Приложение. Политика обработки персональных данных Управления здравоохранения Администрации города Екатеринбурга. Приказ Управления здравоохранения Администрации г. Екатеринбурга Свердловской области от 15.12.2016 N 05-11 "Об утверждении Политики обработки персональных данных Управления здравоохранения Администрации города Екатеринбурга"

Приложение
к приказу начальника
Управления здравоохранения
Администрации города Екатеринбурга
от 15 декабря 2016 г. N 05-11

Политика
обработки персональных данных Управления здравоохранения Администрации города Екатеринбурга

1. Общие положения

1.1. Настоящий документ определяет Политику обработки персональных данных Управления здравоохранения Администрации города Екатеринбурга в отношении обработки персональных данных и реализации требований к защите персональных данных (далее - Политика) в соответствии с требованиями статьи 18.1 Федерального закона от 27.07.2006 N 152 "О персональных данных".

1.2. Настоящая Политика разработана в соответствии с действующим законодательством Российской Федерации о персональных данных и нормативными документами исполнительных органов государственной власти по вопросам безопасности персональных данных, в том числе при их обработке в информационных системах персональных данных.

1.3. В целях выполнения норм федерального законодательства в области обработки персональных данных субъектов, Управление здравоохранения Администрации города Екатеринбурга (далее - Оператор) считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных, а также обеспечение безопасности процессов их обработки.

1.4. Действие Политики распространяется на все процессы Оператора, связанные с обработкой персональных данных.

1.5. Настоящая Политика в отношении обработки и защиты персональных данных Оператора характеризуется следующими признаками:

1.5.1. Разработана в целях обеспечения реализации требований законодательства Российской Федерации в области обработки персональных данных субъектов персональных данных. Определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и категории персональных данных, обрабатываемых Оператором, права и обязанности Оператора при обработке персональных данных, права субъектов персональных данных, а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности персональных данных при их обработке.

1.5.2. Является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке персональных данных.

1.6. Политика обязательна для ознакомления и исполнения руководителями структурных подразделений, работники которых принимают участие в обработке персональных данных.

1.7. Пересмотр и обновление настоящей Политики осуществляется на плановой и внеплановой основе в соответствии с установленным порядком:

1.7.1. Плановый пересмотр Политики осуществляется не реже одного раза в год;

1.7.2. Внеплановой пересмотр Политики может производиться в связи с изменением законодательства Российской Федерации в области персональных данных, по результатам анализа актуальности, достаточности и эффективности используемых мер обеспечения информационной безопасности, а также по результатам других контрольных мероприятий.

2. Основные понятия, используемые в настоящей Политике

2.1. Понятия, термины и сокращения, используемые в настоящей Политике, применяются в том же значении что и в Федеральном законе от 27.07.2006 N 152-ФЗ "О персональных данных", Федеральном законе от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" и принятых во их исполнение нормативных правовых актах.

2.2. В настоящей Политике используются следующие понятия, термины и сокращения:

автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

информация - сведения (сообщения, данные) независимо от формы их представления;

информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

информационно-телекоммуникационная сеть (ИТС) - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники;

использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

конфиденциальность персональных данных - обязанность операторов и иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральными законами;

неавтоматизированная обработка персональных данных - обработка персональных данных без использования средств автоматизации;

обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые, в соответствии с федеральными законами, не распространяются требования соблюдения конфиденциальности;

оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных;

персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц; работник - физическое лицо (субъект персональных данных), заключившее с Учреждением трудовой договор;

распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

субъект персональных данных - физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных;

трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

уполномоченное лицо - работник, назначенный приказом директора Учреждения ответственным за обеспечение информационной безопасности и защиту персональных данных.

