Политика обработки персональных данных
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Назначение Политики
1.1.1. Настоящая Политика в отношении обработки персональных данных (далее – Политика) ФГБУ «НМИЦ им. ак. Е.Н. Мешалкина» Минздрава России (далее – Издатель) разработана в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
1.1.2. Политика вступает в силу с момента ее опубликования на сайте средства массовой информации периодического печатного издания – журнала «Патология кровообращения и кардиохирургия» (реестровая запись ПИ № ФС77-74501 от 07.12.2018) (далее – Журнал): https://journalmeshalkin.ru/index.php/heartjournal/privacy.
1.1.3. Политика подлежит пересмотру в ходе периодического анализа Издателем, а также в случаях изменения законодательства Российской Федерации в области персональных данных.
1.2. Цель Политики
1.2.1. Целью Политики является обеспечение защиты прав и свобод субъектов персональных данных при обработке их персональных данных Издателем.
1.3. Основные понятия
1.3.1. Для цели Политики используются следующие понятия:
• персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
• персональные данные, разрешенные субъектом персональных данных для распространения, – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом «О персональных данных»;
• субъект персональных данных – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных;
• оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
• обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных;
• автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
• распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
• предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
• блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
• уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
• информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
• конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;
• трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
• угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных;
• уровень защищенности персональных данных – комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
1.4. Область действия
1.4.1. Положения Политики распространяются на все отношения, связанные с обработкой персональных данных, осуществляемой Издателем:
• с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным;
• без использования средств автоматизации.
1.4.2. Настоящей Политикой должны руководствоваться все сотрудники Издателя, осуществляющие обработку персональных данных или имеющие к ним доступ.
2. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Обработка персональных данных осуществляется Издателем в следующих целях:
• размещение сведений о редакционной коллегии на русском и английском языках в печатной версии выпусков Журнала и на сайте Журнала в информационно-телекоммуникационной сети «Интернет»;
• рецензирование статей, направленных в Журнал;
• изготовление печатной версии выпусков Журнала;
• размещение информации о благодарности за помощь в подготовке статьи, выраженной авторами статьи, публикуемой в Журнале;
• подготовка метаданных статей на русском и английском языках для размещения на сайте Журнала в информационно-телекоммуникационной сети «Интернет», в том числе название, авторы, аффилиация авторов, аннотация, ключевые слова, выходные данные (название Журнала, год публикации, том, выпуск, страницы);
• подготовка электронной версии выпусков Журнала в формате pdf для размещения в открытом бесплатном доступе;
• предоставление уполномоченным органам обязательных экземпляров каждого выпуска Журнала;
• формирование архива Издателя.
3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Основанием обработки персональных данных Издателем являются следующие нормативные акты и документы:
• Устав с изменениями. Утвержден приказом Министерства здравоохранения и социального развития Российской Федерации 22.07.2011;
• Закон Российской Федерации от 27.12.1991 № 2124-1 «О средствах массовой информации».
3.2. В случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям Издателя, обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
3.3. Обработка персональных данных прекращается при реорганизации или ликвидации Издателя.
4. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. В соответствии с целями обработки персональных данных, указанными в п. 2 настоящей Политики, Издателем осуществляется обработка следующих категорий субъектов персональных данных:
• главный редактор и заместитель главного редактора Журнала;
• члены редакционной коллегии Журнала;
• авторы статей, публикуемых в Журнале;
• лица, которым авторы выражают благодарность за помощь в подготовке статей, публикуемых в Журнале;
• рецензенты статей, направленных в Журнал.
4.2. В соответствии с целями обработки персональных данных, указанными в п. 2 настоящей Политики, Издателем осуществляется обработка следующих персональных данных:
4.2.1. Главный редактор и заместитель главного редактора Журнала:
• фамилия, имя, отчество (при наличии);
• сведения об образовании;
• сведения об ученой степени и званиях;
• занимаемая должность, место работы;
• адрес электронной почты, номер телефона и факса;
• профиль на сайте https://orcid.org (ORCID ID);
• профиль на сайте https://www.webofscience.com/wos/author (Web of Science ResearcherID);
• профиль на сайте https://www.scopus.com (Scopus Author ID);
• биография;
• фотоизображение.
