Политика Обработки Персональных Данных
Приложение
к приказу ГБУЗ «Областной
Центр по профилактике и борьбе со
СПИДом и инфекционными заболеваниями»
от «29» 10 2025 г. № 384
I. Общие положения
1. Настоящая Политика государственного бюджетного учреждения здравоохранения «Областной Центр по профилактике и борьбе со СПИДом и инфекционными заболеваниями» в отношении обработки персональных данных (далее – Политика) разработана в соответствии с положениями пункта 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных.
2. Настоящая Политика действует в отношении всех персональных данных, которые обрабатывает государственное бюджетное учреждения здравоохранения «Областной Центр по профилактике и борьбе со СПИДом и инфекционными заболеваниями» (далее – Центр СПИДа, Оператор).
3. Настоящая Политика распространяется на отношения в области обработки
персональных данных, возникшие у Оператора как до, так и после утверждения настоящей Политики.
4. В соответствии с положениями части 2 статьи 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети «Интернет» на официальном сайте Оператора.
5. Основные понятия, используемые в Политике:
персональные данные (далее – ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД);
оператор ПД (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПД, а также определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с ПД;
конфиденциальность ПД – обязательное для соблюдения Оператором (его работниками) и/или иными лицами, получившими доступ к ПД, требование не раскрывать третьим лицам и не распространять ПД без согласия субъекта ПД, если иное не предусмотрено законодательством Российской Федерации;
материальный носитель ПД – материальный объект, содержащий ПД в электронном или графическом виде, используемый для закрепления и хранения на нем ПД (в том числе бумажный носитель, машиночитаемый носитель);
обработка ПД – любое действие (операция) или совокупность действий (операций) с ПД, совершаемых с использованием средств автоматизации или без их использования. Обработка ПД включает в себя, в том числе: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД;
автоматизированная обработка ПД – обработка ПД с помощью средств вычислительной техники;
неавтоматизированная обработка ПД – обработка ПД, содержащихся в информационной системе ПД либо извлеченных из такой системы в случае, если такие действия с ПД как: использование, уточнение, распространение (предоставление), уничтожение ПД в отношении каждого из субъектов ПД, –осуществляются при непосредственном участии человека.
распространение ПД – действия, направленные на раскрытие ПД неопределенному кругу лиц;
предоставление ПД – действия, направленные на раскрытие ПД определенному лицу или определенному кругу лиц;
блокирование ПД – временное прекращение обработки ПД (за исключением случаев, если обработка необходима для уточнения ПД);
уничтожение ПД – действия, в результате которых становится невозможным восстановить содержание ПД в информационной системе ПД и (или) в результате которых уничтожаются материальные носители ПД;
обезличивание ПД – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПД конкретному субъекту ПД;
информационная система ПД – совокупность содержащихся в базах данных ПД и обеспечивающих их обработку информационных технологий и технических средств;
трансграничная передача ПД – передача ПД на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
6. Основные права и обязанности Оператора:
6.1. Оператор имеет право:
– самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами;
– поручить обработку ПД другому лицу с согласия субъекта ПД, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку ПД по поручению Оператора, обязано соблюдать принципы и правила обработки ПД, предусмотренные Законом о персональных данных, соблюдать конфиденциальность ПД, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом о персональных данных;
– в случае отзыва субъектом ПД согласия на обработку ПД Оператор вправе продолжить обработку ПД без согласия субъекта ПД при наличии оснований, указанных в Законе о персональных данных.
6.2. Оператор обязан:
– организовывать обработку ПД в соответствии с требованиями Закона о персональных данных;
– отвечать на обращения и запросы субъектов ПД и их законных представителей в соответствии с требованиями Закона о персональных данных;
– сообщать в уполномоченный орган по защите прав субъектов ПД (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций, далее – Роскомнадзор) по запросу этого органа необходимую информацию в сроки, предусмотренные Законом о персональных данных»;
– в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, которые повлекли неправомерную передачу (предоставление, распространение, доступ) ПД.