3. Правовые основания обработки персональных данных

3.1. Политика Оператора в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами Российской Федерации:

- ст.ст. 23 - 24 Конституции Российской Федерации;

- часть 4 Гражданского кодекса Российской Федерации от 18.12.2006 N 230-ФЗ;

- ст.ст. 86 - 90 главы 14 Трудового кодекса Российской Федерации от 30.12.2001 N 197- ФЗ;

- ст. 8 Федерального закона от 28.03.1998 N 53-ФЗ "О воинской обязанности и военной службе";

- ст. 3, ст. 13, ст. 17, ст. 23, ст. 25, ст. 27 Федерального закона от 22.10.2004 N 125-ФЗ "Об архивном деле в Российской Федерации";

- статьи Федерального закона от 19.12.2005 N 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных";

- ст.ст. 5 - 6, ст. 15 Федерального закона от 02.05.2006 N 59-ФЗ "О порядке рассмотрения обращений граждан Российской Федерации";

- ст.ст. 6 - 9, ст.ст. 16 - 17 Федерального закона от 27.07.2006 N 149-ФЗ "Об информатизации, информационных технологиях и о защите информации";

- ст. 6 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных";

- Федеральным законом от 27.07.2006 N 79-ФЗ "О государственной гражданской службе Российской Федерации";

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Дату названного Федерального закона следует читать как "27.07.2004"

- ст. 28, ст. 32 Федерального закона от 24.07.2009 N 212-ФЗ "О страховых взносах в Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования";

- ст. 4 главы 1, ст. 13 главы 2, ст.ст. 14 - 16 главы 3, глава 4, ст. 55 главы 5, ст. 51, ст.ст. 53 - 54., ст. 59 главы 6, ст.ст. 91 - 94, ст. 97 Федерального закона от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации";

- Постановлением Правительства Российской Федерации от 16.04.2003 N 225 "О трудовых книжках";

- Постановлением Правительства Российской Федерации от 27.11.2006 N 719 "Об утверждении Положения о воинском учете";

- Постановлением Правительства Российской Федерации от 06.07.2008 N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиях хранения таких данных вне информационных систем персональных данных";

- Постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

- Постановлением Правительства Российской Федерации от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";

- Постановлением Правительства Российской Федерации от 01.11. 2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

- Постановлением Министерства труда Российской Федерации от 10.10. 2003 N 69 "Об утверждении Инструкции по заполнению трудовых книжек";

- Приказом Министерства здравоохранения Российской Федерации от 31.12.2013 г. N 1159н "Об утверждении Порядка ведения персонифицированного учета при осуществлении медицинской деятельности лиц, участвующих в оказании медицинских услуг";

- Приказом ФСТЭК России от 18.02.2013 N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

- Приказом ФСТЭК России от 18.02.2013 N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";

- Приказом ФСБ России от 10.07.2014 N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности";

- Постановлением Администрации города Екатеринбурга от 19.09.2013 N 3267 "О политике Администрации города Екатеринбурга в отношении обработки персональных данных";

- Распоряжением Администрации города Екатеринбурга от 20.12.2011 N 289-р "Об утверждении перечня операторов информационных систем персональных данных и назначении ответственного пользователя шифровальных (криптографических) средств в Администрации города Екатеринбурга";

- Положением "Об Управлении здравоохранения Администрации города Екатеринбурга" (утверждено решением Екатеринбургской городской Думы от 05.06.2007 N 43/43);

- другими действующими нормативно-правовыми актами Российской Федерации, ФСБ России, ФСТЭК России, Министерства здравоохранения Российской Федерации, ТФОМС, а также приказами и распоряжениями Управления здравоохранения Администрации города Екатеринбурга, относящимся к вопросу обработки и защиты персональных данных.

4. Принципы обработки персональных данных

4.1. Оператор в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в статье 5 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

4.2. Обработка персональных данных Оператором осуществляется на основании следующих принципов:

- обработка персональных данных осуществляется на законной и справедливой основе;

- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей (не допускается обработка персональных данных, несовместимая с целями сбора персональных данных);

- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

- обработке подлежат только персональные данные, которые отвечают целям их обработки;

- содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки и не являются избыточными по отношению к заявленным целям их обработки;

- при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных (принимаются необходимые меры по удалению или уточнению неполных или неточных данных);

- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных (обрабатываемые персональные данные по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом, подлежат уничтожению либо обезличиванию).

