Политика обработки персональных данных

1. Общие положения

1.1. Обособленное структурное подразделение — Российская детская клиническая больница в «Российском национальном исследовательском медицинском университете имени Н.И. Пирогова» Министерства здравоохранения Российской Федерации (далее — РДКБ) в рамках выполнения своей основной деятельности осуществляет обработку персональных данных различных категорий субъектов персональных данных с использованием информационных систем персональных данных.

1.2. В соответствии с действующим законодательством Российской Федерации РДКБ является оператором персональных данных. При организации и осуществлении обработки персональных данных РДКБ руководствуется требованиями Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним иными нормативными правовыми актами.

1.3. Для целей настоящей Политики под персональными данными понимаются любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

2. Сбор персональных данных

2.1. РДКБ осуществляет сбор информации напрямую от субъектов персональных данных либо от их законных представителей.

2.2. Сбор осуществляется исключительно в случае добровольного предоставления субъектом либо его законным представителем своих персональных данных и наличия целей обработки персональных данных, которые реализует РДКБ.

2.3. В случае получения персональных данных от третьих лиц РДКБ уведомляет субъекта персональных данных о факте и источнике получения таких данных.

3. Принципы и условия обработки персональных данных

3.1. Обработка персональных данных в РДКБ осуществляется на законной и справедливой основе и ограничивается достижением конкретных, заранее определенных и законных целей.

3.2. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых в РДКБ персональных данных соответствуют заявленным целям обработки, избыточность обрабатываемых персональных данных не допускается.

3.3. При обработке персональных данных в РДКБ обеспечивается точность персональных данных, их достаточность и, в необходимых случаях, актуальность по отношению к целям обработки персональных данных. РДКБ принимает необходимые меры (обеспечивает их принятие) по удалению или уточнению неполных, или неточных персональных данных.

3.4. РДКБ в ходе своей деятельности может предоставлять и (или) поручать обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законодательством РФ о персональных данных. При этом обязательным условием предоставления и (или) поручения обработки персональных данных другому лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению безопасности персональных данных при их обработке.

3.5. Сроки обработки персональных данных определяются в соответствии с целями, для которых они были собраны.

4. Права субъекта персональных данных

4.1. Субъект персональных данных имеет право (если иное не предусмотрено законом):

• Требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
• Требовать перечень своих персональных данных, обрабатываемых РДКБ, и источник их получения;
• Получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
• Требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведённых в них исключениях, исправлениях или дополнениях;
• Обжаловать в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;
• На защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

4.2. РДКБ не несет ответственности за недостоверную информацию, предоставленную субъектом персональных данных.

5. Реализация требований к защите персональных данных

5.1. С целью выполнения требований федерального законодательства РДКБ считает важнейшими задачами обеспечение легитимности обработки персональных данных и обеспечение надлежащего уровня безопасности обрабатываемых в РДКБ персональных данных.

5.2. РДКБ требует от иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

5.3. С целью обеспечения безопасности персональных данных при их обработке РДКБ принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении них.

5.4. РДКБ добивается того, чтобы все реализуемые мероприятия по организационной и технической защите персональных данных осуществлялись на законных основаниях, в том числе в соответствии с требованиями законодательства Российской Федерации по вопросам обработки персональных данных.

5.5. В целях обеспечения адекватной защиты персональных данных РДКБ проводит оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения безопасности их персональных данных, а также определяет актуальные угрозы безопасности персональных данных при их обработке в информационных системах персональных данных.

5.6. В соответствии с выявленными актуальными угрозами РДКБ применяет необходимые и достаточные правовые, организационные и технические меры по обеспечению безопасности персональных данных, включающие в себя использование средств защиты информации, обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, восстановление персональных данных, ограничение доступа к персональным данным, регистрацию и учет действий с персональными данными, а также контроль и оценку эффективности применяемых мер по обеспечению безопасности персональных данных.

5.7. Руководство РДКБ осознает важность и необходимость обеспечения безопасности персональных данных и поощряет постоянное совершенствование системы защиты персональных данных, обрабатываемых в рамках выполнения основной деятельности РДКБ.

5.8. В РДКБ назначены лица, ответственные за организацию обработки и обеспечение безопасности персональных данных.

5.9. Каждый новый работник РДКБ, непосредственно осуществляющий обработку персональных данных, ознакамливается с требованиями законодательства Российской Федерации по обработке и обеспечению безопасности персональных данных, настоящей Политикой и другими локальными актами РДКБ по вопросам обработки и обеспечения безопасности персональных, данных и обязуется их соблюдать.