Политика Автономной некоммерческой организации «Крымский детский хоспис»
в отношении обработки персональных данных
1. Общие положения
Настоящая Политика об обработке персональных данных (далее — Политика):
- является основополагающим внутренним документом Автономной некоммерческой организации «Крымский детский хоспис» (далее -АНО «Крымский детский хоспис»), регулирующим вопросы обработки персональных данных;
- разработана в целях обеспечения соответствия с законодательством Российской Федерации обработки, хранения и защиты ПДн сотрудников, граждан;
- раскрывает основные категории обрабатываемых персональных данных, цели, способы и принципы обработки , права и обязанности при обработке персональных данных, права субъектов персональных данных, а также перечень мер, применяемых в целях обеспечения безопасности персональных данных при их обработке;
- предназначена для сотрудников, осуществляющих обработку персональных данных в целях непосредственной реализации ими закрепленных в Политике принципов, а также является информационным ресурсом для субъектов персональных данных, позволяющим определить концептуальные основы деятельности при обработке персональных данных.
2. Источники нормативного правового регулирования вопросов обработки персональных данных.
Политика в области обработки персональных данных определяется на основании следующих нормативных правовых актов РФ:
- Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное Постановлением Правительства Российской Федерации от 15 сентября 2008 г № 687;
- Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденное Постановлением Правительства Российской Федерации от 1 ноября 2012 г. №1119;
- Указ Президента РФ от 06.03.1997 №188 «Об утверждении перечня сведений конфиденциального характера»;
- Конституция Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Гражданский кодекс Российской Федерации;
- Налоговый кодекс Российской Федерации;
- Уголовный кодекс Российской Федерации;
- нормативные и методические документы ФСБ России, ФСТЭК России, Роскомнадзора.
3. Основные термины и понятия, используемые в локальных документах, принимаемых по вопросу обработки персональных данных
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, определяемая нормативно-правовыми актами Российской Федерации, Перечнем ПДн, обрабатываемых в локальными актами.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
Распространение персональных данных — действия, направленные на раскрытие ПДн неопределенному кругу, в том числе обнародование ПДн в средствах массовой информации, размещение в информационно телекоммуникационных сетях или предоставление доступа к ПДн каким- либо иным способом.
Предоставление персональных данных — действия, направленные на раскрытие ПДн определенному кругу.
Использование персональных данных — действия (операции) с ПДн, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта ПДн или других лиц либо иным образом затрагивающих права и свободы субъекта ПДн или других лиц.
Блокирование персональных данных — временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители ПДн.
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.
Информационная система персональных данных — информационная система, представляющая собой совокупность содержащихся в базе данных ПДн и их обработку, информационных технологий и технических средств.
Конфиденциальная информация — информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и представляет собой коммерческую, служебную или личную тайны, охраняющиеся её владельцем.
Общедоступные персональные данные — ПДн, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта ПДн или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
4. Общие условия обработки персональных данных
4.1 Обработка ПДн осуществляется на основе следующих принципов:
4.1.1 Законности и справедливости обработки ПДн.
4.1.2 Законности целей и способов обработки ПДн и добросовестности.
4.1.3 Соответствия целей обработки ПДн целям, заранее определенным при сборе ПДн, а также полномочиям.
4.1.4 Соответствия содержания и объема обрабатываемых ПДн целям обработки ПДн.
4.1.5 Достоверности ПДн, их достаточности для целей обработки, недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн.
4.1.6 Недопустимости объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
4.1.7 Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки.
4.1.8 Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4.1.9 Субъект ПДн является собственником своих ПДн и самостоятельно решает вопрос передачи своих ПДн.
4.1.10 Держателем ПДн является АНО «Крымский детский хоспис», которому субъект ПДн передает во владение свои ПДн, выполняет функцию владения этими данными и обладает полномочиями распоряжения ими в пределах, установленных законодательством.
4.1.11 Комплекс мер по защите ПДн направлен на предупреждение нарушений доступности, целостности, достоверности и конфиденциальности ПДн и обеспечивает безопасность информации в процессе деятельности.