7. Субъект ПД имеет право:
– получать информацию, касающуюся обработки его ПД, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту ПД Оператором в доступной форме, и в них не должны содержаться ПД, относящиеся к другим субъектам ПД, за исключением случаев, когда имеются законные основания для раскрытия таких ПД. Перечень информации и порядок ее получения установлен Законом о персональных данных;
– требовать от Оператора уточнения его ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
– отозвать ранее предоставленное согласие на обработку своих ПД путем соответствующего письменного уведомления Оператора об отзыве согласия на обработку своих ПД в порядке, предусмотренном пунктом 1 статьи 165.1 Гражданского кодекса Российской Федерации;
– обжаловать в Роскомнадзоре или в судебном порядке неправомерные действия или бездействие Оператора при обработке его ПД.
8. Контроль за выполнением требований настоящей Политики осуществляется уполномоченным лицом, ответственным за организацию обработки персональных данных у Оператора.
9. Ответственность за нарушение требований законодательства Российской Федерации и внутренних документов Оператора в сфере обработки и защиты ПД определяется в соответствии с законодательством Российской Федерации.
II. Правовые основания обработки ПД
10. Правовым основанием обработки ПД является совокупность нормативных правовых актов, в соответствии с которыми Оператор осуществляет обработку ПД, в том числе:
– Конституция Российской Федерации;
– Закон о персональных данных;
– Гражданский кодекс Российской Федерации;
– Трудовой кодекс Российской Федерации;
– Налоговый кодекс Российской Федерации;
– Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
– Федеральный закон от 29.12.2006 № 255-ФЗ «Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством»;
– Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
– Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;
– Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
– Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»;
– Федеральный закон от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;
– Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
– Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
– иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.
11. Правовым основанием обработки ПД также являются:
– Устав Центра СПИДа;
– договоры, заключаемые между Оператором и субъектами ПД;
– согласие субъектов персональных данных на обработку их ПД.
III. Цели обработки ПД
12. Обработка ПД ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПД, несовместимая с целями сбора ПД.
13. Обработке подлежат только ПД, которые отвечают целям их обработки.
14. Целями обработки ПД Оператором являются:
– соблюдение трудового законодательства;
– соблюдение законодательства в сфере здравоохранения;
– организация приема граждан, рассмотрение устных и письменных обращений граждан;
– подготовка, заключение и исполнение гражданско-правовых договоров;
– подтверждение полномочий представителей физических и юридических лиц;
– аналитика посещаемости сайта;
– организация мероприятий, связанных с деятельностью Оператора.
IV. Категории обрабатываемых ПД, категории субъектов ПД
15. Содержание и объем обрабатываемых ПД должны соответствовать заявленным целям обработки, указанным в п. 14 настоящей Политики. Обрабатываемые ПД не должны быть избыточными по отношению к заявленным целям их обработки.
16. Категории субъектов, ПД которых могут обрабатываться Оператором:
16.1. Кандидаты для приема на работу к Оператору, работники и уволенные работники Оператора, родственники работников и уволенных работников Оператора – в целях соблюдения трудового законодательства:
– фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
– пол;
– дата рождения (день, месяц, год);
– место рождения;
– сведения о гражданстве;
– адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
– номер телефона;
– номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;
– страховой номер индивидуального лицевого счета (СНИЛС);
– идентификационный номер налогоплательщика (ИНН);
– отношение к воинской обязанности, сведения о воинском учете и реквизиты документов воинского учета (серия, номер, дата выдачи документов воинского учета, наименование органа, выдавшего его);
– сведения, содержащиеся в трудовом договоре, дополнительных соглашениях к трудовому договору;
– табельный номер;
– сведения о трудовой деятельности;
– сведения о характере работы, виде работы (основная, по совместительству);
– стаж работы;
– сведения о приеме на работу и переводах на другую работу: дата и основание приема или перевода с указанием структурного подразделения, должности (специальности, профессии), разряда, класса (категории) квалификации, тарифной ставки (оклада), надбавки;
– сведения об образовании, в том числе послевузовском профессиональном и дополнительном профессиональном образовании (наименование образовательного учреждения, год окончания, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
– сведения о командировках;
– сведения об отпусках;
– сведения о наградах (поощрениях) и почетных званиях;
– сведения о профессии (основная, дополнительные);
– сведения о владении иностранными языками, степень владения;
– сведения об аттестации;
– сведения о семейном положении;
– сведения о составе семьи (фамилия, имя, отчество, год рождения и степень родства близких родственников);
– сведения об увольнении (основание, дата увольнения);
– номер банковского лицевого счета для начисления заработной платы;
– сведения о заработной плате;
– сведения о состоянии здоровья;
– иные сведения, необходимые для исполнения законодательства в рамках
трудовых и иных непосредственно связанных с ним отношений.
