1. НАЗНАЧЕНИЕ ДОКУМЕНТА
1.1 Общие положения.
1.1.1 Настоящая политика в отношении обработки персональных данных, именуемая в дальнейшем «Политика», является основополагающим локальным актом - Федерального государственного бюджетного учреждения «Национальный медицинский исследовательский центр эндокринологии» Министерства здравоохранения Российской Федерации, именуемое в дальнейшем Центр, регулирующим вопросы обработки и защиты персональных данных в Центре.
1.1.2 Политика разработана в соответствии с п.п. 2 п. 1 ст. 18.1 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» и предназначена для публичного ознакомления неограниченного круга лиц на официальном веб-сайтах Центра в информационно-телекоммуникационной сети интернет https://www.endocrincentr.ru, https://www.lk.endocrincentr.ru, https://gnct.endocrincentr.ru, https://cbai.endocrincentr.ru, https://ncmu.endocrincentr.ru, https://vosstanovimmed.ru, https://www.probl-endojournals.ru, https://edu.endocrincentr.ru и https://cosmetomed.ru в дальнейшем «веб-сайтах Центра, в разделе «Законодательные и нормативные правовые акты», а также на информационном стенде (уголок потребителя).
1.1.3 Политика разработана в целях реализации требований законодательства в области обработки и защиты персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных в Центре, в том числе защиты прав на неприкосновенность частной жизни, личной, семейной и врачебной тайн.
1.1.4 Политика раскрывает основные категории персональных данных, обрабатываемых в Центре, цели, способы и принципы обработки персональных данных, права субъектов персональных данных, а также перечень мер, применяемых Центре в целях обеспечения безопасности персональных данных при их обработке.
1.1.5 Положения Политики являются основой для разработки локальных актов Центра, регламентирующих вопросы обработки и защиты персональных данных.
1.2 Область действия Политики.
1.2.1 Действие Политики распространяется на все процессы Центра, в рамках которых осуществляется обработка персональных данных, как с использованием средств вычислительной техники, в том числе с использованием информационно-телекоммуникационных сетей, так и без использования таких средств.
1.3 Основные понятия.
1.3.1 В Политике используются следующие основные понятия:
1.3.1.1 персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
1.3.1.2 конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации;
1.3.1.3 оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
1.3.1.4 субъект персональных данных – физическое лицо (посетитель сайта, потребитель, заказчик, поставщик товаров и услуг, работник и обучающийся Центра, а также иное третье лицо), которое прямо или косвенно определено, или определяемо с помощью персональных данных;
1.3.1.5 посетитель сайта – физическое лицо, получающее информацию и документацию,
размещенную на веб-сайтах Центра и/или других ресурсах Центра в информационно-телекоммуникационной сети интернет;
1.3.1.6 потребитель – физическое лицо, имеющее намерение заказать (приобрести) либо заказывающее (приобретающее) медицинские услуги, медицинское вмешательство или комплекс медицинских вмешательств, направленных на профилактику, диагностику и лечение заболеваний, медицинскую реабилитацию и имеющих самостоятельное законченное значение в соответствии с договором, либо имеющее намерение получить послевузовское образование в аспирантуре, ординатуре, интернатуре или докторантуре;
1.3.1.7 заказчик – физическое лицо, имеющее намерение заказать (приобрести) либо заказывающее (приобретающее) медицинские услуги – медицинское вмешательство или комплекс медицинских вмешательств, направленных на профилактику, диагностику и лечение заболеваний, медицинскую реабилитацию и имеющих самостоятельное законченное значение в соответствии с договором в пользу потребителя, либо имеющее намерение заказать (приобрести) либо заказывающее (приобретающее) услуги по послевузовскому образованию в аспирантуре, ординатуре, интернатуре или докторантуре;
1.3.1.8 поставщик товаров и услуг – физическое лицо, с которым сотрудничает Центр в рамках своей деятельности;
1.3.1.9 работник – физическое лицо, вступившее в трудовые отношения с Центром на основании трудового законодательства и/или иных основаниях, предусмотренных Трудовым Кодексом Российской Федерации;
1.3.1.10 обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление), обезличивание, блокирование, удаление, уничтожение персональных данных;
1.3.1.11 автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
1.3.1.12 распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
1.3.1.13 предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
1.3.1.14 блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
1.3.1.15 уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
1.3.1.16 обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
1.3.1.17 информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
1.3.1.18 трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
1.3.1.19 общедоступные источники персональных данных – справочники, адресные книги, реестры, списки, каталоги, другие систематизированные источники открытой информации, содержащие персональные данные, сообщаемые субъектом персональных данных, размещенные и опубликованные с согласия субъекта персональных данных;
1.3.1.20 информация – сведения (сообщения, данные) независимо от формы их представления;
1.3.1.21 документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
1.4 Утверждение и пересмотр.
