Федеральное казенное учреждение «Главное бюро медико-социальной экспертизы по Ямало-Ненецкому автономному округу» Министерства труда и социальной защиты Российской Федерации.

Политика по обработке ПД

ПОЛИТИКА

ФЕДЕРАЛЬНОГО КАЗЕННОГО УЧРЕЖДЕНИЯ «ГЛАВНОЕ БЮРО МЕДИКО-СОЦИАЛЬНОЙ ЭКСПЕРТИЗЫ ПО ЯМАЛО-НЕНЕЦКОМУ АВТОНОМНОМУ ОКРУГУ» МИНИСТЕРСТВА ТРУДА И СОЦИАЛЬНОЙ ЗАЩИТЫ РОССИЙСКОЙ ФЕДЕРАЦИИ В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

1. Основные положения

      1.1.  Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

1.2. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), в рамках межведомственного взаимодействия, по запросу других организаций с согласия субъекта на передачу его персональных данных третьим лицам, на основании нормативно-правовых документов обезличивание, блокирование, удаление, уничтожение персональных данных.

1.3. Политика обработки персональных данных Федерального казенного учреждения «Главное бюро медико-социальной экспертизы» Министерства труда и социальной защиты Российской Федерации (далее по тексту - ФКУ «ГБ МСЭ по Ямало-Ненецкому автономному округу» Минтруда России, Учреждение) разработана в соответствии с  Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; Федеральным законом от 27 июля 2010 г. №210-ФЗ «Об организации предоставления государственных и муниципальных услуг»; Федеральным законом от 02 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»; Трудовым Кодексом Российской Федерации.

1.4. Действие Политики распространяется на все персональные данные субъектов, обрабатываемые в Учреждении с применением средств автоматизации и без применения таких средств.

 

2. Общие принципы обработки персональных данных.


            2.1. Обработка персональных данных в Учреждении осуществляется на основе следующих принципов:

            - законности и справедливой основы;

            - ограничение обработки персональных данных достижением конкретных, заранее определенных целей;

- недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

- обработки только тех персональных данных, которые отвечают целям их обработки;

- соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;

- недопущения обработки избыточных данных по отношению к заявленным целям их обработки;

- обеспечение точности, достаточности и актуальности персональных данных по отношению к целям обработки персональных данных;

- уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, при невозможности устранения Учреждением допущенных нарушений персональных данных, если иное не предусмотрено федеральными законами.

2.2. Учреждение и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством РФ.

2.3. В целях информационного обеспечения в Учреждении могут создаваться общедоступные источники персональных данных работников, в том числе справочники и адресные книги. В общедоступные источники персональных данных с согласия работника могут включаться его фамилия, имя, отчество,  должность, номера контактных телефонов, адрес электронной почты. Сведения о работнике должны быть в любое время исключены из общедоступных источников персональных данных по требованию работника либо по решению суда или иных уполномоченных государственных органов.

2.4. Учреждение вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законодательством РФ на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Учреждения, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ-152.

2.5. Обработка Учреждением специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, допускается в случаях если:

- субъект персональных данных дал согласие в письменной форме на обработку персональных данных;

- персональные данные сделаны общедоступными, субъектом персональных данных;

- обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством РФ о пенсиях по государственному пенсионному обеспечению;

- обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;

- обработка персональных данных осуществляется в соответствии с законодательством РФ о противодействии терроризму, о противодействии коррупции, об исполнительном производстве, уголовно-исполнительным законодательством РФ;

- обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.

Обработка специальных категорий персональных данных должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась их обработка, если иное не предусмотрено законодательством РФ.

2.6. Обработка персональных данных о судимости может осуществляться Учреждением исключительно в случаях и в порядке, которые определяются в соответствии с законодательством РФ.

2.7. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность - биометрические персональные данные – могут обрабатываться Учреждением только при наличии согласия в письменной форме работника.

 

3. Категории персональных данных субъектов.


            3.1. Персональные данные лиц, обратившихся в ФКУ «ГБ МСЭ по Ямало-Ненецкому автономному округу» Минтруда России для прохождения медико-социальной экспертизы и (или) их законные представители.

            3.2. Персональные данные граждан, подавших в ФКУ «ГБ МСЭ по Ямало-Ненецкому автономному округу» Минтруда России письменные обращения, подлежащие обязательной регистрации и (или) их законные представители.

3.3. Персональные данные граждан и (или) их законных представителей, обратившихся на личный прием к руководителю  Учреждения, заместителю руководителя по экспертной работе, руководителям структурных подразделений, руководителям экспертных составов.

            3.4. Персональные данные работников Учреждения (в рамках трудовых отношений).

           

4. Цель обработки персональных данных.


            4.1. Проведение реабилитационно-экспертной диагностики граждан с целью определения их реабилитационного потенциала, ограничения жизнедеятельности, потребности в мерах социальной защиты, изучения причин, факторов и условий, влияющих на возникновение, развитие и исход инвалидности, анализ распространенности и структуры инвалидности.

            4.2. Реализации гражданами РФ закрепленных за ними Конституцией РФ прав на обращение в государственные органы в установленном порядке.

