Политика обработки персональных данных ФГБУ «Национальный институт качества» Росздравнадзора

1. Общие положения

1.1. Политика обработки персональных данных ФГБУ «Национальный институт качества» Росздравнадзора (далее соответственно – Политика, Учреждение) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ
«О персональных данных» (далее – Федеральный закон № 152-ФЗ)
и распространяется на любое возможное действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или
без использования таких средств с персональными данными[1], включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.2. Обработка персональных данных осуществляется на основе следующих принципов:

- обработка персональных данных осуществляется на законной и справедливой основе и ограничивается достижением конкретных, заранее определенных
и законных целей;

- не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

- обработке подлежат только персональные данные, которые отвечают целям
их обработки;

- содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки, обрабатываемые персональные данные являются избыточными по отношению к заявленным целям их обработки;

- при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению
к целям обработки персональных данных, в том числе посредством удаления или уточнения неполных или неточных данных;

- хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных
не установлен федеральным законом, договором, стороной которого (выгодоприобретателем, поручителем) является субъект персональных данных;

- обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

1.3. Учреждение вправе обрабатывать персональные данные случаях, предусмотренных статьей 6 Федерального закона № 152-ФЗ, в том числе:

- с согласия субъекта персональных данных на обработку его персональных данных;

- обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

- обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных
и муниципальных услуг и (или) региональных порталах государственных
и муниципальных услуг;

- обработка персональных данных необходима для исполнения договора, стороной которого (выгодоприобретателем, поручителем) является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем[2].

1.4. Учреждение вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законом, на основании заключаемого договора, по которому данное лицо обязано соблюдать предусмотренные принципы и правила обработки персональных данных, конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ.

В случае поручения обработки персональных данных другому лицу Учреждение несет ответственность перед субъектом персональных данных
за действия данного лица.

1.5. Учреждение обязуется не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное
не предусмотрено законом.

Учреждения не осуществляет трансграничную передачу персональных данных, обработку специальных категорий персональных данных, идентификацию и (или) аутентификацию физических лиц с использованием биометрических персональных данных.

1.6. В целях обеспечения соответствия требованиями Федерального закона
№ 152-ФЗ в Учреждении утверждены локальные акты по вопросам обработки персональных данных, определяющие:

- категории и перечень обрабатываемых персональных данных определены для каждой цели обработки персональных данных;

- категории субъектов, персональные данные которых обрабатываются;

- способы, сроки обработки и хранения персональных данных,

- порядок уничтожения персональных данных;

- процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

- состав работников Учреждения, имеющих доступ к персональным данным
и уполномоченных на обработку персональных данных при выполнении своих трудовых обязанностей.

Документы Учреждения по вопросам обработки персональных данных
не содержат положения, ограничивающие права субъектов персональных данных,
а также возлагающие на Учреждение не предусмотренные законодательством Российской Федерации полномочия и обязанности.

1.7. Учреждение осуществляет внутренний контроль соответствия обработки персональных данных Федеральному закону № 152-ФЗ и принятым в соответствии
с ним нормативным правовым актам, требованиям к защите персональных данных, настоящей политике и локальным актам по вопросам обработки персональных данных.

2.                 Права субъектов персональных данных и обязанности Учреждения

2.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

- подтверждение факта обработки персональных данных оператором;

- правовые основания и цели обработки персональных данных;

- цели и применяемые оператором способы обработки персональных данных;

- наименование и место нахождения оператора, сведения о лицах
(за исключением работников Учреждения), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора или федерального закона;

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

- сроки обработки персональных данных, в том числе сроки их хранения;

- порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

- информацию об осуществленной или о предполагаемой трансграничной передаче данных;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Учреждения, если обработка поручена или будет поручена такому лицу;

- информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 Федерального закона № 152-ФЗ;

- иные сведения, предусмотренные законодательством Российской Федерации.

2.2. Субъект персональных данных вправе обратиться в адрес Учреждения
с заявлением об отзыве согласия на обработку персональных данных, о прекращении обработки персональных данных, об уточнении персональных данных.

2.3. Учреждение обязуется исполнять требования Федерального закона
№ 152-ФЗ, в том числе:

- предоставить субъекту персональных данных (или его представителю)
по запросу информацию, касающуюся обработки его персональных данных, указанную в пункте 2.1 настоящей политики (часть 7 статьи 14 Федерального закона № 152-ФЗ), либо предоставить мотивированный отказ;

- вести учет обращений, запросов субъектов персональных данных;

- сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию;

- уточнять, блокировать или удалять персональные данные по запросу субъекта персональных данных (его представителя) либо уполномоченного органа по защите прав субъектов персональных данных в случае выявления неправомерной обработки персональных данных, неточных персональных данных.

- прекратить обработку персональных данных, а также уничтожить
или обезличить их в установленный срок при достижении цели их обработки, в случае отзыва субъектом персональных данных согласия на обработку персональных данных;

- прекратить обработку персональных данных в случае поступления требования о прекращении обработки персональных данных.

Учреждение реализует обязанности в области обработки персональных в сроки, установленные Федеральным законом № 152-ФЗ.

3.                 Реализуемые требованиях к защите персональных данных

3.1. Учреждение при обработке персональных данных принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, в том числе посредством:

- назначения ответственных лиц за организацию обработки и обеспечение безопасности персональных данных;

- определения состава работников, имеющих доступ к персональным данным при выполнении своих трудовых обязанностей;

- обеспечения ознакомления и обучения работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, настоящей политики, локальными актами по вопросам обработки персональных данных.

- определения угроз безопасности персональных данных при их обработке
в информационных системах персональных данных;

- применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;

- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

- учетом машинных носителей персональных данных;

- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению
и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;

- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- установлением правил доступа к персональным данным, обрабатываемым
в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными
в информационной системе персональных данных;

- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

4.     Ответственность

4.1. Учреждение и работники Учреждения, виновные в нарушении требований законодательства Российской Федерации в области персональных данных, а также положений настоящей политики, несут предусмотренную законодательством Российской Федерации ответственность.

4.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, правил обработки, а также требований к защите персональных данных, подлежит возмещению в соответствии с законодательством Российской Федерации.