1.4.1 Политика вступает в силу с момента ее утверждения приказом Директора Центра и действует бессрочно.
1.4.2 Центр проводит пересмотр Политики и ее актуализацию по мере необходимости, но не реже одного раза в 3 (три) года, а также:
- при изменении нормативной базы, затрагивающей принципы и/или процессы обработки персональных данных в Центре;
- при создании новых или внесении изменений в существующие процессы обработки персональных данных.
2. ЦЕЛИ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1 Центр осуществляет сбор и обработку персональных данных с целью:
2.1.1 обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации;
2.1.2 реализации трудовых отношений с работниками, договорных отношений с поставщиками товаров и услуг, налоговых отношений, бухгалтерского учета и аудита в соответствии с действующим законодательством Российской Федерации;
2.1.3 защиты персональных данных работников, обучающихся, пациентов, поставщиков услуг от несанкционированного доступа и разглашения;
2.1.4 обеспечения реализации отношений в сфере охраны здоровья, ведения учетной статистической документации, используемой в Центре, в соответствии с Федеральным законом от 21.11.2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», иными федеральными законами.
2.1.5 обеспечения реализации отношений в сфере образовательной деятельности, ведения учетной статистической документации, используемой в Центре, в соответствии с Федеральным законом от 29.12.2012 № 273-ФЗ «Об образовании в Российской Федерации».
2.2 Обработка персональных данных в Центре осуществляется на законной и справедливой основе и ограничивается достижением конкретных, заранее определенных и законных целей. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки, избыточность обрабатываемых данных не допускается.
2.3 При обработке персональных данных Центре обеспечивается точность персональных данных, их достаточность и, в необходимых случаях, актуальность по отношению к целям обработки персональных данных. Центр принимает и обеспечивает принятие необходимых мер по удалению или уточнению неполных, или неточных персональных данных.
2.4 Центр, в рамках выполнения своей основной деятельности, осуществляет обработку персональных данных следующих субъектов персональных данных: посетители сайта, клиенты - пациенты Центра, заказчики, поставщики товаров и услуг, работники и обучающиеся Центра, а также иные третьи лица, которые прямо или косвенно определены, или определяемы с помощью персональных данных.
2.5 Центр обеспечивает выделение необходимых ресурсов для успешной реализации мер по безопасной обработке персональных данных.
3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1 Правовыми основаниями обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Центр осуществляет обработку персональных данных, в том числе:
- Конституция Российской Федерации;
- Гражданский кодекс Российской Федерации;
‑ Налоговый кодекс Российской Федерации;
- Трудовой Кодекс Российской Федерации;
- Федеральный закон от 21.11.2011 №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
- Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных»;
- Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон от 06.12.2011 №402-ФЗ «О бухгалтерском учете»;
- Федеральный закон от 22.10.2004 №125-ФЗ «Об архивном деле в Российской Федерации»;
- Устав и иные локальные нормативные акты Центра;
- иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти;
- согласие субъектов персональных данных на обработку их персональных данных;
- договоры с поставщиками товаров и услуг.
4. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1 Центр осуществляет обработку персональных данных субъектов персональных данных в объеме и категориях, определенных нормативно-правовыми актами Российской Федерации и локальными нормативными актами Центра.
5. ПОРЯДОК И УСЛОВИЯ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1 Центр при сборе персональных данных обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) и извлечение персональных данных с использованием баз данных, находящихся на территории Российской Федерации.
5.2 Обработка персональных данных осуществляется с согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
5.3 Директор Центра пропагандирует цели и внедряет культуру обработки персональных данных в соответствии с требованиями применимого законодательства и норм международного права.
5.4 Директор Центра назначает подотчетное ему лицо, ответственное за организацию обработки персональных данных.
5.5 Лицо, ответственное за организацию обработки персональных данных, принимает решения в интересах недопущения нарушений при обработке персональных данных, с санкции руководителя организует мероприятия по устранению выявленных нарушений, при необходимости активно взаимодействует в этих целях с государственными органами.
