Приложение. Политика обработки и защиты персональных данных в МГФОМС. Приказ Территориального фонда обязательного медицинского страхования г. Москвы от 29.11.2021 N 702 "Об утверждении Политики обработки и защиты персональных данных в МГФОМС"

Приложение
к Приказу
от 29.11.2021 г. N 702

Политика обработки и защиты персональных данных в МГФОМС

Перечень
принятых сокращений и определений

Сокращение	Расшифровка
МГФОМС	Московский городской фонд обязательного медицинского страхования
ИСПДн	Информационная система персональных данных
ОМС	Обязательное медицинское страхование
ПДН	Персональные данные

Понятия, используемые в настоящем регламентирующем документе, соответствуют понятиям, применяемым в правоустанавливающих, технических, методических и организационно-распорядительных документах, опубликованных в законодательных актах и нормативно-методических документах в области обеспечения информационной безопасности. В тексте документа используются стандартизованные термины. Номер в квадратных скобках указывает на номер соответствующего документа в таблице 1.

Автоматизированная обработка персональных данных	Обработка персональных данных с помощью средств вычислительной техники [4].
Блокирование персональных данных	Временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных) [4].
Информация	Сведения (сообщения, данные) независимо от формы их представления [3].
Информационная система	Совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств [3].
Информационная система персональных данных	Совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств [4].
Конфиденциальность информации	Обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя [3].
Обезличивание персональных данных	Действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных [4].
Обработка персональных данных	Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных [4].
Обязательное медицинское страхование	Вид обязательного социального страхования, представляющий собой систему создаваемых государством правовых, экономических и организационных мер, направленных на обеспечение при наступлении страхового случая гарантий бесплатного оказания застрахованному лицу медицинской помощи за счет средств обязательного медицинского страхования в пределах территориальной программы обязательного медицинского страхования и в установленных настоящим Федеральным законом случаях в пределах базовой программы обязательного медицинского страхования [5].
Оператор персональных данных (оператор)	Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными [4].
Передача, предоставление персональных данных	Действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц. [4].
Персональные данные	Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) [4].
Персонифицированный учет	Организация и ведение учета сведений о каждом застрахованном лице в целях реализации прав граждан на бесплатное оказание медицинской помощи в рамках программ обязательного медицинского страхования [5].
Работник	Физическое лицо, вступившее в трудовые отношения с работодателем [1].
Распространение персональных данных	Действия, направленные на раскрытие персональных данных неопределенному кругу лиц [4].
Субъект персональных данных	Физическое лицо, которое прямо или косвенно определено, или определяемо с помощью персональных данных. [4].
Трансграничная передача персональных данных	Передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу [4].
Уничтожение персональных данных	Действия, в результате которых нельзя восстановить содержание данных в их информационной системе или в результате которых уничтожают материальные носители персональных данных [4].

1. Общие положения

1.1 Настоящий документ определяет политику (далее -- Политика) Московского городского фонда обязательного медицинского страхования (далее - МГФОМС) в отношении обработки персональных данных, обрабатываемых в информационных системах персональных данных (далее - ИСПДн) МГФОМС.

1.2 Настоящая Политика составлена в соответствии с пунктом 2 статьи 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - закон о персональных данных) и распространяется и действует на все процессы в отношении персональных данных, обрабатываемых в ИСПДн, которые МГФОМС (далее - Оператор) может получить от субъекта персональных данных, являющегося стороной по гражданско-правовому договору, а также от субъекта персональных данных, состоящего с Оператором в отношениях, регулируемых трудовым законодательством (далее - Работник).

1.3 Политика является общедоступным документом, декларирующим основы деятельности МГФОМС как Оператора при обработке персональных данных, и подлежит опубликованию на официальном сайте МГФОМС в информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет"),

1.4 Настоящая Политика направлена на выработку организационно-технических решений и правовых оснований в целях защиты прав и свобод субъекта ПДн при обработке его персональных данных.

1.5 Политика распространяется на работников МГФОМС, сотрудников сторонних организаций, взаимодействующих с Оператором на основании соответствующих нормативных, правовых и организационно-распорядительных документов, субъектов ПДн, находящихся в гражданско-правовых отношениях с Оператором.

1.6 Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями закона о персональных данных.

1.7 Настоящая Политика раскрывает основные принципы и правила для использования в МГФОМС при обработке персональных данных, определяет цели, правовые основания, условия и способы такой обработки, категории субъектов персональных данных, источники получения персональных данных, включает меры по обеспечению конфиденциальности и безопасности персональных данных при их обработке в ИСПДн в соответствии с законом о персональных данных, и сведения о необходимых к реализации в МГФОМС требований к защите персональных данных.

1.8 Терминология, используемая в Политике, соответствует терминологии, установленной государственными стандартами, законодательными и иными нормативными правовыми актами, отражающими систему понятий и терминов в данной области.

1.9 При обработке персональных данных все участники обработки обязаны руководствоваться нормативными правовыми актами, приведенными в таблице 1.