16.2. Лица, сведения о которых подлежат внесению в Единую государственную информационную систему в сфере здравоохранения (ЕГИСЗ) а также их законные представители – в целях соблюдения законодательства в сфере здравоохранения:
– фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
– пол;
– дата рождения (день, месяц, год);
– сведения о гражданстве;
– адрес и дата регистрации по месту жительства (месту пребывания), адрес фактического проживания;
– номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;
– страховой номер индивидуального лицевого счета (СНИЛС);
– номер полиса обязательного медицинского страхования;
– номер телефона;
– сведения о состоянии здоровья;
– иные сведения, необходимые для соблюдения законодательства в сфере здравоохранения.
16.3. Граждане, обратившиеся в соответствии с Федеральным законом от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации» – в целях организации приема граждан, рассмотрения устных и письменных обращений граждан:
– фамилия, имя, отчество;
– почтовый адрес, по которому должен быть направлен ответ;
– адрес электронной почты;
– иные сведения, необходимые для обеспечения объективного, всестороннего и своевременного рассмотрения обращения.
16.4. Контрагенты Оператора (физические лица) – в целях подготовки, заключения и исполнения гражданско-правовых договоров:
– фамилия, имя, отчество;
– идентификационный номер налогоплательщика (ИНН);
– основной государственный регистрационный номер индивидуального предпринимателя (ОГРНИП) (при наличии);
– адрес;
– номер телефона;
– адрес электронной почты;
– номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;
– реквизиты банковского счета;
– иные сведения, предоставляемые контрагентами (физическими лицами), необходимые для подготовки, заключения и исполнения гражданско-правовых договоров.
16.5. Представители физических и юридических лиц – в целях подтверждения их полномочий:
– фамилия, имя, отчество;
– место жительства;
– номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;
– иные сведения, необходимые для подтверждения полномочий представителей.
16.6. Пользователи сайта Оператора – в целях аналитики посещаемости сайта:
– IP-адрес;
– данные файлов «cookie»;
– дата и время доступа к сайту;
– сведения о действиях пользователя на сайте;
– сведения об используемом устройстве;
– сведения об используемом браузере и его настройках;
– сведения об используемой операционной системе;
– географические данные.
16.7. Участники мероприятий, связанных с деятельностью Оператора – в целях организации таких мероприятий:
– фамилия, имя, отчество;
– место работы;
– должность;
– адрес электронной почты;
– номер телефона;
– иные сведения, предоставляемые участниками, необходимые для организации мероприятий, связанных с деятельностью Оператора.
17. Оператор не осуществляет обработку биометрических персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность), за исключением случаев, предусмотренных законодательством Российской Федерации.
18. Оператором не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных законодательством Российской Федерации.
V. Порядок и условия обработки ПД
19. Обработка ПД осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
20. Обработка ПД осуществляется с согласия субъектов ПД на обработку их ПД, а также без такового в случаях, предусмотренных законодательством Российской Федерации.
21. Обработка ПД осуществляется с использованием средств автоматизации или без использования таких средств и включает: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД.
22. К обработке ПД допускаются только те работники Оператора, доступ которых к ПД необходим для выполнения ими служебных (трудовых) обязанностей.
23. Не допускается раскрытие третьим лицам и распространение ПД без согласия субъекта ПД, если иное не предусмотрено федеральным законом. Согласие на обработку ПД, разрешенных субъектом ПД для распространения, оформляется отдельно от иных согласий субъекта ПД на обработку его ПД.
24. Передача ПД органам дознания и следствия, а также в другие уполномоченные органы исполнительной власти и организации, осуществляется в соответствии с требованиями законодательства Российской Федерации.
25. Оператор принимает необходимые правовые, организационные и технические меры для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПД, в том числе:
– назначает ответственных за организацию обработки и обеспечение безопасности ПД;
– издает политику в отношении обработки ПД и внутренние документы по вопросам обработки ПД;
– создает необходимые условия для работы с ПД;
– хранит ПД в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
– определяет угрозы безопасности ПД при их обработке в информационных системах;
– применяет прошедшие в установленном порядке процедуры оценки соответствия средства защиты информации;
– организует работу с информационными системами, в которых обрабатываются ПД;
– осуществляет внутренний контроль соответствия обработки ПД законодательству и внутренним документам;
– осуществляет оценку вреда, который может быть причинен в случае нарушения Закона о персональных данных»;
– организует обучение и ознакомление работников с законодательством о ПД и внутренними документами по вопросам обработки персональных данных.