5.6 К обработке персональных данных допускаются только те работники Центра, которые в силу своих должностных обязанностей осуществляют сбор, хранение и обработку персональных данных. Указанные работники имеют право получать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей и соблюдения требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Федерального закона от 21.11.2011 № 323 «Об основах охраны здоровья граждан в Российской Федерации», Трудового Кодекса и иных нормативных актов Российской Федерации.
5.7 Работники Центра является ключевым элементом в системе обработки персональных данных.
5.8 Каждый работник Центра участвует в работе по реализации Политики.
5.9 Любой работник Центра имеет возможность сообщить ответственному за организацию обработки персональных данных о нарушениях, связанных с обработкой персональных данных, не опасаясь при этом каких-либо санкций.
5.10 Центр не размещает персональные данные субъекта персональных данных в общедоступных источниках без его предварительного согласия.
5.11 Передача персональных данных третьим лицам (в том числе трансграничная передача) допускается с письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в иных случаях, установленных законодательством Российской Федерации.
5.12 При передаче персональных данных третьим лицам в соответствии с заключенными договорами Центр обеспечивает обязательное выполнение требований законодательства Российской Федерации и нормативных актов Центра в области персональных данных.
5.13 Передача персональных данных в уполномоченные органы исполнительной власти и организации (Министерство внутренних дел Российской Федерации, Министерство иностранных дел Российской Федерации, Федеральную налоговую службу, Пенсионный фонд Российской Федерации, Федеральный фонд обязательного медицинского страхования Российской Федерации и другие) осуществляется в соответствии с требованиями законодательства Российской Федерации.
5.14 Трансграничная передача персональных данных на территорию иностранных государств, являющихся сторонами Конвенции о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъекта персональных данных, осуществляется в соответствии с законодательством Российской Федерации и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства. Трансграничная передача персональных данных на территорию иностранного государства, не являющегося стороной указанной Конвенции, осуществляется в соответствии с законодательными актами Российской Федерации при условии соответствия действующих в этом государстве норм права и применяемых мер безопасности персональных данных положениям Конвенции.
5.15 Центр вправе поручить обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю с согласия субъекта персональных данных на основании заключаемого договора. Юридическое лицо или индивидуальный предприниматель, осуществляющие обработку персональных данных по поручению Центра, обязаны соблюдать принципы и правила обработки персональных данных, предусмотренные законодательством Российской Федерации в области персональных данных.
5.16 В случае, когда Центр на основании договора передает или поручает обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю, существенным условием договора должна быть обязанность обеспечения указанным лицом условий конфиденциальности и безопасности персональных данных при их передаче или обработке.
5.17 Хранение персональных данных Центра осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если срок хранения персональных данных не установлен федеральным законом, локальным нормативным актом, договором, стороной, выгодоприобретателем или поручителем, по которому является субъект персональных данных.
5.18 Обрабатываемые персональные данные подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
5.19 Сроки хранения персональных данных субъекта персональных данных в Центре определяются в соответствии с законодательством Российской Федерации и локальными нормативными актами Центра.
5.20 Расследование нарушения требований обработки персональных данных проводится всегда независимо от других расследований. Цель расследования – выявление причин и принятие своевременных корректирующих мер, направленных на предотвращение подобных инцидентов в будущем.
6. ОБРАБОТКА ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1 Для обеспечения соблюдения установленных законодательством Российской Федерации прав субъектов персональных данных, в Центре локальными нормативными актами определен порядок работы с обращениями и запросами субъектов персональных данных по вопросам обработки персональных данных, а также порядок предоставления субъектам персональных данных информации, установленной законодательством Российская Федерация в области персональных данных.
6.2 Запросы субъектов должны быть направлены почтой по адресу: Федеральное государственное бюджетное учреждение «Национальный медицинский исследовательский центр эндокринологии» Министерства здравоохранения Российской Федерации, 117292, г. Москва, ул. Дмитрия Ульянова, д.11., либо доставлены лично субъектом персональных данных или его доверенным лицом по указанному адресу.
6.3 Запрос может быть направлен на адрес электронной почты nmic.endo@endocrincentr.ru в форме электронного документа, подписанного электронной подписью в соответствии с законодательством Российской Федерации.
6.4 Работники Центра не имеют права отвечать на вопросы, связанные с передачей или разглашением персональных данных по телефону или факсу в связи с тем, что в таком случае нет возможности идентифицировать личность обращающегося человека.