оборудованы замками, гарантирующими надежное закрытие помещения во внерабочее время.

Для контроля за входом могут устанавливаться кодовые замки или иные средства защиты, в необходимых случаях помещения оснащаются охранной сигнализацией.

12.3.1. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности, путем фиксации их на отдельных материальных носителях персональных данных.

12.3.2. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы между собой. При обработке персональных данных, предназначенных для различных целей, для каждой такой группы персональных данных должен использоваться отдельный материальный носитель.

Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

12.3.3. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень работников, осуществляющих обработку персональных данных либо имеющих к ним доступ.

12.3.4. Лица, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы:

-      о факте обработки ими персональных данных, обработка которых осуществляется без использования средств автоматизации;

-      о категориях обрабатываемых персональных данных;

-      об особенностях и правилах осуществления такой обработки.

12.3.5. Дела с документами, содержащими персональные данные, должны иметь внутренние описи. Внутренняя опись дела нумеруется отдельно.

12.3.6. Документы, содержащие персональные данные, и иные их материальные носители, хранятся в запираемых хранилищах (сейфах).

12.3.7. При использовании типовых форм документов, разработанных ГБУЗ «ГП № 214 ДЗМ», характер информации в которых предполагает или допускает включение в них персональных данных (далее – типовая форма) (к таким типовым формам относятся, например, журналы учета обращений субъектов персональных данных, журналы учета посетителей, формы анкет соискателей вакантных должностей, листы ознакомления и т.п.), должны соблюдаться следующие условия:

-                типовая форма или связанные с ней документы (журналы, содержащие типовые формы, инструкции по заполнению форм и журналов, карточки, реестры и т.п.) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, наименование и адрес ГБУЗ «ГП № 214 ДЗМ», фамилию, имя, отчество и адрес субъекта персональных данных (если адрес необходим для достижения целей обработки персональных данных без использования средств автоматизации), источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

-                типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения согласия в письменной форме на обработку персональных данных;

-                типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных (например, в листах ознакомления работников с документами не должны содержаться иные сведения, кроме фамилии, имени, отчества, должности работника и наименования структурного подразделения – при необходимости);

-                типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

Образец Инструкции по заполнению типовой формы приведен в Приложении 13 к настоящему Положению.

12.3.8. Документы, содержащие персональные данные Работников ГБУЗ «ГП № 214 ДЗМ» (личные дела, трудовые книжки, картотеки, учетные журналы, книги учета и т.п.) хранятся в папках в специальных несгораемых шкафах, обеспечивающих защиту от несанкционированного доступа, только в тех помещениях, которые включены в Перечень служебных помещений, в которых разрешена работа с персональными данными (Приложение 15 к настоящему Положению).

13.1. Работники ГБУЗ «ГП № 214 ДЗМ», виновные в нарушении требований действующего федерального законодательства Российской Федерации в области персональных данных и требований настоящего Положения, несут гражданскую, уголовную, административную, дисциплинарную и иную, предусмотренную законодательством Российской Федерации, ответственность.

13.2. Юридические лица, нарушившие договорные обязательства по обеспечению конфиденциальности персональных данных, несут гражданско-правовую ответственность в соответствии с законодательством Российской Федерации.