Таблица 1 Перечень используемых законодательных и нормативных правовых актов

N	Наименование документа
1.	Трудовой кодекс Российской Федерации
2.	Налоговый кодекс Российской Федерации
3.	Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации"
4.	Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных"
5.	Федеральный закон от 29.11.2010 N 326-ФЗ "Об обязательном медицинском страховании в Российской Федерации"
6.	Федеральный закон от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации"
7.	Федеральный закон от 29.12.2006 N 255-ФЗ "Об обязательном социальном страховании на случай временной нетрудоспособности и в связи с материнством"
8.	Федеральный закон от 19.05.1995 N 81-ФЗ "О государственных пособиях гражданам, имеющим детей"
9.	Федеральный закон от 15.12.2001 N 166-ФЗ "О государственном пенсионном обеспечении в Российской Федерации"
10.	Федеральный закон от 17.12.2001 N 173-ФЗ "О трудовых пенсиях в Российской Федерации"
11.	Федеральный закон от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации"
12.	Федеральный закон от 02.10.2007 N 229-ФЗ "Об исполнительном производстве"
13.	Федеральный закон от 19.04.1991 N 1032-1 "О занятости населения в Российской Федерации"
14.	Федеральный закон от 27.07.2010 N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг"
15.	Федеральный закон от 06.04.2011 N 63-ФЗ "Об электронной подписи"
16.	Постановление Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"
17.	Постановление Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"
18.	Приказ Министерства здравоохранения и социального развития Российской федерации от 25.01.2011 N 29н "Об утверждении Порядка ведения персонифицированного учета в сфере обязательного медицинского страхования"
19.	Постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами"
20.	Приказ Федерального фонда обязательного медицинского страхования от 07.04.2011 N 79 "Об утверждении общих принципов построения и функционирования информационных систем в сфере обязательного медицинского страхования"
21,	Приказ ФСТЭК России от 11.02.2013 N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах"
22.	Приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
23.	Приказ ФСБ России от 10.07.2014 N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности"

2. Категории обрабатываемых персональных данных

2.1 Оператор обрабатывает персональные данные следующих категорий:

2.1.1 Специальные категории персональных данных, содержащих сведения о состоянии здоровья лиц, застрахованных по обязательному медицинскому страхованию и об оказанной им медицинской помощи.

2.1.2 Персональные данные лиц, застрахованных по обязательному медицинскому страхованию.

2.1.3 Персональные данные лиц, зарегистрированных в качестве плательщиков страховых взносов по обязательному медицинскому страхованию.

2.1.4 Персональные данные экспертов качества медицинской помощи, включенных в Территориальный реестр экспертов качества медицинской помощи города Москвы.

2.1.5 Персональные данные работников, заключивших с МГФОМС трудовые договоры, и их родственников.

2.1.6 Персональные данные субъектов ПДн, состоящих с МГФОМС в гражданско-правовых отношениях.

3. Источники получения обрабатываемых персональных данных

3.1 Застрахованные лица по обязательному медицинскому страхованию.

3.2 Работники, заключившие с МГФОМС трудовые договоры.

3.3 Физические лица, включенные в территориальный реестр экспертов качества медицинской помощи в сфере обязательного медицинского страхования города Москвы.

3.4 Физические лица, заключившие с МГФОМС договоры подряда на оказание услуг.

3.5 Федеральный фонд обязательного медицинского страхования.

3.6 Территориальные фонды обязательного медицинского страхования других субъектов Российской Федерации.

3.7 Медицинские организации и страховые медицинские организации, осуществляющие деятельность в сфере обязательного медицинского страхования на территории города Москвы.

3.8 Департамент здравоохранения города Москвы.

3.9 Отделение Пенсионного фонда России по городу Москве и Московской области.

3.10 Органы службы записи актов гражданского состояния города Москвы.

4. Цели обработки персональных данных

4.1 Обработке подлежат только персональные данные, которые отвечают целям их обработки в рамках компетенций Оператора.

4.2 Обработка Оператором персональных данных субъектов ПДн осуществляется в следующих целях:

- реализация государственной политики в области обязательного медицинского страхования в соответствии с Положением о Московском городском фонде обязательного медицинского страхования;

- реализация трудового законодательства Российской Федерации в отношении работников МГФОМС,

4.3 Возложенные на Оператора функции, полномочии и обязанности, предусмотренные законодательством Российской Федерации, осуществляются в следующих случаях:

- персонифицированного учета сведений о застрахованных лицах и оказанной им медицинской помощи;

- ведения регионального сегмента единого регистра застрахованных лип.;

- ведения территориального реестра экспертов качества медицинской помощи в сфере обязательного медицинского страхования Москвы;

- контроля объемов, сроков, качества и условий предоставления медицинской помощи по обязательному медицинскому страхованию;

- контроля за использованием средств обязательного медицинского страхования медицинскими и страховыми медицинскими организациями, осуществляющими деятельность в сфере обязательного медицинского страхования на территории Москвы;

- регулирования трудовых отношений с работниками МГФОМС;

- ведения кадрового делопроизводства;

- содействия работникам в получении дополнительного образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы;

- привлечения и отбора кандидатов на работу;

- организации постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования;

- заполнения и передачи в органы исполнительной власти и иные уполномоченные организации требуемых форм отчетности;

- осуществления гражданско-правовых отношений;

- ведения бухгалтерского учета;

- обеспечения пропускного и внутриобъектового режимов на объектах ИТ-инфраструктуры МГФОМС;

- в иных предусмотренных законодательством Российской Федерации целях.