4.1.12 АНО «Крымский детский хоспис» при обработке ПДн обязано принимать необходимые организационные и технические меры средства для защиты ПДн от неправомерного или случайного доступа, к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также от иных неправомерных действий, в соответствии с требованиями к обеспечению безопасности ПДн.
4.1.13 Мероприятия по защите ПДн определяются Положением, приказами, инструкциями и другими внутренними документами.
4.2 Для защиты ПДн применяются следующие принципы и правила:
4.2.1 Ограничение и регламентация состава сотрудников, функциональные обязанности которых требуют доступа к информации, содержащей ПДн.
4.2.2 Строгое избирательное и обоснованное распределение
4.2.3 документов и информации между сотрудниками.
4.2.4 Рациональное размещение рабочих мест сотрудников, при котором исключалось бы бесконтрольное использование защищаемой информации.
4.2.5 Знание сотрудниками требований нормативно-методических документов по защите ПДн.
4.2.6 Распределение персональной ответственности между сотрудниками, участвующими в обработке ПДн, за выполнение требований по обеспечению безопасности ПДн.
4.2.7 Установление режима конфиденциальности в соответствии с требованиями по обеспечению безопасности ПДн при работе с конфиденциальными документами и базами данных.
4.2.8 Исключение бесконтрольного пребывания посторонних лиц в помещениях, в которых ведется обработка ПДн.
4.2.9 Организация порядка уничтожения персональных данных.
4.2.10 Своевременное выявление нарушений требований разрешительной системы доступа.
4.2.11 Ограничение доступа к техническим средствам и системам обработки информации, на которых содержатся ПДн.
4.2.12 Распространение АНО «Крымский детский хоспис» ПДн возможно только с письменного согласия субъекта ПДн.
4.3 Цели обработки персональных данных:
4.3.1 Обеспечение соблюдения Конституции Российской Федерации, законодательных и иных нормативно-правовых актов Российской Федерации, а также локальных актов АНО «Крымский детский хоспис»;
4.3.2 Осуществление функций, полномочий и обязанностей, возложенных на АНО «Крымский детский хоспис» законодательством Российской Федерации.
4.3.3 Регулирование трудовых отношений с работниками АНО «Крымский детский хоспис» (трудоустройство, обучение, продвижение по
4.3.4 службе, обеспечение личной безопасности, контроль за выполняемой работой и соблюдением внутреннего трудового распорядка, обеспечение сохранности имущества);
4.3.5 Идентификация пользователей сайта https://crimean-hospice.ru в рамках использования сервисов сайга, в целях предоставления пользователю персонализированных сервисов, связи с пользователем в случае необходимости (в том числе направления уведомлений, запросов и информации, связанной с использованием сервисов), а также обработке запросов и заявок от пользователя;
4.3.6 Подготовка, заключение, исполнение и прекращение договоров с контрагентами, а также реализация АНО «Крымский детский хоспис» обязанностей возникших в связи с заключением указанных договоров (требований налогового законодательства, законодательства в области бухгалтерского учета и иных действующих нормативно-правовых актов Российской Федерации);
4.3.7 Осуществление прав и законных интересов АНО «Крымский детский хоспис» в рамках осуществления деятельности, предусмотренной уставом и иными локальными нормативными актами АНО «Крымский детский хоспис» либо достижения общественно значимых целей;
4.3.8 В иных целях, предусмотренных действующим законодательством Российской Федерации.
4.4 Обработка Оператором специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, допускается в случаях, если:
4.4.1 субъект ПДн дал согласие в письменной форме на обработку своих ПДн;
4.4.2 персональные данные сделаны общедоступными субъектом ПДн;
4.4.3 обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта ПДн невозможно;
4.4.4 обработка ПДн осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медикосоциальных услуг при условии, что обработка ПДн осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
4.4.5 обработка ПДн необходима для установления или осуществления прав субъекта ПДн или третьих лиц, а равно и в связи с осуществлением правосудия;
4.4.6 обработка специальных категорий ПДн, осуществлявшаяся в случаях, предусмотренных пунктом 4 статьи 10 ФЗ-152 должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась их обработка, если иное не установлено федеральным законом;
4.4.7 обработка ПДн о судимости может осуществляться Оператором исключительно в случаях и в порядке, которые определяются в соответствии с федеральными законами.