ПОЛИТИКА ПО ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ НЕКОММЕРЧЕСКОЙ ОРГАНИЗАЦИИ АССОЦИАЦИЯ ВРАЧЕЙ АМБУЛАТОРНО-ПОЛИКЛИНИЧЕСКОГО ЗВЕНА «МЕЖРЕГИОНАЛЬНЫЙ ЦЕНТР РАЗВИТИЯ ПРОФЕССИОНАЛЬНОГО МЕДИЦИНСКОГО ОБРАЗОВАНИЯ»
Общие положения
Настоящая Политика в отношении обработки персональных данных (далее – Политика) является локальным нормативным актом некоммерческой организации Ассоциация врачей амбулаторно-поликлинического звена «Межрегиональный центр развития профессионального медицинского образования» (далее – Оператор) и составлена в соответствии с Федеральным законом РФ «О персональных данных» от 27 июля 2006 года №152-ФЗ и действует в отношении всех персональных данных, обрабатываемых Оператором.
Целью настоящей Политики является:
- соблюдение федерального законодательства по персональным данным;
- создание нормативной основы для регулирования процессов обработки персональных данных Оператором
В качестве субъектов персональных данных выступают физические лица, планирующие пройти обучение в рамках непрерывного медицинского образования, сертификации и корпоративного обучения через интернет-портал https://nkomed.ru/ а также физические лица, состоящие с Оператором в регулируемых трудовым и гражданским законодательством отношениях.
Политика распространяется на персональные данные, полученные как до, так и после утверждения настоящей Политики.
Каждый работник Оператора, осуществляющий обработку персональных данных, должен быть ознакомлен с настоящей Политикой, что должно быть подтверждено собственноручной подписью работника в листе ознакомления.
Персональные данные, обрабатываемые Оператором
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Персональные данные являются информацией особой важности, которая подлежит защите, как Оператором, так и его контрагентами, которым эти данные передаются.
Собственником информационных ресурсов (персональных данных) является субъект персональных данных, в полном объеме реализующий полномочия владения, пользования, распоряжения этими ресурсами.
Оператор осуществляет обработку персональных данных работников, состоящих в трудовых отношениях с Оператором, физических лиц, самостоятельно состоящих в договорных и иных гражданско-правовых отношениях с Оператором или являющихся представителями юридических лиц, состоящих в договорных и иных гражданско-правовых отношениях с Оператором, и пользующихся услугами Оператора, и иных физических лиц в соответствии с нормативно-правовыми актами, являющимися основанием обработки персональных данных.
Правовым основанием обработки персональных данных являются:
- ст. 23, 24 Конституция РФ;
- Федеральный закон РФ «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ;
- Федеральный закон РФ «О персональных данных» от 27.07.2006 № 152-ФЗ;
- Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера» от 06.03.1997 № 188;
- ст.85-89, гл. 39 Трудового кодекса Российской Федерации;
- гл. 19, ст. 382, 539 – 548, 523 Гражданского кодекса РФ;
- приказ Министерства Финансов Российской Федерации от 02.07.2010 №124н «О внесении изменений в формы бухгалтерской отчетности организаций»;
- Федеральный закон «О бухгалтерском учете» от 21.11.1996 №129;
- cт. 324.1. Положения о бухгалтерском учете, утвержденного приказом Минфина России от 13.12.2010 г. № 167н;
- ст. 230 Налогового кодекса РФ;
- Приказ Министерства культуры Российской Федерации «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения» от 25.08.2010г. №558;
- договоры между Оператором и субъектом персональных данных;
- договоры с высшими учебными заведениями;
- другие правовые акты РФ.
Оператор производит обработку персональных данных следующих субъектов персональных данных:
- работников Оператора, состоящих в трудовых отношениях с Оператором;
- субъектов, персональные данные которых получены Оператором в связи с обеспечением содействия в получении образования в высших учебных заведениях через интернет сайт https://nkomed.ru/ в рамках непрерывного медицинского образования;
- субъектов-кандидатов на трудоустройство;
- Физических лиц, состоящих в гражданско-правовых отношениях с Оператором.
К персональным данным относятся:
- все биографические сведения (фамилия, имя, отчество, дата рождения, место рождения);
- пол;
- телефонный номер;
- адрес регистрации/местожительства;
- паспортные данные (серия, номер, дата выдачи, кем выдан);
- место работы и занимаемая должность;
- иные сведения, необходимые высшим учебным заведениям;
- иные сведения, позволяющие по совокупности определить, идентифицировать субъекта персональных данных.