4.4 При обработке персональных данных Оператор руководствуется нормативными правовыми актами Российской Федерации.

5. Порядок обработки, условия и хранение персональных данных

5.1 При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", Оператор обеспечивает запись, систематизацию, накопление, хранение, обработку, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в законе о персональных данных.

5.2 Получение персональных данных

5.2.1 Получение персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных в соответствии с законом о персональных данных:

- в устной форме непосредственно с согласия субъекта персональных данных на обработку его персональных данных;

- в письменной форме непосредственно с согласия субъекта персональных данных на обработку его персональных данных и с согласия субъекта персональных данных на распространение его персональных данных.

5.3 Обработка персональных данных

5.3.1 Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.

5.3.2 Обработка персональных данных Оператором осуществляется с соблюдением принципов и правил, предусмотренных законом о персональных данных.

5.3.3 К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.

5.3.4 Обработка персональных данных осуществляется путем:

- внесения персональных данных в журналы, реестры и информационные системы Оператора;

- внесения персональных данных в электронные формы информационной системы Оператора на добровольной основе;

- использования иных способов обработки персональных данных.

5.3.5 Оператор прекращает обработку персональных данных и/или обеспечивает прекращение их обработки лицом, действующим по поручению МГФОМС, в случаях:

- отзыва субъектом персональных данных согласия на обработку его персональных данных в соответствии с законом о персональных данных;

- изменения, признания утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;

- изменения или расторжения соглашений (договор/контракт/другое), заключенных МГФОМС во исполнение нормативных правовых актов, на основании которых осуществляется обработка персональных данных;

- выявления неправомерной обработки персональных данных, осуществляемой Оператором, пользователем информационной системы или лицом, действующим по поручению МГФОМС;

- выявление фактов обработки персональных данных, несовместимой с целями их сбора;

- объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

- объединения баз данных ИСПДн и иных информационных систем;

- несоответствие содержания и объема персональных данных.

5.4 Передача персональных данных

5.4.1 МГФОМС как Оператор персональных данных не осуществляет трансграничную передачу персональных данных субъектов персональных данных.

5.4.2 Передача, предоставление персональных данных, обрабатываемых в МГФОМС, другим организациям (третьим лицам) осуществляется по запросу в случаях, предусмотренных законодательством Российской Федерации.

5.4.3 Передача персональных данных органам дознания и следствия, Федеральной налоговой службе, Пенсионному фонду Российской Федерации, Фонду социального страхования Российской Федерации, судебным органам власти, органам прокуратуры, органам уголовно-исполнительной системы и другим организациям, уполномоченным обрабатывать персональные данные субъектов персональных данных, осуществляется в соответствии с требованиями законодательства Российской Федерации.

5.5 Хранение персональных данных

5.5.1 Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.

5.5.2 Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа.

5.5.3 Персональные данные субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных электронных папках (дисках).

5.5.4 Не допускается хранение и размещение персональных данных, в открытых электронных каталогах (файлообменниках), на дисках, расположенных в Интернет пространстве (сети/облаке), на информационных ресурсах не обеспечивающих выполнение требований по защите персональных данных.

5.5.5 Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

5.6 Уничтожение персональных данных

5.6.1 Уничтожение персональных данных осуществляется в порядке и сроки, предусмотренные законом о персональных данных.

5.6.2 Уничтожение документов (носителей), содержащих персональные данные, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.

5.6.3 Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.

5.6.4 Факт уничтожения персональных данных подтверждается документально актом об уничтожении носителей.

6. Права субъекта персональных данных и обязанности оператора

6.1 Права субъекта персональных данных

6.1.1 Субъект персональных данных имеет право на получение у Оператора информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами:

- подтверждение факта обработки персональных данных Оператором;

- правовые основания и цели обработки персональных данных;

- цели и применяемые Оператором способы обработки персональных данных;

- наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;

- сроки обработки персональных данных, в том числе сроки их хранения;

- порядок осуществления субъектом персональных данных прав, предусмотренных законом о персональных данных;

- наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;

- обращение к Оператору и направление ему запросов;

- обжалование действий или бездействия Оператора.

6.2 Обязанности Оператора

6.2.1 Оператор обязан:

- при сборе персональных данных субъекта предоставить информацию об обработке его персональных данных;

- в случаях, если персональные данные были получены не от субъекта персональных данных, уведомить субъекта;

- при отказе в предоставлении персональных данных субъекту разъясняются последствия такого отказа;

- опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;

- принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

- давать ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов персональных данных.

7 Заключительные положения

7.1 Политика вступает в действие с момента ее утверждения.

7.2 Политика может быть пересмотрена в результате изменений нормативных правовых актов, регулирующих защиту персональных данных и деятельность МГФОМС.