            4.3. Обеспечение соблюдения законов и иных форм нормативно-правовых актов в отношении работников учреждения, содействия работникам в обучении и продвижении по службе, обеспечение личной безопасности работников, соблюдение основных государственных гарантий по оплате труда работников, контроля количества и качества выполняемой работы.

            4.4. Объективного и своевременного рассмотрения обращений, предложений, заявлений и жалоб граждан для принятия необходимых мер и подготовки письменного ответа по существу поставленных вопросов.

            4.5. Формирования в рамках обслуживаемой территории банка данных о гражданах, прошедших медико-социальную экспертизу, осуществления государственного статистического наблюдения за демографическим составом инвалидов, проживающих на обслуживаемой территории.

            4.6. Предоставление в военные комиссариаты сведений обо всех случаях признания инвалидами военнообязанных и граждан призывного возраста.

            4.7. Обеспечение трудовых отношений субъекта персональных данных с Учреждением.

           

5. Обеспечение безопасности персональных данных.


            5.1. В ФКУ «ГБ МСЭ по Ямало-Ненецкому автономному округу» Минтруда России для целенаправленного создания неблагоприятных условий и труднопреодолимых препятствий для нарушителей, пытающихся осуществить несанкционированный доступ к персональным данным в целях овладения ими, их видоизменения, уничтожения, заражения вредоносной компьютерной программой и совершения иных несанкционированных действий применяются следующие организационно-технические меры:

- назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;

- ограничение и регламентация состава работников, имеющих доступ к персональным данным;

- ознакомление работников с требованиями федерального законодательства и нормативных документов Учреждения по обработке и защите персональных данных;

- обеспечение учета и хранения материальных носителей информации и их обращения, исключающего хищение, подмену, несанкционированное копирование и уничтожение;

- определение угроз безопасности персональных данных при их обработке, формирование на их основе моделей угроз;

- разработка на основе модели угроз системы защиты персональных данных для соответствующего класса информационных систем;

- реализация разрешительной системы доступа пользователей к информационным ресурсам;

- парольная защита доступа пользователей к информационной системе персональных данных;

-осуществление антивирусного контроля, предотвращение внедрения вредоносных программ;

- резервное копирование информации; обеспечение восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- проведение мониторинга действий пользователей, проведение разбирательств по фактам нарушения требований безопасности персональных данных;

- поддержание технических средств охраны, сигнализации помещений в состоянии постоянной готовности.

            5.2. При обработке, осуществляемой без использования средств автоматизации:

- обособление персональных данных от иной информации путем фиксации их на отдельных материальных носителях;

- определение порядка хранения материальных носителей персональных данных и установление перечня лиц, осуществляющих обработку персональных данных, либо имеющих к ним доступ;

- ограничение доступа пользователей в помещения, где хранятся носители информации;

- размещение носителей информации, содержащих персональные данные, в пределах контролируемой зоны;

- обеспечение раздельного хранения материальных носителей персональных данных, обработка которых осуществляется в различных целях;

- соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним (хранение документов – носителей персональных данных в специально оборудованных помещениях, сейфах, металлических шкафах, установление охранно-пожарной сигнализации);

- проведение внутренней проверки безопасности информационных систем персональных данных учреждения;

- проведение вводного и текущего инструктажей для работников учреждения, допущенных к обработке персональных данных.

 

6. Права и обязанности субъектов персональных данных.


            6.1. Субъект персональных данных имеет право:

            6.1.1. На ознакомление со своими правами в области обработки и защиты персональных данных.

            6.1.2. На получение информации, касающейся обработки его персональных данных, в том числе содержащей:

- подтверждение факта обработки персональных данных;

- правовые основания и цели обработки персональных данных;

- цели и применяемые Учреждением способы обработки персональных данных;

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом;

- сроки обработки персональных данных, в том числе сроки их хранения;

- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;

- иные сведения, предусмотренные законодательством РФ.

            6.1.3. Требовать уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

            6.1.4. Обращаться или направлять запросы в Учреждение (запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Учреждением, либо сведения, иным образом подтверждающие факт обработки персональных данных Учреждением, подпись субъекта персональных данных или его представителя);

            6.1.5. Обжаловать действия или бездействия Учреждения в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, если субъект персональных данных, считает, что Учреждение осуществляет обработку персональных данных с нарушением требований законодательства РФ или иным образом нарушает его права и свободы.

            6.2. Субъект персональных данных обязан:

            6.2.1. Предоставлять полную и достоверную информацию о персональных данных в документальной форме (бумажном или электронном носителе).

            6.2.2. Своевременно извещать Учреждение об изменениях своих персональных данных.

            6.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с законодательством Российской Федерации.

 

7. Заключительные положения.


            7.1. Должностные лица Учреждения, виновные в нарушении норма, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.

7.2. В случае выявления нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных, Учреждение принимает соответствующие меры в установленные законом сроки согласно требованиям Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».

7.3. Настоящая Политика является общедоступной и подлежит размещению на официальном сайте Учреждения. Изменения и дополнения настоящей Политики осуществляется в случае принятия новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.