4.2.2. Члены редакционной коллегии Журнала:
• фамилия, имя, отчество (при наличии);
• сведения об ученой степени и званиях;
• занимаемая должность, место работы;
• адрес электронной почты;
• профиль на сайте https://orcid.org (ORCID ID);
• профиль на сайте https://www.webofscience.com/wos/author (Web of Science ResearcherID);
• профиль на сайте https://www.scopus.com (Scopus Author ID).
4.2.3. Авторы статей, публикуемых в Журнале:
• фамилия, имя, отчество (при наличии);
• сведения об ученой степени и званиях;
• занимаемая должность, место работы;
• адрес электронной почты;
• профиль на сайте https://orcid.org (ORCID ID).
4.2.4. Лица, которым авторы выражают благодарность за помощь в подготовке статей, публикуемых в Журнале:
• фамилия, имя, отчество (при наличии);
• сведения об ученой степени и званиях;
• занимаемая должность, место работы;
• адрес электронной почты;
• профиль на сайте https://orcid.org (ORCID ID).
4.2.5. Рецензенты статей, направленных в Журнал:
• фамилия, имя, отчество (при наличии);
• сведения об ученой степени и званиях;
• занимаемая должность, место работы;
• адрес электронной почты.
5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Принципы обработки персональных данных
Обработка персональных данных осуществляется Издателем в соответствии со следующими принципами:
• обработка персональных данных осуществляется на законной и справедливой основе;
• обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей; не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
• не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• обработке подлежат только персональные данные, которые отвечают целям их обработки;
• содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки; обрабатываемые персональные данные не избыточны по отношению к заявленным целям их обработки;
• при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных; Издатель принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
• хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; обрабатываемые персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
5.2. Условия обработки персональных данных
Условия обработки персональных данных, отличные от получения согласия субъекта персональных данных на обработку его персональных данных, являются альтернативными.
5.2.1. Поручение обработки персональных данных
5.2.1.1. Издатель не поручает обработку персональных данных другому лицу.
5.2.2. Передача персональных данных
5.2.2.1. Издатель вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
5.3. Конфиденциальность персональных данных
5.3.1. Сотрудники Издателя, получившие доступ к персональным данным, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
5.4. Согласие субъекта персональных данных на обработку его персональных данных
5.4.1. При необходимости обеспечения условий обработки персональных данных субъекта может предоставляться согласие субъекта персональных данных на обработку его персональных данных.
5.4.2. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
5.4.3. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Издатель вправе продолжить обработку персональных данных без согласия субъекта персональных данных при выполнении альтернативных условий обработки персональных данных.
5.4.4. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство выполнения альтернативных условий обработки персональных данных возлагается на Издателя.
5.4.5. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
• фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• наименование и адрес Издателя;
• цель обработки персональных данных;
• перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
• перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Издателем способов обработки персональных данных;
• срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
• подпись субъекта персональных данных.
5.5. Трансграничная передача персональных данных
5.5.1. Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с Федеральным законом «О персональных данных» и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
5.5.2. Издатель осуществляет трансграничную передачу персональных данных:
• Великобритания: фамилия, имя, отчество (при наличии), место работы, адрес электронной почты;
• Нидерланды: фамилия, имя, отчество (при наличии), место работы, адрес электронной почты;
• США: фамилия, имя, отчество (при наличии), место работы, адрес электронной почты.
5.6. Обработка персональных данных, осуществляемая без использования средств автоматизации
5.6.1. Общие положения
5.6.1.1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
5.6.2. Особенности организации обработки персональных данных, осуществляемой без использования средств автоматизации
5.6.2.1. Персональные данные при обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее – материальные носители), в специальных разделах или на полях форм (бланков).
5.6.2.2. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных используется отдельный материальный носитель.
5.6.2.3. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники Издателя), проинформированы о факте обработки ими персональных данных, обработка которых осуществляется Издателем без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами Издателя.
5.6.2.4. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, принимаются меры по обеспечению раздельной обработки персональных данных, в частности:
• при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
• при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
5.6.2.5. Уничтожение части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание). Указанные правила применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.
5.6.2.6. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
5.6.3. Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации
5.6.3.1. Обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
5.6.3.2. Обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
5.6.3.3. При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются Издателем.