4.3. Обработка персональных данных Оператором осуществляется на основании ст. 8 - 10, 36, 37 Устава муниципального образования "город Екатеринбург".

5. Категории субъектов персональных данных

5.1. Оператором осуществляется обработка полученных в установленном законом порядке персональных данных, принадлежащих:

- муниципальным служащим (и их родственникам);

- работникам, принятым по трудовым договорам (и их родственникам);

- работникам учреждений, подведомственных Управлению здравоохранения Администрации города Екатеринбурга;

- гражданам, обратившимся в Управление здравоохранения Администрации города Екатеринбурга с обращениями и заявлениями.

6. Цели обработки персональных данных

6.1. Оператор осуществляет обработку персональных данных исключительно в целях:

- осуществления функций, полномочий и обязательств, возложенных законодательством Российской Федерации и Администрацией города Екатеринбурга на Оператора;

- формирования информационных систем городского здравоохранения путем организации на базе современных компьютерных технологий системы сбора, обработки, хранения и предоставления информации, обеспечивающей динамическую оценку и информационную поддержку принятия управленческих решений;

- регулирования трудовых отношений с работниками Управления здравоохранения Администрации города Екатеринбурга, организации учета работников в соответствии с требованиями законов и иных нормативно-правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества работодателя, работника и третьих лиц;

- исполнения обязательств и осуществления прав Оператора по заключенным с контрагентами договорам;

- исполнения обязательств и осуществления прав Оператора в процессе судопроизводства по искам к Оператору работников, контрагентов, партнеров, субъектов персональных данных или исков Операторов к работникам, контрагентам, партнерам, субъектам персональных данных в рамках Гражданского процессуального кодекса Российской Федерации, Арбитражного процессуального кодекса Российской Федерации, Кодекса Российской Федерации об административных правонарушениях;

- исполнения обязательств и осуществления прав Оператора при осуществлении претензионного делопроизводства по жалобам к Оператору работников, контрагентов, партнеров, субъектов персональных данных или претензий Учреждения к работникам, контрагентам, партнерам, субъектам персональных данных в рамках Гражданского кодекса Российской Федерации, Гражданского процессуального кодекса Российской Федерации, Арбитражного процессуального кодекса Российской Федерации, Кодекса Российской Федерации об административных правонарушениях;

- обработки персональных данных, доступ неограниченного круга лиц к которым предоставлен работником или контрагентом по их просьбе.

6.2. В Управлении здравоохранения Администрации города Екатеринбурга обработке подлежат только те персональные данные, которые отвечают указанным выше целям их обработки. Персональные данные не подлежат обработке в случае несоответствия их характера и объема поставленным целям.

6.3. Управление здравоохранения Администрации города Екатеринбурга не осуществляет обработку специальных категорий персональных данных, касающихся расовой и национальной принадлежностей, политических взглядов, религиозных или философских убеждений, судимости.

6.4. В том случае, если для достижения указанных выше целей обработки персональных данных Управлению здравоохранения Администрации города Екатеринбурга необходимо осуществить обработку биометрических персональных данных, либо данных, касающихся состояния здоровья, то такая обработка осуществляется только на основании письменного согласия субъекта персональных данных. Обработка специальных категорий персональных данных должна быть незамедлительно прекращена, если устранены причины, вследствие которых она осуществлялась.

7. Перечень действий с персональными данными и способы их обработки

7.1. Оператор осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) извлечение, использование, передачу (предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

7.2. Обработка персональных данных у Оператора:

- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям и без таковой;

- неавтоматизированная обработка персональных данных;

- смешанная обработка персональных данных.

8. Допуск работников Оператора к обработке персональных данных

8.1. Персональные данные в Управлении здравоохранения Администрации города Екатеринбурга могут обрабатываться только уполномоченными работниками в установленном порядке.

8.2. Работники Оператора допускаются к обработке персональных данных только по решению начальника Управления здравоохранения Администрации города Екатеринбурга на основании приказа.

