aids-aktobe.kz
Телефон Доверия:
8 (7132) 21-31-97 (анонимно)
Телефон приемной:
8 (7132) 21-01-78
Версия для
слабовидящих
» политика лаборатории по защите персональной информации

политика лаборатории по защите персональной информации

1. ОБЩИЕ ПОЛОЖЕНИЯ

Настоящая Политика обработки персональных данных в ГКП «Областной центр по профилактике и борьбе со СПИД» на ПХВ (далее - Политика) разработана в соответствии с требованиями нормативных правовых актов Республики Казахстан, регулирующих процессы обработки персональных данных (далее - ПДн). Политика определяет принципы обработки (сбора, хранения, передачи, уничтожения) и защиты ПДн клиентов и работников ГКП «Областной центр по профилактике и борьбе со СПИД» на ПХВ (далее -субъекты ПДн) в ГКП «Областной центр по профилактике и борьбе со СПИД» на ПХВ (далее-ОЦ СПИД).

Действие настоящей Политики распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению (обновлению, изменению), извлечению, использованию, передаче (предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению ПДн, осуществляемые как с использованием средств автоматизации, так и без использования таких средств.

2. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Принципы и цели обработки ПДн

Обработка персональных данных в ОЦ СПИД должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Обработка ПДн осуществляется на основе принципов:

  •     соблюдения     конституционных прав и свобод человека     и гражданина;

  •     законности;

  •     конфиденциальности     персональных данных ограниченного     доступа;

  •     равенства     прав субъектов, собственников и     операторов;

  •     обеспечения     безопасности личности, общества и     государства.

Обработка ПДн в ОЦ СПИД осуществляется исключительно в следующих целях:


  •     исполнение     обязательств по договору, стороной     которого либо выгодоприобретателем     или поручителем, по которому является     субъект персональных данных, а также     для заключения договора по инициативе     субъекта персональных данных или     договора, по которому субъект персональных     данных будет являться выгодоприобретателем     или поручителем;

  •     заключение     и исполнение иных договоров с     контрагентами;

  •     содействие     работникам в трудоустройстве, выполнении     трудовых обязанностей, обучении и     продвижении по карьере;

  •     обеспечение     личной безопасности работников, контроль     количества и качества выполняемой     работы;

  •     обеспечение     сохранности имущества ОЦ СПИД;

  •     предоставление     секретарских, редакторских услуг и     услуг по переводу;

  •     деятельность     по изучению общественного мнения;

  •     консультирование     по вопросам коммерческой деятельности     и управления;

  •     деятельность     в области стандартизации и метрологии;

  •     оказание     услуг по организации и совершенствованию     документооборота, офис-менеджменту,     бренд-менеджменту;

  •     оказание     услуг в сфере рекламы;

  •     оказание     услуг в сфере дизайна рекламных     материалов, печатной и сувенирной     продукции;

  •     оказание     услуг по связям с общественностью (PR),     подготовке ответов на обращения;

  •     оказание     услуг центра обработки вызовов;

  •    продвижение     услуг путем осуществления прямых     контактов с клиентами с помощью средств     связи, направления рекламно-информационных     сообщений;

  •     осуществление     других видов хозяйственной деятельности,     не противоречащей законодательству     Республики Казахстан.

2.2. Сбор персональных данных

Сбор, накопление, хранение, изменение, использование и передача ПДн осуществляется при условии наличия согласия субъекта ПДн, за исключением случаев, когда в соответствии с действующим законодательством допускается обработка ПДн без получения согласия субъекта ПДн.

2.3. Хранение персональных данных

Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют соответствующие цели обработки ПДн, если срок хранения ПДн не установлен законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки, или в случае утраты необходимости в достижении этих целей.

ПДн субъектов могут обрабатываться как на бумажных носителях, так и в электронном виде.

2.4. Передача персональных данных третьим лицам

ОЦ СПИД вправе поручить обработку ПДн третьему лицу с согласия субъекта ПДн. При этом ОЦ СПИД в договоре обязует третье лицо, осуществляющее обработку ПДн по поручению ОЦ СПИД, соблюдать принципы и правила обработки ПДн, предусмотренные законом Республики Казахстан «О персональных данных и их защите» от 21.05.2013 года и другими нормативными правовыми актами, регламентирующим процессы обработки ПДн.

В случае если ОЦ СПИД поручает обработку ПДн третьему лицу, ответственность перед субъектом ПДн за действия указанного лица несет ОЦ СПИД. Лицо, осуществляющее обработку ПДн по поручению ОЦ СПИД, несет ответственность перед ОЦ СПИДм.

ОЦ СПИД обязуется и обязует третьих лиц, получивших доступ к ПДн, не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено законом.

2.5. Уничтожение персональных данных

В случае достижения целей обработки ПДн – ОЦ СПИД прекращает обработку ПДн и уничтожает ПДн, в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено соглашением между ОЦ СПИДм и субъектом персональных данных.