26. Оператор осуществляет хранение ПД в форме, позволяющей определить субъекта ПД, не дольше, чем этого требует каждая цель обработки ПД, если срок хранения ПД не установлен федеральным законом, договором.
27. ПД на бумажных носителях хранятся Оператором в течение сроков, предусмотренных Перечнем документов, образующихся в деятельности Министерства здравоохранения Российской Федерации и подведомственных ему организаций, с указанием сроков хранения, утвержденным приказом Минздрава России от 03.08.2023 № 408.
28. Срок хранения ПД, обрабатываемых в информационных системах ПД, соответствует сроку хранения ПД на бумажных носителях.
29. Оператор прекращает обработку ПД в следующих случаях:
– достигнута цель их обработки;
– утрачены правовые основания их обработки;
– выявлен факт их неправомерной обработки.
30. При достижении целей обработки ПД, а также в случае отзыва субъектом ПД согласия на их обработку Оператор прекращает обработку этих данных, если:
– иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
– Оператор не вправе осуществлять обработку без согласия субъекта ПД на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
– иное не предусмотрено другим соглашением между Оператором и субъектом ПД.
31. При обращении субъекта ПД к Оператору с требованием о прекращении обработки персональных данных в сроки, предусмотренные Законом о персональных данных, обработка персональных данных прекращается, за исключением случаев, предусмотренных Законом о персональных данных.
32. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПД граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных.
33. Оператор не осуществляет трансграничную передачу ПД, за исключением случаев, предусмотренных законодательством Российской Федерации.
VI. Актуализация, исправление, удаление, уничтожение ПД, ответы на запросы субъектов на доступ к ПД
34. Подтверждение факта обработки ПД Оператором, правовые основания и цели обработки ПД, а также иные сведения, указанные в части 7 статьи 14 Закона о персональных данных, предоставляются Оператором субъекту ПД или его представителю в сроки, предусмотренные Законом о персональных данных. В предоставляемые сведения не включаются ПД, относящиеся к другим субъектам ПД, за исключением случаев, когда имеются законные основания для раскрытия таких ПД. Запрос должен содержать:
– номер основного документа, удостоверяющего личность субъекта ПД или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
– сведения, подтверждающие участие субъекта ПД в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПД Оператором;
– подпись субъекта ПД или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Оператор предоставляет сведения, указанные в части 7 статьи 14 Закона о персональных данных, субъекту ПД или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
Если в обращении (запросе) субъекта ПД не отражены в соответствии с требованиями Закона о персональных данных все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.
Право субъекта ПД на доступ к его ПД может быть ограничено в соответствии с частью 8 статьи 14 Закона о персональных данных, в том числе если доступ субъекта ПД к его ПД нарушает права и законные интересы третьих лиц.
35. В случае выявления неточных ПД при обращении субъекта ПД или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование ПД, относящихся к этому субъекту ПД, с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПД не нарушает права и законные интересы субъекта ПД или третьих лиц.
В случае подтверждения факта неточности ПД Оператор на основании сведений, представленных субъектом ПД или его представителем либо Роскомнадзором, или иных необходимых документов уточняет ПД в срок, предусмотренный Законом о персональных данных, и снимает блокирование ПД.
36. В случае выявления неправомерной обработки ПД при обращении (запросе) субъекта ПД или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых ПД, относящихся к этому субъекту ПД, с момента такого обращения или получения запроса.
37. При выявлении Оператором, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) ПД (доступа к ПД), повлекшей нарушение прав субъектов персональных данных, Оператор:
– в течение 24 часов уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов ПД, предполагаемом вреде, нанесенном правам субъектов ПД, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Оператором на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;
– в течение 72 часов уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).
38. ПД подлежат уничтожению в следующих случаях:
– при достижении цели обработки ПД либо утраты необходимости достигать эту цель, если иное не предусмотрено Законом о персональных данных;
– при достижении максимальных сроков хранения документов, содержащих ПД;
– при изменении, признании утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки ПД;
– при выявлении факта неправомерной обработки ПД;
– при отзыве субъектом ПД согласия на обработку его ПД, если иное не предусмотрено Федеральным законом «О персональных данных».