8.3. Работники, допущенные в Управлении здравоохранения Администрации города Екатеринбурга к обработке персональных данных, имеют право приступать к работе с персональными данными только после ознакомления под личную подпись с локальными нормативными актами, регламентирующими обработку персональных данных, и оформления письменного обязательства о неразглашении сведений конфиденциального характера.

8.4. Работники, осуществляющие в Управлении здравоохранения Администрации города Екатеринбурга обработку персональных данных, должны действовать в соответствии с должностными инструкциями, регламентами и другими распорядительными документами, а также соблюдать требования режима конфиденциальности персональных данных.

9. Получение персональных данных Оператором

9.1. Управление здравоохранения Администрации города Екатеринбурга получает персональные данные только на основании того, что субъект персональных данных самостоятельно принимает решение о предоставлении Оператору своих персональных данных и дает письменное согласие на их обработку свободно, своей волей и в своем интересе.

9.2. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой форме, позволяющей подтвердить факт его получения. Как правило, такое согласие дается в письменной форме в соответствии с требованиями ч. 2 ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

9.3. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных в соответствии с п. 1 ч. 2 ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Имеется в виду "ч. 2 ст. 9"

10. Обработка и хранение персональных данных Оператором

10.1. Добросовестность Оператора по обработке персональных данных достигается путем выполнения требований законодательства Российской Федерации в отношении обработки персональных данных.

10.2. Оператор не осуществляет обработку биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).

10.3. Оператор не выполняет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.

10.4. Оператор не производит трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных.

10.5. Оператором созданы общедоступные источники персональных данных. Контактная информация о руководстве Управления здравоохранения Администрации города Екатеринбурга и руководителях структурных подразделений. Персональные данные, субъектов персональных данных (фамилия, имя, отчество, должность, рабочий телефон), включаются в такие источники на основании Федеральный закон Российской Федерации от 09.02.2009 N 8-ФЗ "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления".

10.6. Сроки обработки и хранения персональных данных определяются в соответствии со сроком действия договора с субъектом персональных данных, сроком исковой давности, сроками хранения документов, установленными Приказом Министерства культуры Российской Федерации от 25.08.2010 N 558 "Об утверждении перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения", иными требованиями законодательства и нормативными документами, а также сроком предоставленного субъектом согласия на обработку персональных, в случаях, когда такое согласие должно быть предоставлено в соответствии с требованиями законодательства.

11. Передача Оператором персональных данных третьим лицам

11.1. Передача Оператором персональных данных третьим лицам осуществляется исключительно для достижения целей, заявленных для обработки персональных данных в ст. 6.1. настоящей Политики. Оператор производит передачу персональных данных третьим лицам на основании соответствующего соглашения и только с согласия субъектов персональных данных.

11.2. Передача персональных данных третьим лицам осуществляется либо с письменного согласия субъекта персональных данных, которое оформляется по установленной законодательством форме, либо для исполнения договора, стороной которого или выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем, либо в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, либо в иных случаях, установленных федеральным законодательством.

11.3. Передача персональных данных третьим лицам осуществляется Оператором только на основании соответствующего договора с третьим лицом, существенным условием которого является обязанность обеспечения третьим лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

11.4. В целях соблюдения законодательства Российской Федерации, для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных Оператор в ходе своей деятельности предоставляет персональные данные следующим третьим лицам (не исчерпывая):

- органам государственной власти;

- федеральным органам исполнительной власти;

- налоговым органам и правоохранительным органам, подразделениям Пенсионного фонда Российской Федерации, подразделениям Федеральной миграционной службы России, центрам занятости населения, военкоматам - для исполнения обязательств, возложенных на Оператора законодательными и нормативными актами, а также исполнения законных официальных запросов, касающихся работника.