Для субъектов персональных данных, состоящих с Оператором в трудовых отношениях, на основании трудового кодекса, Оператор обрабатывает следующие сведения:
- все биографические сведения (фамилия, имя, отчество, дата рождения, место рождения);
- пол;
- телефонный номер;
- адрес регистрации/места жительства;
- паспортные данные (серия, номер, дата выдачи, кем выдан);
- место работы и занимаемая должность;
- контакты;
- номер страхового свидетельства государственного пенсионного страхования;
- данные по отчислениям в ПФР;
- сведения о доходах;
- данные о расчетных ведомостях по работнику;
- ИНН;
- сведения о налогах;
- сведения по страхованию работников Оператора, в том числе суммы страхования и размер страховых премий, перечисленных Оператором в страховую организацию;
- информация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность);
- информация о трудовом стаже (место работы, должность, период работы, причины увольнения);
- семейное положение и состав семьи (муж/жена, дети);
- информация о знании иностранных языков;
- сведения о воинском учете (категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета);
- данные об аттестации работников;
- данные о повышении квалификации;
- данные о наградах, медалях, поощрениях, почетных званиях;
- информация о приеме на работу, перемещении по должности, увольнении;
- информация об отпусках;
- информация о беременности;
- сведения о социальных льготах;
- реквизиты (серия, номер) документов, подтверждающих наличие социальных льгот;
- группа инвалидности;
- причина инвалидности;
- степень ограничений трудовой деятельности;
- срок действия инвалидности;
- иные сведения, позволяющие по совокупности определить, идентифицировать субъекта персональных данных.
К персональным данным субъектов, планирующих или получающих образование или консультирование через интернет сайт https://nkomed.ru/ в рамках непрерывного медицинского образования, сертификации и корпоративного обучения, относятся:
- ФИО;
- дата и место рождения;
- сведения о рождении;
- номер мобильного телефона;
- электронная почта;
- сведения о сертификате специалиста;
- сведения о свидетельстве о повышении квалификации;
К персональным данным субъектов-кандидатов на трудоустройство:
- ФИО;
- контактные телефоны;
- адрес проживания;
- образование;
- семейное положение;
- адрес электронной почты.
- гражданство
К документам, содержащим персональные данные, относятся:
- паспорт или иной документ, удостоверяющий личность;
- трудовая книжка;
- страховое свидетельство государственного пенсионного страхования;
- свидетельство о постановке на учёт в налоговый орган и присвоения ИНН;
- документы воинского учёта;
- документы об образовании, о квалификации или наличии специальных знаний или специальной подготовки;
- личные данные работников Оператора (унифицированная форма № Т-2 (утверждена Постановлением Госкомстата России от 05.01.2004 № 1);
- документы, содержащие сведения о семейном положении;
- документы, содержащие сведения о имени фамилии;
- анкета;
- автобиография;
- медицинское заключение о состоянии здоровья;
- листки нетрудоспособности;
- справки о беременности;
- документы, содержащие сведения о заработной плате, доплатах и надбавках;
- приказы о приеме лица на работу, об увольнении, а также о переводе лица на другую должность;
- другие документы, содержащие сведения, предназначенные для использования в служебных целях.
Срок обработки персональных данных определяется целью сбора персональных данных.
Цели сбора и обработки персональных данных
Оператор может использовать персональные данные в следующих целях:
- Соблюдение требований трудового законодательства и работа с персоналом;
- Формирование кадрового резерва;
- Взаимодействие с контрагентами по хозяйственным договорам;
- Хранение оригиналов и копий документов, архивное хранение;
- обеспечение содействия клиентам в получении образования в высших учебных заведениях через интернет сайт https://nkomed.ru/ в рамках непрерывного медицинского образования.
- И иных целях, разрешенных законодательством РФ.
Оператор собирает и хранит персональные данные работника, необходимые для исполнения условий трудового договора и осуществления прав и обязанностей в соответствии с трудовым, налоговым и гражданским законодательством.
Принципы и условия обработки персональных данных, передача персональных данных третьим лицам
Обработка персональных данных должна осуществляться на основе следующих принципов:
- При обработке персональных данных работника Оператор руководствуется Трудовым кодексом Российской Федерации, Федеральным законом РФ «О персональных данных» от 27 июля 2006 года №152-ФЗ и настоящей Политикой.