В случае обращения субъекта ПДн с заявлением об уничтожении его персональных данных, ОЦ СПИД обязано прекратить обработку или обеспечить прекращение обработки персональных данных данного субъекта и уничтожить указанные в заявлении персональные данные.

Уничтожение ПДн производится в соответствии с внутренними процессами ОЦ СПИД.

2.6. Защита персональных данных

При обработке ПДн ОЦ СПИД принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

Обеспечение безопасности ПДн достигается, в частности:

  •     определением     угроз безопасности ПДн при их обработке     в информационных системах персональных     данных (далее ИСПДн);

  •     применением     организационных и технических мер по     обеспечению безопасности ПДн при их     обработке в ИСПДн, необходимых для     выполнения требований к защите ПДн,     исполнение которых обеспечивает     установленные  РК уровни защищенности     ПДн;

  •     оценкой     эффективности принимаемых мер по     обеспечению безопасности ПДн до ввода     в эксплуатацию ИСПДн;

  •     обнаружением     фактов несанкционированного доступа     к ПДн и принятием необходимых мер;

  •     восстановлением     ПДн, модифицированных или уничтоженных     вследствие несанкционированного     доступа к ним;

  •     установлением     правил доступа к ПДн, обрабатываемых     в ИСПДн, а также обеспечением регистрации     доступа к ПДн в ИСПДн;

  •     контролем     за принимаемыми мерами по обеспечению     безопасности ПДн и уровня защищенности     ИСПДн;

  •     в том числе другими способами.

2.7. Правовые основания обработки персональных данных

Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Общество осуществляет обработку персональных данных:  

  •   статья 273 Кодекса Республики Казахстан ««О     здоровье народа и системе здравоохранения»     от 07.07.2020г.

  •     подпункт 24 пункта 1 статьи 22, подпункт 24 пункта     2 статьи 23 Трудового кодекса Республики     Казахстан от 23 ноября 2015 года;

  •     уставные документы ОЦ СПИД;

  •     договоры, заключаемые между ОЦ СПИДм и субъектом     персональных данных;

  •     согласие  на обработку персональных данных.

2.8. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

К категориям субъектов персональных данных могут быть отнесены:

представители/работники клиентов и контрагентов ОЦ СПИД (юридических лиц);

  •     клиенты     и контрагенты ОЦ СПИД;

  •     работники     ОЦ СПИД.

    2.9.     Порядок и условия обработки персональных     данных

    Перечень     действий с персональными данными, общее     описание используемых оператором     способов обработки персональных данных:     сбор, запись, систематизация, накопление,     хранение, уточнение (обновление,     изменение), извлечение, использование,     передача, обезличивание, удаление,     блокирование, уничтожение.

    Обработка     вышеуказанных персональных данных     может осуществляться путем смешанной     обработки с передачей по внутренней     сети юридического лица с передачей по     сети Интернет.

    Передача персональных     данных третьим лицам осуществляться     только на основании договора, условием     которого является обязанность обеспечения     третьим лицом безопасности персональных     данных при их обработке (в том числе     конфиденциальности персональных     данных), а также меры, предусмотренные     п. 1 ст. 22 закона Республики Казахстан     «О персональных данных».

    Условия     прекращения обработки персональных     данных:
     

  • достижение     целей обработки персональных данных;

  • при прекращении правоотношений между     субъектом, собственником и (или)     оператором, а также третьим лицом;

  • при вступлении в законную силу решения     суда;

При осуществлении хранения персональных данных ОЦ СПИД использует базы данных, находящиеся на территории Республики Казахстан, в соответствии с п. 2 ст. 12 закона Республики Казахстан "О персональных данных".

2.10. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации (исправлению) ОЦ СПИДм.

При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.

Общество обязано сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных такого субъекта по запросу последнего.

3. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

ОЦ СПИД обеспечивает конфиденциальность персональных данных, то есть не допускает их распространения без согласия субъекта персональных данных или наличия иного законного основания. Обеспечение конфиденциальности обезличенных и общедоступных персональных данных осуществляется аналогично обеспечению конфиденциальности иных данных, обрабатываемых в Обществе.

3.1. Организация доступа к информации, содержащей персональные данные.

Доступ к ПДн предоставляется только тем работникам ОЦ СПИД, которым он необходим для исполнения их непосредственных должностных обязанностей.

Допуск работников ОЦ СПИД к обработке ПДн осуществляется на основании утвержденного Перечня должностей работников, допущенных к обработке ПДн, обрабатываемых в ОЦ СПИД. Работник ОЦ СПИД допускается к обработке ПДн только в случае выполнения своих трудовых обязанностей.

Работник ОЦ СПИД допускается к обработке ПДн только после ознакомления с действующими нормативными правовыми актами, регламентирующими обработку ПДн, локальными нормативными актами ОЦ СПИД, регламентирующими обработку ПДн.


4. ОТВЕТСТВЕННОСТЬ

Работники ОЦ СПИД, виновные в нарушении нормативных правовых актов и локальных нормативных актов ОЦ СПИД, регулирующих процессы обработки и защиты ПДн, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной, уголовной ответственности в порядке, установленном действующим законодательством.