- кредитным организациям - открывающим и обслуживающим платежные карты для начисления заработной платы. Для оформления кредитов, ссуд, либо для получения иных услуг, при условии, что работники заранее сообщат Оператору наименования указанных кредитных организаций;

- полиграфической организации или типографии - для изготовления визитных карточек работника, при условии, что Оператор заранее сообщит им наименование и адрес данного полиграфического предприятия;

- частной охранной организации, осуществляющей охрану помещений, при условии, что Оператор заранее сообщит работнику наименование и адрес данной частной охранной организации;

- партнерам Оператора - для исполнения обязательств, возложенных на Оператора договорами и иными законными сделками, исполнение которых предусмотрено должностными обязанностями работника, при условии, что Учреждение заранее сообщит работнику наименования и адреса данных организаций;

- посольским и консульским представительствам иностранных государств, визовым центрам - для исполнения Оператором официальных запросов по вопросам предоставления работнику въездных виз, при условии, что работник заранее сообщит наименования указанных организаций.

11.5. По мотивированному запросу исключительно для выполнения возложенных законодательством функций и полномочий персональные данные субъекта персональных данных без его согласия могут быть переданы Оператором:

- в судебные органы;

- в органы федеральной службы безопасности;

- в органы прокуратуры;

- в органы полиции;

- в иные органы и организации в случаях, установленных нормативными правовыми актами, обязательными для исполнения.

12. Меры по обеспечению безопасности персональных данных при их обработке

12.1. Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:

- назначением ответственных за организацию обработки персональных данных;

- изданием локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

- ознакомлением работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных и обучением указанных сотрудников;

- организацией обучения и проведения методической работы с работниками Оператора обрабатывающими персональные данные;

- обособлением персональных данных, обрабатываемых без использования средств автоматизации, от иной информации, в частности путем их фиксации на отдельных материальных носителях персональных данных, в специальных разделах;

- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;

- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

- обеспечением раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных;

- учетом машинных носителей персональных данных;

- хранением материальных носителей персональных данных с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;

- выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер;

- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

- установлением запрета на передачу персональных данных по открытым каналам связи, вычислительным сетям вне пределов контролируемой зоны и сетям Интернет без применения установленных в Управлении здравоохранения Администрации города Екатеринбурга мер по обеспечению безопасности персональных данных (за исключением общедоступных и/или обезличенных персональных данных);

- осуществлением внутреннего контроля и/или аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 N 152-ФЗ "О персональных данных" и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам;

- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных;

- иными мерами, предусмотренными законодательством Российской Федерации в области персональных данных.

13. Права и обязанности субъектов персональных данных

13.1. Субъект персональных данных имеет право на получение следующих сведений об обработке его персональных данных Оператором:

- подтверждение факта обработки персональных данных;

- наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных";

- перечень обрабатываемых персональных данных субъекта и источник их получения, если иной порядок представления персональных данных не предусмотрен законодательством Российской Федерации;

- правовые основания и цели обработки персональных данных;

- сроки обработки персональных данных, в том числе, сроки их хранения;

- иной информации в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных".

13.2. Субъект персональных данных вправе требовать от Оператора уточнения персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

13.3. Субъект персональных данных имеет право на отзыв согласия на обработку персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

13.4. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе в следующих случаях:

- если обработка персональных данных, включая те, что получены в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, выполняется в целях укрепления обороны страны, обеспечения безопасности государства и охраны правопорядка;

- при условии, что обработка персональных данных производится органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, когда допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

У если обработка персональных данных выполняется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансирования терроризма;

- когда доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

- если обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

13.5. Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться к Оператору. Оператор рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.

13.6. Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор).

13.7. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

13.8. Субъект персональных данных обязан предоставлять только достоверные и полные персональные данные, которые, при необходимости, должны быть документально подтверждены.

14. Порядок предоставления информации субъекту персональных данных

14.1. Доступ к своим персональным данным предоставляется Учреждением субъекту персональных данных или его законному представителю при обращении, либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.

14.2. Оператор сообщает субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставляет возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его законного представителя.

14.3. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если предоставление персональных данных нарушает конституционные права и свободы других лиц.

14.4. Неправомерный отказ в предоставлении собранных в установленном порядке документов, содержащих персональные данные, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации может повлечь наложение на должностных лиц Оператора административного штрафа в размере, определяемом Кодексом об административных правонарушениях.