- Обработка персональных данных должна осуществляться на законной и справедливой основе.
- Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
- Обработке подлежат только персональные данные, которые отвечают целям их обработки.
- Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
- Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
- При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
- Обработка персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни не допускается, за исключением случая получения согласия в письменной форме субъекта персональных данных, и иных случаев, предусмотренных ч.2 ст.10 Федерального закона РФ «О персональных данных» от 27 июля 2006 года №152-ФЗ.
- Обработкой персональных данных занимаются только те сотрудники, которые имеют соответствующий допуск к работе, а также обработка предусмотрена их должностными обязанностями.
- Доступ к информационным системам, содержащим персональные данные, защищен паролями и иными мерами предусмотренными Федеральным законом РФ «О персональных данных» от 27 июля 2006 года №152-ФЗ.
- Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
- При изменении персональных данных субъект персональных данных уведомляет оператора о таких изменениях в 10-дневный срок.
- Все персональные данные получаются непосредственно от субъекта персональных данных, либо иных лиц, предусмотренных законодательством Российской Федерации. Субъект персональных данных самостоятельно принимает решение о предоставление своих персональных данных и дает письменное согласие на их обработку Оператором.
- Если персональные данные возможно получить только у третьей стороны, Субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие передающей стороной.
- В случаях, когда Оператор осуществляет обработку персональных данных по поручению третьей стороны, Оператор не обязан получать согласие субъекта персональных данных на обработку его персональных данных.
Оператор вправе передать персональные данные третьим лицам в следующих случаях:
- Субъект персональных данных явно выразил свое согласие на такие действия;
- Передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры;
В случае если Оператор персональных данных на основании договора с другим лицом поручает ему обработку персональных данных, существенным условием договора является обязанность соблюдения принципов и правил обработки персональных данных, предусмотренных Законом. При этом ответственность за действия третьего лица несет Оператор, а третье лицо несет ответственность перед Оператором.
Хранение персональных данных:
- Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, приказом Министерства культуры Российской Федерации «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения» от 25.08.2010г. №558, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
- Персональные данные на бумажных носителях, обрабатываемые без использования средств автоматизации, хранятся Оператором в запираемых помещениях в соответствии с требованием законодательства РФ.
- Обработка персональных данных, содержащихся на съёмных электронных носителях информации не производится.
- Персональные данные, содержащиеся на бумажных носителях, по истечении текущей востребованности сдаются в архив и хранятся там, в соответствии с установленными сроками хранения.
Уничтожение персональных данных
- Персональные данные субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
- Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.
Права субъектов персональных данных
Субъект персональных данных имеет право на:
- получение сведений об Операторе, о месте его нахождения, о наличии у Оператора персональных данных, относящихся к этому субъекту.
- свободный бесплатный доступ к своим персональным данным, включая право на получение выдержки из любой записи, в части, содержащей его персональные данные, за исключением случаев, предусмотренных законодательством РФ;
- исключение, исправление, блокирование или уничтожение неверных или неполных персональных данных, а также данных, обработанных с нарушением требований законом РФ «О персональных данных» от 27 июля 2006 года №152-ФЗ.
- обжалование действия или бездействия Оператора в случаях, если он считает, что Оператор осуществляет обработку персональных данных с нарушением требований Закона или иным образом нарушает его права и свободы.
Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если предоставление персональных данных нарушает конституционные права и свободы других лиц.
Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков.
Меры, применяемые для защиты персональных данных
Оператор принимает необходимые и достаточные меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ней со стороны третьих лиц.
Изменение Политики. Применимое законодательство
Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте Оператора, если иное не предусмотрено новой редакцией Политики.
Ответственность за разглашение персональных данных
Персональная ответственность – одно из главных требований к организации функционирования системы защиты информации о персональных данных, являющееся обязательным условием обеспечения эффективности данной системы.
Каждый работник Оператора, получающий доступ к персональным данным, несет единоличную ответственность за разглашение этой информации.
Лица, виновные в нарушении требований закона РФ «О персональных данных» от 27 июля 2006 года №152-ФЗ, несут дисциплинарную, гражданскую, административную, уголовную и иную предусмотренную законодательством Российской Федерации ответственность.