15. Конфиденциальность персональных данных

15.1. Информация, относящаяся к персональным данным, ставшая известной в связи с реализацией трудовых отношений и в связи с оказанием государственных услуг и осуществлением государственных функций, является конфиденциальной информацией и охраняется законом.

15.2. Работники Оператора и иные лица, получившие доступ к обрабатываемым персональным данным, подписали обязательство о неразглашении конфиденциальной информации, а также предупреждены о возможной дисциплинарной, административной, гражданско-правовой и уголовной ответственности в случае нарушения норм и требований действующего законодательства Российской Федерации в области обработки персональных данных.

16. Ответственность Оператора за необеспечение безопасности персональных данных

16.1. Оператор несет ответственность за нарушение обязательств по обеспечению безопасности и конфиденциальности персональных данных при их обработке в соответствии с законодательством Российской Федерации.

16.2. Оператор несет ответственность за разработку, введение и действенность соответствующих требованиям законодательства норм, регламентирующих получение, обработку и защиту персональных данных. Оператор закрепляет персональную ответственность работников за соблюдением установленного в организации режима конфиденциальности персональных данных.

16.3. Руководитель подразделения Оператора несет персональную ответственность за соблюдение работниками его подразделения норм, регламентирующих получение, обработку и защиту персональных данных. Руководитель, разрешающий доступ сотрудника к документам и сведениям, содержащим персональные данные, несет персональную ответственность за данное разрешение.

16.4. Каждый работник Оператора, получающий для выполнения трудовых обязанностей материальные носители, содержащие персональные данные, несет персональную ответственность за их сохранность и конфиденциальность информации.

16.5. Работники Оператора, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

16.6. Оператор не несет ответственности за убытки и иные затраты, понесенные субъектами персональных данных в результате предоставления ими недостоверных и неполных персональных данных.

17. Сведения об Операторе

Управление здравоохранения Администрации города Екатеринбурга является юридическим лицом, организующим обработку персональных данных на основании законодательства и по поручению других операторов, к которым относятся (не исчерпывая):

- органы государственной власти;

- федеральные органы исполнительной власти, которым предоставляется отчетность, содержащая персональные данные субъектов персональных данных, в соответствии с законодательством Российской Федерации и нормативно-правовыми актами, принятыми соответствующими органами в рамках их компетенции, а также организациям, предоставление сведений которым предусмотрено нормативно-правовыми актами - в объеме, определенном соответствующими федеральными законами.

Адрес местонахождения Оператора: 620075, Свердловская область, г. Екатеринбург, ул. Тургенева, д. 19.

Почтовый адрес Оператора: 620075, Свердловская область, г. Екатеринбург, ул. Тургенева, д. 19.

Телефон Оператора: (343) 355-39-60

Адрес электронной почты Оператора: guz@e-zdrav.ru

Адрес сайта Оператора: https://екатеринбург.рф.

Регистрационный номер Оператора в Реестре операторов персональных данных: 08-00220013, Приказ Роскомнадзора от 13.10.2008 N 205

ИНН/КПП 6608001880/667001001; ОГРН 1026604970061; ОКВЭД 85.1;

ОКПО 00000001971013 ОКАТО 65401373000 ОКФС 14 ОКОГУ 3300200

18. Сведения об уполномоченном органе по защите прав субъектов персональных данных

1. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор)

Почтовый адрес: 109074, г. Москва, Китайгородский пр., д. 7, стр. 2. Справочно-информационный центр: телефон (495) 987-68-00, факс (495) 987-68-01. Управление Роскомнадзора по защите прав субъектов персональных данных:

Телефон: (495) 987-68-57.

Адрес электронной почты: rsoc_in@rsoc.ru Адрес сайта: pd.rkn.gov.ru

2. Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Уральскому федеральному округу (Роскомнадзор по УрФО)

Почтовый адрес: 620000, г. Екатеринбург, пр. Ленина, д. 39, а/я 337.

Телефон: (343) 359-01-00, факс: (343) 359-01-59.

Адрес электронной почты: rsockanc66@rkn.gov.ru Адрес сайта: 66.rkn.gov.ru